IKEはIPsec通信で使う暗号方式や鍵を決めるための鍵交換の仕組みです。AH・ESP・SAとの違いをSG試験向けに整理します。

sg sg-security-overview crypto_auth network sg-technology

まず結論

IKE(Internet Key Exchange)は、IPsecで安全に通信するために、暗号方式や鍵を決める鍵交換の仕組みです。

SG試験では、IKEを「通信データを暗号化するもの」と覚えるより、ESPなどが暗号化通信を行う前に、必要な条件や鍵を決める仕組みとして理解することが大切です。

特に、次の切り分けが重要です。

IPsec:IP通信を保護する仕組み全体

AH:認証・改ざん検知を行うが、暗号化はしない

ESP:通信データを暗号化できる

IKE:暗号方式や鍵を決める

SA:IPsec通信で使うルールや設定のまとまり

選択肢で「鍵交換」「暗号化アルゴリズムを決定」「暗号化鍵を動的に生成」と出てきたら、IKEを候補にします。

直感的な説明

IKEは、通信を始める前の合鍵の打ち合わせのようなものです。

たとえば、2人で秘密のメッセージをやり取りする場合、いきなり暗号化して送ることはできません。 先に、

どの暗号方式を使うか

どの鍵を使うか

どれくらいの期間、その鍵を使うか

相手は本当に正しい相手か

を決める必要があります。

この「通信を守るための事前準備」を行うのがIKEです。

ESPが実際に通信内容を暗号化する担当だとすると、IKEは暗号化に必要な約束を決める担当です。

定義・仕組み

IKEは、IPsecで使う暗号方式や鍵などを安全に決めるためのプロトコルです。

IPsecで安全な通信をするには、通信する相手同士が同じルールを共有している必要があります。 たとえば、片方がある暗号方式を使い、もう片方が別の方式を使っていたら、通信内容を正しく復号できません。

そこでIKEは、通信を始める前に次のような内容を決めます。

項目 内容

暗号方式 どの暗号化アルゴリズムを使うか 認証方式 相手をどのように確認するか 鍵 通信を保護するための鍵 有効期間 その鍵や設定をいつまで使うか SA IPsec通信で使うルールや設定

IKEとSAの関係

SA(Security Association)は、IPsec通信で使うルールや設定のまとまりです。

IKEは、このSAを作るための交渉を行います。 つまり、IKEは「ルールを決める会議」、SAは「決まったルール表」と考えると分かりやすいです。

用語 役割

IKE 鍵や暗号方式を交渉して決める SA 決まった通信ルールや設定のまとまり

SG試験では、SAそのものを細かく覚えるより、IKEがSAを作るために鍵や条件を決めると理解しておくと十分です。

IKEとESPの関係

ESPは、IPsecで通信データを暗号化できる仕組みです。 ただし、ESPが暗号化を行うには、どの鍵や暗号方式を使うかが決まっている必要があります。

その事前準備を行うのがIKEです。

用語 役割

IKE 暗号方式や鍵を決める ESP 決められた鍵や方式で通信データを保護する

選択肢で「通信データを暗号化する」とあればESPを疑います。 一方、「鍵を交換する」「暗号方式を決める」とあればIKEを疑います。

どんな場面で使う?

IKEは、IPsecを使って安全な通信を行う場面で使われます。

代表的なのは、VPNです。

たとえば、

本社と支社をIPsec VPNで接続する

外出先から社内ネットワークに安全に接続する

通信を始める前に、暗号方式や鍵を安全に決める

といった場面で関係します。

実務では、VPN機器やルータなどでIPsec VPNを設定するときに、IKEの設定が出てくることがあります。 ただし、SG試験では設定値の細かい暗記よりも、IKEは鍵交換と条件の合意を行う仕組みと押さえることが大切です。

また、IKEは通信前の準備を行う仕組みなので、通信データそのものを暗号化しているわけではありません。 実際のデータ保護は、主にESPなどが担当します。

よくある誤解・混同

IKEとESPの混同

IKEとESPは、どちらもIPsecで出てくるため混同しやすいです。

用語 主な役割 試験での見分け方

IKE 鍵交換、暗号方式の決定 鍵・交渉・動的生成が出る ESP 通信データの暗号化 データ暗号化が出る

選択肢では、「暗号化鍵を動的に生成する鍵交換プロトコル」のように書かれていたら、ESPではなくIKEです。

ESPは暗号化を行う側、IKEはそのための鍵や条件を決める側です。

IKEとAHの混同

AHは、認証や完全性確認を行うIPsecの仕組みです。 ただし、AHは暗号化を行わず、鍵交換を行う仕組みでもありません。

用語 主な役割

AH 認証、完全性確認、リプレイ攻撃対策 IKE 鍵交換、暗号方式の決定

選択肢で「認証データ」「シーケンス番号」「暗号化は行わない」といった内容が出ればAHを疑います。 一方、「鍵交換」「暗号化アルゴリズムを決める」と出ればIKEを疑います。

IKEとSAの混同

SAは、IPsec通信で使うルールや設定のまとまりです。 IKEは、そのSAを作るために交渉する仕組みです。

過去問では、

暗号化アルゴリズムや暗号化鍵のライフタイムが設定される管理テーブル

のような説明が出ることがあります。 これはIKEそのものというより、SAに関する説明として考えます。

IKEは「交渉する仕組み」、SAは「決まった内容」と切り分けます。

IKEを暗号化そのものと考える誤解

IKEは、暗号化通信を行うために重要な仕組みです。 しかし、IKE自体が通信データを暗号化して運ぶ中心ではありません。

通信データを暗号化する中心はESPです。 IKEは、そのESPなどが使う鍵や方式を決める準備役です。

SG試験では、準備役か、実行役かで切り分けると分かりやすいです。

IKE:準備役。鍵や方式を決める

ESP:実行役。通信データを暗号化する

AH:確認役。認証と改ざん検知を行う

まとめ(試験直前用)

IKEは、IPsecで使う鍵や暗号方式を決める仕組み

IKEは、通信データそのものを暗号化する中心ではない

ESPは、通信データを暗号化できる仕組み

AHは、暗号化せず、認証・完全性確認を行う仕組み

選択肢で「鍵交換」「暗号化鍵を動的に生成」と出たらIKEを候補にする