ホーム > 情報処理安全確保支援士試験 > 2016年 秋期
情報処理安全確保支援士試験 2016年 秋期 午前2 問15
IPsecに関する記述のうち、適切なものはどれか。
ア:IKEはIPsecの鍵交換のためのプロトコルでありポート番号80が使用される。
イ:暗号化アルゴリズムとしてHMAC-SHA1が使用される。
ウ:トンネルモードを使用すると暗号化通信の区間においてエンドツーエンドの通信で用いる元のIPのヘッダを含めて暗号化できる。(正解)
エ:ホストAとホストBとの間でIPsecによる通信を行う場合認証や暗号化アルゴリズムを両者で決めるためにESPヘッダではなくAHヘッダを使用する。
解説
IPsec(Internet Protocol Security)は、インターネット上でIPパケットのセキュリティを確保するためのプロトコル群で、暗号化や認証を行う技術です。
問題文の選択肢に対して、正解の「ウ」を中心に、それぞれのポイントをわかりやすく解説します。
問題文の選択肢に対して、正解の「ウ」を中心に、それぞれのポイントをわかりやすく解説します。
選択肢ごとの解説
ア: 「IKEはIPsecの鍵交換のためのプロトコルでありポート番号80が使用される。」
- 誤りです。
IKE(Internet Key Exchange)は、IPsecで使用する鍵やセキュリティパラメータの交換を安全に行うためのプロトコルです。
しかし、IKEが使用するポート番号は UDPの500番(および拡張したIKEv2では4500番)であり、
ポート番号80はHTTPのためのポート番号であるため誤っています。
イ: 「暗号化アルゴリズムとしてHMAC-SHA1が使用される。」
- 誤りです。
HMAC-SHA1は暗号化アルゴリズムではなく認証(メッセージ認証コード)のためのアルゴリズムです。
IPsecでは、暗号化にはAESや3DESなどのアルゴリズムが使われ、
HMAC-SHA1はデータの改ざん検出や認証に使われています。
ウ: 「トンネルモードを使用すると暗号化通信の区間においてエンドツーエンドの通信で用いる元のIPのヘッダを含めて暗号化できる。」
-
正解です。
IPsecには主に「トランスポートモード」と「トンネルモード」の2種類があります。 -
トランスポートモード: 元のIPヘッダは暗号化されず、そのペイロード部分のみが暗号化されます。
-
トンネルモード: 元のIPパケット全体(ヘッダを含む)を新たなIPパケットにカプセル化(カプセル化IPパケットのペイロードとして包む)し、暗号化します。
このため、トンネルモードはVPNなどで使われ、通信区間全体を覆う形で安全に送ることができます。
つまり、元のIPヘッダも暗号化されるため、通信内容がより秘匿されます。
エ: 「ホストAとホストBとの間でIPsecによる通信を行う場合認証や暗号化アルゴリズムを両者で決めるためにESPヘッダではなくAHヘッダを使用する。」
- 誤りです。
AH(Authentication Header)とESP(Encapsulating Security Payload)はどちらもIPsecで使われるプロトコルヘッダですが、役割が違います。 - AH: 認証(改ざん検知)用であり、暗号化はしません。
- ESP: 認証や暗号化の両方に対応しています。
通信で使うアルゴリズムの交渉や鍵交換はIKEプロトコルが担当し、それによって決まったパラメータに基づき、実際にIPsec通信ではESPやAHヘッダが使われます。認証や暗号化に関してはESPの方が包括的です。
したがって、「認証や暗号化アルゴリズムを決めるためにAHヘッダを使う」という説明は誤りです。
したがって、「認証や暗号化アルゴリズムを決めるためにAHヘッダを使う」という説明は誤りです。
まとめ
付録:トンネルモードのイメージ
トンネルモードのIPsecでは、
- 元のIPパケット(ヘッダ+データ)を
- 新しいIPパケットのペイロードとしてカプセル化
- そのペイロード部分を暗号化する
形になります。
[新しいIPヘッダ] + [暗号化された {元のIPヘッダ + 元のペイロード} ]
このため、通信経路上の第三者には元の送信元・宛先のIPアドレスなども秘匿されます。
以上の理由から、正解は「ウ」となります。IPsecのトンネルモードはVPNや拠点間通信などで広く使われる重要な機能ですので、確実に理解しておきましょう。