情報処理安全確保支援士 2011年 秋期 午前2 問15
問題文
IPsec の AH に関する説明のうち、適切なものはどれか。
選択肢
ア:IPパケットを暗号化する対象部分によって、 トランスポートモード、 トンネルモードの方式がある。
イ:暗号化アルゴリズムや暗号化鍵のライフタイムが設定される管理テーブルで、期間を過ぎると新しいデータに更新される。
ウ:暗号化アルゴリズムを決定し、 暗号化鍵を動的に生成する鍵交換プロトコルで、暗号化通信を行う。
エ:データの暗号化は行わず、 SPI, シーケンス番号、 認証データを用い、 完全性の確保と認証を行う。(正解)
IPsec の AH に関する説明のうち、適切なものはどれか【午前2 解説】
要点まとめ
- 結論:AH(Authentication Header)はデータの暗号化を行わず、完全性と認証を提供するプロトコルです。
- 根拠:AHはSPI、シーケンス番号、認証データを用いてパケットの改ざん検出と送信元認証を実現します。
- 差がつくポイント:暗号化を行うESPと混同せず、AHは暗号化なしで認証と完全性保護に特化している点を理解することが重要です。
正解の理由
選択肢エは、AHの機能を正確に説明しています。AHはIPパケットのデータを暗号化せず、SPI(Security Parameters Index)、シーケンス番号、認証データを用いてパケットの完全性と送信元の認証を行います。これにより、データの改ざんやなりすましを防止しますが、暗号化はESPが担当します。
よくある誤解
AHが暗号化も行うと誤解されがちですが、実際には暗号化は行わず認証と完全性保護に限定されます。トランスポートモードやトンネルモードはESPとAHの両方に存在しますが、暗号化の有無で区別されます。
解法ステップ
- AHの役割を確認する(認証と完全性保護)。
- ESPとの違いを理解する(ESPは暗号化も行う)。
- 選択肢の内容がAHの機能に合致しているかを判断する。
- 暗号化に関する記述がある選択肢は誤りと判断する。
- SPI、シーケンス番号、認証データの利用を説明している選択肢を選ぶ。
選択肢別の誤答解説
- ア:トランスポートモードとトンネルモードはIPsec全体のモードであり、AHも含むが「暗号化する対象部分」に関する説明はESPに該当し、AHは暗号化しないため不適切。
- イ:暗号化アルゴリズムや鍵のライフタイム管理はSA(Security Association)に関する説明であり、AH固有の説明ではない。
- ウ:鍵交換プロトコル(例:IKE)の説明であり、AHの機能説明ではない。
- エ:AHの特徴を正確に説明しており、正解。
補足コラム
IPsecはネットワーク層でのセキュリティを提供するプロトコル群で、AHとESPの2つの主要プロトコルがあります。AHはパケットの完全性と認証を保証し、ESPはそれに加えて暗号化も行います。IKE(Internet Key Exchange)は鍵交換を担当し、これらのプロトコルの安全な運用を支えています。
FAQ
Q: AHはなぜ暗号化を行わないのですか?
A: AHはパケットの完全性と認証に特化しており、暗号化はESPが担当するためです。暗号化を行わないことで処理が軽くなり、特定の用途に適しています。
A: AHはパケットの完全性と認証に特化しており、暗号化はESPが担当するためです。暗号化を行わないことで処理が軽くなり、特定の用途に適しています。
Q: トランスポートモードとトンネルモードの違いは何ですか?
A: トランスポートモードは元のIPヘッダを保持し、ペイロード部分のみを保護します。トンネルモードは元のIPパケット全体を新しいIPパケットのペイロードとしてカプセル化します。
A: トランスポートモードは元のIPヘッダを保持し、ペイロード部分のみを保護します。トンネルモードは元のIPパケット全体を新しいIPパケットのペイロードとしてカプセル化します。
関連キーワード: IPsec, AH, ESP, SPI, シーケンス番号、認証データ、トランスポートモード、トンネルモード、IKE, 完全性保護、認証
\ せっかくなら /
情報処理安全確保支援士を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!