SAはIPsec通信で使う暗号方式や鍵、有効期間などのルールをまとめた情報です。IKE・AH・ESPとの違いをSG試験向けに整理します。

sg sg-security-overview crypto_auth network sg-technology

まず結論

SA(Security Association)は、IPsec通信で使う暗号方式・鍵・有効期間などのルールや設定をまとめた情報です。

SG試験では、SAを「暗号化そのもの」や「鍵交換そのもの」と考えるのではなく、IPsec通信で使う約束ごとを管理する情報として理解することが大切です。

特に、次の切り分けが重要です。

IPsec:IP通信を保護する仕組み全体

AH:認証・改ざん検知を行うが、暗号化はしない

ESP:通信データを暗号化できる

IKE:暗号方式や鍵を決める

SA:決まった通信ルールや設定のまとまり

選択肢で「暗号化アルゴリズム」「鍵のライフタイム」「管理テーブル」「SPI」などが出てきたら、SAを候補にします。

直感的な説明

SAは、IPsec通信のための通信ルール表のようなものです。

安全に通信するには、通信する相手同士で、あらかじめ約束をそろえておく必要があります。

たとえば、

どの暗号方式を使うか

どの鍵を使うか

その鍵をいつまで使うか

AHを使うのか、ESPを使うのか

どの通信相手とのルールなのか

がバラバラだと、正しく安全な通信ができません。

そこでSAは、これらの約束ごとをまとめて管理します。

イメージとしては、IKEが「打ち合わせをする係」、SAが「打ち合わせで決まったルール表」、ESPやAHが「そのルールに従って実際に通信を守る係」です。

定義・仕組み

SAは、IPsecで保護された通信を行うために必要な情報のまとまりです。 日本語では、セキュリティアソシエーションと呼ばれます。

SAには、主に次のような情報が含まれます。

項目 内容

SPI SAを識別するための番号 宛先IPアドレス どの通信相手とのルールかを示す情報 セキュリティプロトコル AHを使うのか、ESPを使うのかを示す情報 暗号方式 通信を暗号化する場合に使う方式 認証方式 認証や改ざん検知に使う方式 鍵 暗号化や認証に使う鍵 ライフタイム そのSAをいつまで使うかを示す有効期間

ここで重要なのは、SAは実際に暗号化を行う機能そのものではないという点です。

SAは、ESPやAHが通信を保護するために参照するルールや設定です。

SAとSPIの関係

SPI(Security Parameter Index)は、どのSAを使うかを識別するための番号です。

通信中に受け取ったパケットについて、受信側はSPIを見て、どのSAのルールを使えばよいかを判断します。

つまり、

SA:通信ルールのまとまり

SPI:そのSAを見分けるための番号

と考えると分かりやすいです。

SAとIKEの関係

IKEは、IPsecで使う鍵や暗号方式を決める仕組みです。 その結果として作られる通信ルールのまとまりがSAです。

用語 役割

IKE 鍵や暗号方式を交渉して決める SA 決まったルールや設定を管理する

SG試験では、IKEが決める、SAが保持すると整理すると判断しやすいです。

SAとAH・ESPの関係

AHやESPは、IPsecで実際に通信を保護する仕組みです。 ただし、AHやESPが動作するには、どの鍵や方式を使うかが決まっている必要があります。

その設定情報を持つのがSAです。

用語 役割

AH 認証・完全性確認を行う ESP 暗号化を行える SA AHやESPが使うルールや設定を管理する

選択肢で「認証データ」「シーケンス番号」「暗号化はしない」とあればAHを疑います。 「通信データを暗号化する」とあればESPを疑います。 「暗号化アルゴリズムや鍵のライフタイムが設定される」とあればSAを疑います。

どんな場面で使う?

SAは、IPsecを使った通信で必ず関係する考え方です。

代表的には、IPsec VPNで本社と支社を安全につなぐ場面です。

たとえば、VPN通信を行うときには、通信する機器同士で、

どの暗号方式を使うか

どの認証方式を使うか

どの鍵を使うか

その鍵をいつまで有効にするか

をそろえる必要があります。

このような設定を管理するためにSAが使われます。

ただし、SG試験では、実際にVPN機器の設定値を覚える必要はあまりありません。 大切なのは、SAがIPsec通信のルールや設定を管理する情報だと判断できることです。

実務では、鍵の有効期間や暗号方式の設定が適切でないと、通信の安全性に影響します。 そのため、SAは単なる用語ではなく、IPsec通信の安全性を支える設定情報として理解するとよいです。

よくある誤解・混同

SAとIKEの混同

SAとIKEはとても混同しやすいです。

IKEは、暗号方式や鍵を交渉して決める仕組みです。 SAは、その結果として決まった通信ルールや設定のまとまりです。

用語 試験での見分け方

IKE 鍵交換、暗号化鍵を動的に生成、暗号方式を決定 SA 暗号方式、鍵、ライフタイムなどを管理する情報

選択肢では、「鍵交換プロトコル」とあればIKEです。 「管理テーブル」「ライフタイムが設定される」とあればSAを疑います。

SAとESPの混同

ESPは、通信データを暗号化できる仕組みです。 SAは、ESPが使う暗号方式や鍵などの設定情報です。

つまり、ESPは「通信を守る機能」、SAは「その機能が使うルール表」です。

選択肢で「データを暗号化する」と書かれていればESPです。 「暗号化アルゴリズムや鍵の有効期間を管理する」と書かれていればSAです。

SAとAHの混同

AHは、認証や完全性確認を行う仕組みです。 SAは、AHで使う認証方式や鍵などを管理する情報です。

AHは実際にパケットの認証や改ざん検知を行う側です。 SAは、そのために使う設定を持つ側です。

SAを通信そのものと考える誤解

SAは、通信データそのものではありません。 また、通信を暗号化する機能そのものでもありません。

SAは、IPsec通信を行うためのルールや設定をまとめた情報です。

SG試験では、次のように「役割」で切り分けると迷いにくくなります。

IKE:決める

SA:保持する・管理する

ESP:暗号化する

AH:認証・改ざん検知する

SAは一方通行の関係である点に注意

SAは、基本的に一方向の通信に対するルールです。

つまり、AからBへの通信と、BからAへの通信では、別のSAとして扱われます。 SG試験で細かく問われる頻度は高くありませんが、SAは「通信の向きごとのルール」と理解しておくと、より正確です。

まとめ(試験直前用)

SAは、IPsec通信で使うルールや設定のまとまり

SPIは、どのSAを使うかを識別する番号

IKEは、鍵や暗号方式を交渉してSAを作る

ESPやAHは、SAの設定に従って通信を保護する

選択肢で「暗号方式・鍵・ライフタイム・管理テーブル」が出たらSAを候補にする