IPsecのAHは通信データの認証と改ざん検知を行う仕組みです。ESPやIKEとの違い、SG試験で迷いやすいひっかけポイントを整理します。

sg sg-security-overview crypto_auth network sg-technology

まず結論

IPsecのAH(Authentication Header:認証ヘッダー)は、IPパケットの完全性確認と送信元認証を行うが、データの暗号化は行わない仕組みです。

SG試験では、AHを「暗号化する仕組み」と勘違いさせる選択肢が出やすいです。 判断するときは、まず AH=認証・改ざん検知、ESP=暗号化もできる と切り分けるのが大切です。

直感的な説明

AHは、荷物の中身を隠すための「箱」ではなく、荷物に付ける「封印シール」のようなものです。

封印シールがあれば、

だれが送ったものか

途中で開けられたり、書き換えられたりしていないか

同じ荷物をもう一度送りつけられていないか

を確認できます。

ただし、荷物の中身そのものを見えなくするわけではありません。 つまり、AHは 盗み見を防ぐ暗号化 ではなく、改ざんやなりすましに気づくための仕組みです。

定義・仕組み

IPsecは、IP層で通信を保護するための仕組みです。 その中でAHは、IPパケットに認証用の情報を追加して、通信の正しさを確認します。

AHで主に確認するのは、次の3点です。

項目 役割

SPI どのIPsec通信のルールを使うかを識別する番号 シーケンス番号 パケットの順番を示し、リプレイ攻撃を防ぐための番号 認証データ パケットが改ざんされていないか確認するためのデータ

ここで重要なのは、AHは暗号化を目的にしていないという点です。

SG試験では、選択肢に「暗号化アルゴリズム」「暗号化鍵」「鍵交換」などの言葉が入っていると、AHではなく別の仕組みを説明している可能性があります。

AHでできること

送信元が正しいことを確認する

通信内容が改ざんされていないことを確認する

同じパケットを再送して攻撃するリプレイ攻撃を防ぐ

AHでできないこと

通信内容を暗号化して隠す

暗号化鍵を交換する

暗号化アルゴリズムを決定する

この「できること」と「できないこと」を分けて覚えると、選択肢を切りやすくなります。

どんな場面で使う?

AHは、通信内容の完全性と認証を確認したい場面で使われます。

たとえば、ネットワーク上で送られるIPパケットについて、

途中で改ざんされていないか確認したい

正しい相手から送られてきたことを確認したい

過去の通信データを再利用される攻撃を防ぎたい

といった場面です。

一方で、通信内容を第三者に読まれないようにしたい場合は、AHだけでは不十分です。 その場合は、暗号化機能をもつESPを考えます。

SG試験では、実務上の細かい設定よりも、何を守るための仕組みかが問われることが多いです。

盗み見を防ぐ → 暗号化

改ざんを検知する → 完全性確認

送信元を確認する → 認証

この3つを分けて考えると、問題文の意図をつかみやすくなります。

よくある誤解・混同

AHとESPの混同

AHとESPは、どちらもIPsecで使われる仕組みです。 ただし、役割が違います。

用語 主な役割 暗号化

AH 認証、完全性確認、リプレイ攻撃対策 行わない ESP 暗号化、必要に応じて認証・完全性確認 行える

選択肢では、「暗号化は行わず」 と書かれていればAHの可能性が高いです。 反対に、「データを暗号化する」 と書かれていれば、AHではなくESPを疑います。

AHとIKEの混同

IKEは、IPsecで使う鍵やアルゴリズムを決めるための仕組みです。

たとえば、過去問の選択肢で、

暗号化アルゴリズムを決定し、暗号化鍵を動的に生成する鍵交換プロトコル

といった説明が出てきた場合、これはAHではなくIKEの説明です。

AHは鍵交換プロトコルではありません。 AHは、すでに決められたルールに基づいて、パケットの認証や完全性確認を行う役割です。

AHとSAの混同

SA(Security Association)は、IPsec通信で使うルールや設定のまとまりです。

過去問の選択肢で、

暗号化アルゴリズムや暗号化鍵のライフタイムが設定される管理テーブル

のように書かれていたら、AHそのものではなく、SAに関する説明と考えます。

AHは「認証ヘッダー」という通信データ側の仕組みです。 SAは「どのルールで通信するか」を管理する情報です。

トランスポートモード・トンネルモードとの混同

IPsecには、トランスポートモードとトンネルモードがあります。

これは、IPsecで保護する範囲の違いです。 AHだけに限った説明ではなく、IPsec全体の使い方に関係します。

選択肢で、

IPパケットを暗号化する対象部分によって、トランスポートモード、トンネルモードの方式がある

のように書かれていた場合、これはAHそのものの説明としては適切ではありません。

SG試験では、IPsec全体の説明なのか、AH・ESP・IKEなど個別の用語の説明なのかを切り分けることが大切です。

まとめ(試験直前用)

AHは、IPsecで使われる認証ヘッダーである

AHは、完全性確認・送信元認証・リプレイ攻撃対策を行う

AHは、データの暗号化は行わない

暗号化が出てきたら、ESPやIKEとの混同に注意する

SG試験では、AH=暗号化しない認証と改ざん検知 と判断する