IPsecはIP通信を暗号化や認証によって保護する仕組みです。AH・ESP・IKEの役割と、SG試験で混同しやすい判断ポイントを整理します。

sg sg-security-overview crypto_auth network sg-technology

まず結論

IPsecは、IP通信を暗号化や認証によって保護するための仕組みです。

SG試験では、IPsecそのものを細かく設定できるかではなく、何を守る仕組みか、AH・ESP・IKEの役割を切り分けられるかが問われやすいです。

特に、次の整理が大切です。

IPsec:IP通信を保護する仕組み全体

AH:認証・改ざん検知を行うが、暗号化はしない

ESP:暗号化を行える

IKE:暗号化方式や鍵を決めるための仕組み

直感的な説明

IPsecは、ネットワーク上を流れる通信に対して、安全な通路を作る仕組みと考えると分かりやすいです。

たとえば、会社の拠点同士をインターネットでつなぐ場合、そのまま通信すると第三者に盗み見されたり、途中で改ざんされたりする危険があります。

そこでIPsecを使うと、通信に対して、

中身を見られにくくする

途中で改ざんされていないか確認する

正しい相手との通信か確認する

といった保護を行えます。

イメージとしては、普通の道路を走る荷物に対して、鍵付きの専用ルートや封印シールを付けるようなものです。

ただし、IPsecは1つの機能だけではありません。 暗号化、認証、鍵交換など、いくつかの部品を組み合わせて通信を守ります。

定義・仕組み

IPsecは、IP層で通信を保護するためのプロトコル群です。 「プロトコル群」というのは、1つの機能だけでなく、複数の仕組みを組み合わせたものという意味です。

IPsecで特に重要なのは、次の3つです。

用語 役割 試験での見分け方

AH 認証、完全性確認、リプレイ攻撃対策 暗号化はしない ESP 暗号化、必要に応じて認証や完全性確認 暗号化が出たら候補 IKE 鍵交換、暗号化方式の決定 鍵を決める話なら候補

AH

AHは、Authentication Headerの略で、日本語では認証ヘッダーと呼ばれます。

主な役割は、通信相手の確認と改ざん検知です。 一方で、データの暗号化は行いません。

SG試験では、AHを「暗号化する仕組み」として説明する選択肢は誤りとして切ります。

ESP

ESPは、Encapsulating Security Payloadの略です。

主な役割は、通信データの暗号化です。 必要に応じて、認証や完全性確認も行えます。

SG試験では、IPsecで暗号化を行う中心はESPと考えると整理しやすいです。

IKE

IKEは、Internet Key Exchangeの略です。

通信を暗号化するには、どの暗号方式を使うか、どの鍵を使うかを決める必要があります。 この鍵交換や条件の合意を行うのがIKEです。

選択肢で「暗号化アルゴリズムを決める」「鍵を動的に生成する」「鍵交換プロトコル」と書かれていたら、AHやESPではなくIKEを疑います。

トランスポートモードとトンネルモード

IPsecには、保護する範囲の違いによって、トランスポートモードとトンネルモードがあります。

モード イメージ 主な使い方

トランスポートモード 元のIPヘッダーを基本的に残して中身を保護する 端末同士の通信保護 トンネルモード IPパケット全体を包み込んで保護する VPNなどの拠点間通信

SG試験では、細かいパケット構造よりも、トンネルモードはVPNで使われやすいという理解を優先するとよいです。

どんな場面で使う?

IPsecは、ネットワーク上の通信を安全にしたい場面で使われます。

代表的なのは、VPNです。

たとえば、

本社と支社を安全につなぐ

外出先から社内ネットワークへ安全に接続する

インターネット上で通信内容を保護する

といった場面で使われます。

特に企業では、インターネットを使いながらも、社内ネットワークのように安全に通信したい場面があります。 このようなとき、IPsecによって通信経路を保護します。

ただし、IPsecを使えばすべてのセキュリティ問題が解決するわけではありません。

IPsecは、あくまで通信経路を保護する仕組みです。 端末自体がマルウェアに感染していたり、利用者のIDやパスワードが漏えいしていたりする場合は、別の対策も必要です。

SG試験では、IPsecを「通信路の保護」として考え、アクセス管理、認証、マルウェア対策などと役割を分けて判断します。

よくある誤解・混同

IPsecとSSL/TLSの混同

IPsecとSSL/TLSは、どちらも通信を保護する仕組みです。 ただし、使われる位置づけが違います。

用語 主な保護対象 よく使われる場面

IPsec IP層の通信 VPN、拠点間通信 SSL/TLS アプリケーション通信 HTTPS、Web通信

SG試験では、WebサイトのHTTPS通信ならSSL/TLS、VPNやIP層の通信保護ならIPsecと考えると切り分けやすいです。

IPsecとVPNの混同

VPNは、安全な仮想的な通信路を作る考え方や仕組みの総称です。 IPsecは、そのVPNを実現するために使われる代表的な技術の1つです。

つまり、

VPN:安全な通信路を作る仕組み全体の考え方

IPsec:VPNなどで使われる通信保護の技術

と整理します。

選択肢では、「VPNそのもの」と「VPNで使う技術」を混同させることがあります。

AHとESPの混同

IPsecの中で特に間違えやすいのが、AHとESPです。

AHは、認証と改ざん検知を行います。 しかし、データの暗号化は行いません。

ESPは、データの暗号化を行えます。 必要に応じて、認証や完全性確認も行えます。

選択肢では、「AHが暗号化する」 と書かれていたら注意です。 AHは暗号化ではなく、認証と完全性確認です。

IKEとの混同

IPsecでは暗号化通信を行うために、鍵や暗号方式を決める必要があります。 この役割を担うのがIKEです。

そのため、選択肢に、

暗号化アルゴリズムを決定する

暗号化鍵を動的に生成する

鍵交換を行う

と書かれていた場合は、IPsec全体の中でもIKEの説明として考えます。

SG試験では、IPsecという大きな枠の中に、AH・ESP・IKEがあると考えると整理しやすいです。

まとめ(試験直前用)

IPsecは、IP通信を暗号化や認証で保護する仕組み

AHは、認証・完全性確認を行うが、暗号化はしない

ESPは、暗号化を行える

IKEは、暗号方式や鍵を決める鍵交換の仕組み

VPNや拠点間通信の文脈で出たら、IPsecを候補にする