ホーム > 情報処理安全確保支援士試験 > 2015年 春期
情報処理安全確保支援士試験 2015年 春期 午前2 問09
IPsecに関する記述のうち,適切なものはどれか。
ア:IKEはIPsecの鍵交換のためのプロトコルであり,ポート番号80が使用される。
イ:暗号化アルゴリズムとして,HMAC-SHA1が使用される。
ウ:トンネルモードを使用すると,エンドツーエンドの通信で用いるIPのヘッダまで含めて暗号化される。(正解)
エ:ホストAとホストBとの間でIPsecによる通信を行う場合,認証や暗号化アルゴリズムを両者で決めるためにESPヘッダではなくAHヘッダを使用する。
解説
IPsecに関する記述のうち,適切なものはどれか。【午前2 解説】
要点まとめ
- 結論:IPsecのトンネルモードは、エンドツーエンドの通信でIPヘッダも含めて暗号化する方式である。
- 根拠:トンネルモードは元のIPパケット全体を新しいIPパケットのペイロードとしてカプセル化し、元のIPヘッダも暗号化される。
- 差がつくポイント:IKEのポート番号やHMAC-SHA1の役割、ESPとAHの違いを正確に理解し、トンネルモードの特徴を押さえることが重要。
正解の理由
選択肢ウは「トンネルモードを使用すると、エンドツーエンドの通信で用いるIPのヘッダまで含めて暗号化される」と述べています。これはIPsecのトンネルモードの正しい説明です。トンネルモードでは、元のIPパケット全体(IPヘッダを含む)を新しいIPパケットのペイロードとしてカプセル化し、暗号化します。これにより、送信元と宛先のIPアドレスなどの情報も秘匿されます。
よくある誤解
IKEのポート番号は80ではなくUDPの500番であり、HMAC-SHA1は暗号化アルゴリズムではなく認証用のハッシュ関数です。ESPとAHは役割が異なり、認証や暗号化の使い分けを理解する必要があります。
解法ステップ
- IPsecの基本構成要素(IKE、ESP、AH)を確認する。
- IKEの役割と使用ポート番号を理解する(UDP 500番)。
- HMAC-SHA1は認証用のハッシュ関数であり、暗号化アルゴリズムではないことを押さえる。
- トンネルモードとトランスポートモードの違いを整理する。
- ESPとAHの機能の違い(暗号化+認証 vs 認証のみ)を把握する。
- 各選択肢の記述と照らし合わせて正誤を判断する。
選択肢別の誤答解説
- ア: IKEはIPsecの鍵交換プロトコルで正しいが、ポート番号は80ではなくUDPの500番である。
- イ: HMAC-SHA1は暗号化アルゴリズムではなく、メッセージ認証コード(MAC)を生成するためのハッシュ関数である。
- ウ: トンネルモードは元のIPパケット全体を暗号化し、IPヘッダも含まれるため正しい。
- エ: AHヘッダは認証のみを提供し、暗号化は行わない。認証や暗号化アルゴリズムの交渉はIKEで行い、ESPヘッダが暗号化を担当する。
補足コラム
IPsecはVPN構築などで広く使われるセキュリティ技術で、トンネルモードはネットワーク間の通信を保護する際に利用されます。トランスポートモードはエンドツーエンドの通信でペイロードのみを保護し、IPヘッダは暗号化しません。IKE(Internet Key Exchange)は鍵交換とセキュリティパラメータの交渉を行い、UDPの500番ポートを使用します。
FAQ
Q: IKEはどのポート番号を使いますか?
A: IKEはUDPの500番ポートを使用して鍵交換を行います。
A: IKEはUDPの500番ポートを使用して鍵交換を行います。
Q: HMAC-SHA1は暗号化アルゴリズムですか?
A: いいえ、HMAC-SHA1はメッセージ認証コードを生成するためのハッシュ関数であり、暗号化は行いません。
A: いいえ、HMAC-SHA1はメッセージ認証コードを生成するためのハッシュ関数であり、暗号化は行いません。
Q: ESPとAHの違いは何ですか?
A: ESPは暗号化と認証の両方を提供し、AHは認証のみを提供します。
A: ESPは暗号化と認証の両方を提供し、AHは認証のみを提供します。
関連キーワード: IPsec, トンネルモード, IKE, ESP, AH, HMAC-SHA1, 鍵交換, 暗号化, 認証, UDPポート500