IPsecのESPはIP通信のデータを暗号化し、必要に応じて認証や改ざん検知も行う仕組みです。AHやIKEとの違いをSG試験向けに整理します。

sg sg-security-overview crypto_auth network sg-technology

まず結論

IPsecのESP(Encapsulating Security Payload)は、IP通信のデータを暗号化し、必要に応じて認証や改ざん検知も行える仕組みです。

SG試験では、ESPを単独で細かく設定できるかではなく、AHとの違いを判断できるかが重要です。

特に、次の切り分けが大切です。

AH:認証・改ざん検知を行うが、暗号化はしない

ESP:暗号化を行える。必要に応じて認証・改ざん検知も行える

IKE:暗号方式や鍵を決める

選択肢で「IPsecで暗号化」と出てきたら、まずESPを候補にします。

直感的な説明

ESPは、通信データを入れる鍵付きの封筒のようなものです。

普通の封筒なら、外から中身が見えてしまうかもしれません。 しかし、鍵付きの封筒に入れれば、第三者が中身を読み取りにくくなります。

さらに、設定によっては、

途中で中身が書き換えられていないか

正しい相手から送られたものか

古い通信をもう一度送られていないか

も確認できます。

つまりESPは、AHよりも「中身を隠す」役割が強い仕組みです。 SG試験では、暗号化が中心ならESPと考えると分かりやすいです。

定義・仕組み

ESPは、IPsecで使われる主要な仕組みの1つです。 通信データを保護するために、暗号化を中心としたセキュリティ機能を提供します。

ESPでできることは、主に次のとおりです。

機能 内容

暗号化 通信内容を第三者に読まれにくくする 完全性確認 通信データが途中で改ざんされていないか確認する 認証 正しい相手からの通信か確認する リプレイ攻撃対策 過去の通信データを再利用される攻撃を防ぐ

ここで特に重要なのは、ESPは暗号化を行えるという点です。

AHは暗号化を行いません。 一方、ESPは暗号化を中心に、必要に応じて認証や完全性確認も行えます。

ESPとIPsecの関係

IPsecは、IP通信を保護する仕組み全体です。 ESPは、その中で通信データを暗号化する中心的な役割を担います。

関係を整理すると、次のようになります。

用語 役割

IPsec IP通信を保護する仕組み全体 AH 認証・完全性確認を行うが、暗号化はしない ESP 暗号化を行える。認証や完全性確認も可能 IKE 暗号方式や鍵を決める

SG試験では、ESPをIPsecとは別物として覚えるより、IPsecの中で暗号化を担当する部品として理解すると整理しやすいです。

トランスポートモードとトンネルモード

ESPは、IPsecのトランスポートモードやトンネルモードで利用されます。

モード イメージ 主な使い方

トランスポートモード 元のIPヘッダーを残し、主に中身を保護する 端末同士の通信保護 トンネルモード IPパケット全体を包み込んで保護する VPN、拠点間通信

SG試験では、細かいパケット構造よりも、トンネルモードはVPNで使われやすいという理解を優先するとよいです。

どんな場面で使う?

ESPは、通信内容を第三者に読まれたくない場面で使われます。

代表的な場面は、VPNです。

たとえば、

本社と支社をインターネット経由で安全につなぐ

外出先から社内ネットワークへ安全に接続する

通信内容の盗み見や改ざんを防ぎたい

といった場面です。

インターネットは便利ですが、そのままでは通信経路上で盗聴や改ざんのリスクがあります。 ESPを使うことで、通信内容を暗号化し、安全性を高められます。

ただし、ESPは通信経路を守る仕組みです。 利用者のID管理、端末のマルウェア対策、アクセス権限の管理などは、別の対策として必要です。

SG試験では、ESPを「通信内容を暗号化して保護するもの」と押さえつつ、端末管理や利用者認証までESPだけで解決するわけではないと判断します。

よくある誤解・混同

ESPとAHの混同

ESPとAHは、どちらもIPsecで使われる仕組みです。 しかし、試験では役割の違いが問われやすいです。

用語 主な役割 暗号化

AH 認証、完全性確認、リプレイ攻撃対策 行わない ESP 暗号化、必要に応じて認証・完全性確認 行える

選択肢では、「暗号化は行わず」 と書かれていればAHを疑います。 反対に、「データを暗号化する」 と書かれていればESPを疑います。

この違いは、SG試験でかなり重要です。

ESPとIKEの混同

ESPは、通信データを暗号化して保護する仕組みです。 一方、IKEは暗号化に使う鍵や方式を決める仕組みです。

選択肢で、

暗号化アルゴリズムを決定する

暗号化鍵を動的に生成する

鍵交換プロトコルである

と書かれていたら、ESPではなくIKEの説明です。

ESPは「実際に通信データを保護する側」、IKEは「そのための条件や鍵を決める側」と考えると分かりやすいです。

ESPとVPNの混同

VPNは、安全な仮想的な通信路を作る仕組みや考え方です。 ESPは、そのVPNを実現するときに使われるIPsecの機能の1つです。

つまり、

VPN:安全な通信路を作る仕組み全体

IPsec:VPNを実現する代表的な技術

ESP:IPsecの中で暗号化を担当する機能

という関係です。

選択肢では、「VPNそのものの説明」なのか、「IPsecの中のESPの説明」なのかを切り分けます。

ESPだけで安全になるという誤解

ESPを使うと、通信内容の盗聴や改ざんリスクを下げられます。 しかし、すべてのセキュリティ対策をESPだけでまかなえるわけではありません。

たとえば、

利用者のIDとパスワードが漏えいしている

接続元端末がマルウェアに感染している

アクセス権限が過剰に付与されている

といった問題は、ESPだけでは解決できません。

SG試験では、暗号化技術の名前だけで判断せず、何を守る対策なのかを確認することが大切です。

まとめ(試験直前用)

ESPは、IPsecで通信データを暗号化できる仕組み

AHは暗号化せず、認証・完全性確認を行う

ESPは必要に応じて認証や改ざん検知も行える

IKEは暗号方式や鍵を決める仕組み

選択肢で「IPsecの暗号化」が出たら、まずESPを候補にする