情報処理安全確保支援士 2016年秋期午前2 問15

問題文

IPsecに関する記述のうち、適切なものはどれか。

選択肢

ア：IKEはIPsecの鍵交換のためのプロトコルでありポート番号80が使用される。

イ：暗号化アルゴリズムとしてHMAC-SHA1が使用される。

ウ：トンネルモードを使用すると暗号化通信の区間においてエンドツーエンドの通信で用いる元のIPのヘッダを含めて暗号化できる。（正解）

エ：ホストAとホストBとの間でIPsecによる通信を行う場合認証や暗号化アルゴリズムを両者で決めるためにESPヘッダではなくAHヘッダを使用する。

IPsecに関する記述のうち、適切なものはどれか【午前2 解説】

要点まとめ

結論：トンネルモードでは元のIPヘッダを含めて暗号化できるため、通信区間全体の保護が可能です。
根拠：トンネルモードはIPsecの2つの動作モードの一つで、パケット全体を新しいIPヘッダで包み込み暗号化します。
差がつくポイント：IKEのポート番号やHMACの役割、AHとESPの違いを正確に理解しているかが合否を分けます。

正解の理由

選択肢ウは「トンネルモードを使用すると暗号化通信の区間においてエンドツーエンドの通信で用いる元のIPのヘッダを含めて暗号化できる」と述べています。これはIPsecのトンネルモードの特徴であり、元のIPパケット全体を新しいIPヘッダで包み込み暗号化するため、通信経路上の中継機器から元の送受信元IPアドレスを隠すことが可能です。したがって正解です。

よくある誤解

IKEのポート番号は80ではなく500番であり、HMACは暗号化アルゴリズムではなく認証用のハッシュ関数です。AHは認証専用で暗号化は行いません。

解法ステップ

IKEの役割と使用ポート番号を確認する（IKEは鍵交換プロトコルでUDP 500番を使用）。
HMACの機能を理解する（HMACは認証用で暗号化アルゴリズムではない）。
IPsecのモード（トンネルモードとトランスポートモード）の違いを把握する。
AHとESPの役割を区別する（AHは認証のみ、ESPは認証と暗号化両方を提供）。
各選択肢の記述と正しい知識を照合し、誤りを排除する。

選択肢別の誤答解説

ア: IKEは鍵交換プロトコルで正しいが、使用ポートはUDPの500番であり80番ではない。
イ: HMAC-SHA1は認証用のハッシュ関数であり、暗号化アルゴリズムではない。
ウ: トンネルモードは元のIPヘッダを含めて暗号化できるため正しい。
エ: AHは認証ヘッダであり暗号化は行わないため、認証や暗号化アルゴリズムの交渉にはESPが使われることが多い。

補足コラム

IPsecはVPNなどで広く使われる通信のセキュリティ技術で、トンネルモードとトランスポートモードの2種類があります。トンネルモードはネットワーク間の通信を保護し、トランスポートモードはホスト間の通信を保護します。IKE（Internet Key Exchange）は鍵交換を自動化し、安全な通信を確立するためのプロトコルです。

FAQ

Q: IKEはどのポート番号を使いますか？
A: IKEはUDPのポート番号500を使用します。

Q: AHとESPの違いは何ですか？
A: AHは認証のみを提供し、ESPは認証と暗号化の両方を提供します。

Q: トンネルモードとトランスポートモードの違いは？
A: トンネルモードは元のIPパケット全体を新しいIPヘッダで包み込み暗号化し、トランスポートモードはペイロード部分のみを暗号化します。

関連キーワード: IPsec, IKE, トンネルモード、ESP, AH, HMAC, 暗号化、認証、VPN, 鍵交換

← 前の問題へ次の問題へ →

\ せっかくなら /

情報処理安全確保支援士を
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！