sg sg-technology network crypto_auth
まず結論
ESP(Encapsulating Security Payload)は、IPsecで通信データを暗号化し、必要に応じて改ざん検知も行うための仕組みです。
SG試験では、ESPそのものの暗号方式を細かく問うよりも、「どこが暗号化されるのか」、「トンネルモードとトランスポートモードで何が違うのか」を判断させる問題が出やすいです。
特に注意したいのは、ESPトンネルモードでは、元のIPパケット部分が暗号化の対象になるという点です。
直感的な説明
ESPは、通信内容をそのまま見られないようにするための「封筒」のようなものです。
たとえば、社外の拠点どうしをインターネット経由でつなぐ場合、そのまま通信すると中身を盗み見られるリスクがあります。そこでIPsecを使い、通信データを暗号化して安全に送ります。
このときESPは、通信の中身を暗号化して、外から見ても内容が分からないようにします。
トンネルモードでは、元のIPパケットを丸ごと包み、その外側に新しいIPヘッダーを付けます。
イメージとしては、次のような違いです。
| モード | イメージ | 主な用途 |
|---|---|---|
| トランスポートモード | 荷物の中身だけを保護する | 端末同士の通信 |
| トンネルモード | 荷物ごと別の箱に入れて運ぶ | VPN、拠点間通信 |
SG試験では、「新しいIPヘッダーまで暗号化される」と考えると誤りになりやすいです。
定義・仕組み
ESPは、IPsecで使われるプロトコルの一つです。主な役割は、通信データの暗号化と、必要に応じた認証・改ざん検知です。
IPsecの仕様は、IETFのRFCで定義されています。ESPについては、RFC 4303 - IP Encapsulating Security Payload で説明されています。
ESPのパケットは、ざっくり見ると次のような要素で構成されます。
| 要素 | 暗号化されるか | 役割 |
|---|---|---|
| 新IPヘッダー | されない | 外側の配送先を示す |
| ESPヘッダー | されない | ESP処理に必要な情報を持つ |
| オリジナルIPヘッダー | される | 元の通信のIP情報 |
| TCPヘッダー | される | 元の通信の制御情報 |
| データ | される | 実際の通信内容 |
| ESPトレーラ | される | パディングなど暗号処理に必要な情報 |
| ESP認証データ | されない | 改ざん検知などに使う情報 |
ESPトンネルモードでは、元のIPパケット全体をESPで包みます。
そのため、暗号化される範囲は基本的に、オリジナルIPヘッダーからESPトレーラまでです。
ここで大事なのは、ESP認証データは暗号化範囲ではなく、認証・改ざん検知に使う情報として考えることです。
SG試験では、選択肢に次のような表現が出たら注意します。
- 新IPヘッダーから〜:外側の配送用ヘッダーなので暗号化対象ではない
- ESPヘッダーから〜:ESP処理に必要な外側情報なので暗号化対象ではない
- 〜ESP認証データまで:認証データは暗号化範囲に含めない
- オリジナルIPヘッダーからESPトレーラまで:トンネルモードの暗号化範囲として考えやすい
どんな場面で使う?
ESPは、IPsec VPNなどで使われます。
代表的なのは、会社の本社と支社をインターネット経由で安全につなぐような場面です。
この場合、通信経路はインターネットを通りますが、ESPによって中身が暗号化されるため、第三者が通信内容を読み取りにくくなります。
SG試験では、次のような文脈で問われることが多いです。
- VPNで拠点間通信を保護する
- IPsecで通信内容を暗号化する
- トンネルモードで元のIPパケットをカプセル化する
- 暗号化される範囲と、外側に残る情報を切り分ける
ただし、ESPを使えば何でも安全になるわけではありません。
実務では、鍵管理、認証方式、設定ミス、利用者端末の管理なども重要です。SG試験でも、単に「ESPだから安全」と覚えるより、何を守る仕組みなのかを押さえることが大切です。
よくある誤解・混同
ESPで特に混同しやすいのは、暗号化される範囲です。
誤解1:新IPヘッダーも暗号化される
これは誤りです。
新IPヘッダーは、インターネット上でパケットを届けるために必要な外側の宛先情報です。途中のルータが配送できるように、暗号化されずに残ります。
選択肢で「新IPヘッダーから暗号化される」と書かれていたら注意です。
誤解2:ESPヘッダーも暗号化される
これも誤りです。
ESPヘッダーは、ESPの処理に必要な情報を持つ部分です。暗号化されたデータを扱うための外側情報なので、暗号化範囲には含めません。
誤解3:ESP認証データまで暗号化される
これも注意が必要です。
ESP認証データは、通信内容が改ざんされていないかを確認するための情報です。暗号化される本文部分とは役割が違います。
AHとの違い
IPsecには、ESPのほかにAH(Authentication Header)もあります。
| 用語 | 主な役割 | 暗号化 |
|---|---|---|
| ESP | 暗号化、認証、改ざん検知 | できる |
| AH | 認証、改ざん検知 | しない |
SG試験では、「暗号化するならESP」、「認証中心で暗号化しないならAH」と切り分けると判断しやすくなります。
まとめ(試験直前用)
ESPは、IPsecで通信データを暗号化する仕組みです。
トンネルモードでは、元のIPパケットを包み、外側に新しいIPヘッダーを付けます。
暗号化範囲は、オリジナルIPヘッダーからESPトレーラまでと考えます。
新IPヘッダー、ESPヘッダー、ESP認証データは暗号化範囲として選ばないのが判断基準です。
AHと迷ったら、暗号化できるのがESP、認証中心がAHと切り分けます。
確認問題
ESPトンネルモードの説明として、最も適切なものはどれか。
ア. 新IPヘッダーからESP認証データまでをすべて暗号化する。
イ. ESPヘッダーとESP認証データだけを暗号化する。
ウ. 元のIPパケットをカプセル化し、オリジナルIPヘッダーからESPトレーラまでを暗号化する。
エ. 通信内容を暗号化せず、送信元の認証だけを行う。
正解:ウ
ESPトンネルモードでは、元のIPパケットをESPで包みます。暗号化される範囲は、オリジナルIPヘッダーからESPトレーラまでです。新IPヘッダーは配送に必要な外側情報なので暗号化されません。また、ESP認証データは改ざん検知などに使う情報であり、暗号化範囲として考えません。
🔗 関連記事
- AESとは?鍵長とラウンド数も押さえる共通鍵暗号【SG試験】
- 認証・認可・アクセス制御の違いとは?役割の切り分けを整理【SG試験】
- 生体認証とは?指紋・顔・虹彩・静脈認証の違い【SG試験】
- ブラックリストとホワイトリストの違いとは?判断基準を整理【SG試験】
- ブロック暗号とストリーム暗号の違いとは?暗号方式を整理【SG試験】