sg sg-security-overview crypto_auth network
まず結論
トランスポートモードとは、IPsecで送信ホストから受信ホストまでの通信内容を保護する方式です。
SG試験では、トランスポートモードとトンネルモードを混同させてくることがあります。
判断の中心は、次の1点です。
- ホスト同士を保護するのか
- ネットワーク間をVPN装置で保護するのか
トランスポートモードは、基本的に通信する端末同士がIPsecを使う方式と押さえると切り分けやすくなります。
直感的な説明
トランスポートモードは、荷物で例えると、
荷物の中身だけを鍵付きの箱に入れて送るイメージです。
送り主と受け取り先の住所情報は使いながら、 中身が途中で見られたり改ざんされたりしないように守ります。
一方、トンネルモードは、
荷物全体をさらに大きな箱に入れて、拠点間で運ぶイメージです。
そのため、SG試験では次のように考えると判断しやすいです。
| 見方 | トランスポートモード | トンネルモード |
|---|---|---|
| 主な保護対象 | ホスト間の通信 | 拠点間・ネットワーク間の通信 |
| 暗号化する場所 | 送信ホストと受信ホスト | VPN装置などのゲートウェイ |
| イメージ | 端末同士で守る | 通信経路をトンネルで包む |
定義・仕組み
IPsecは、IP通信を保護するための仕組みです。 暗号化や認証によって、通信内容の盗聴や改ざんを防ぐ目的で使われます。
IETFのRFCでは、IPsecの構成や動作の考え方が整理されています。詳しくは RFC 4301 - Security Architecture for the Internet Protocol が参考になります。
トランスポートモードでは、IPパケット全体を新しいIPパケットで包むのではなく、 元のIPヘッダーを基本的に使いながら、通信内容を保護する形になります。
つまり、ざっくり言うと次のような関係です。
- 元の送信元IPアドレス・宛先IPアドレスはそのまま使う
- 通信の中身を暗号化・認証で守る
- 送信ホストと受信ホストがIPsecを処理する
SG試験では、細かいパケット構造よりも、 誰と誰の間で暗号化しているかを見ます。
選択肢で、
ゲートウェイ間の通信だけを暗号化する
のように書かれていたら、トランスポートモードではなく、 トンネルモードの説明ではないかと疑うのがポイントです。
どんな場面で使う?
トランスポートモードは、主にホスト同士が直接安全に通信したい場面で使われます。
たとえば、次のようなイメージです。
- サーバ同士の通信をIPsecで保護する
- 特定の端末とサーバの通信を保護する
- 拠点間VPNではなく、端末間の通信保護を考える
ただし、企業のVPNでよく出てくるのは、 拠点間をVPN装置で接続するような構成です。 この場合は、一般にトンネルモードのイメージが近くなります。
SG試験では、
VPN装置でカプセル化・復号する
と書かれていたら、トランスポートモードではなく、 トンネルモードを考えます。
逆に、
送信ホストと受信ホストがEnd-to-Endで暗号化する
と書かれていたら、 トランスポートモードを考えます。
よくある誤解・混同
トンネルモードとの混同
最も混同しやすいのは、トンネルモードです。
| 項目 | トランスポートモード | トンネルモード |
|---|---|---|
| 通信の単位 | ホスト間 | ネットワーク間・拠点間 |
| 処理する主体 | 送信ホスト・受信ホスト | VPN装置・ゲートウェイ |
| 試験でのキーワード | End-to-End | カプセル化、VPN装置、拠点間 |
トランスポートモードは、 端末同士が直接IPsecを使うと考えます。
トンネルモードは、 元のIPパケットを包み込んで、VPN装置間で運ぶと考えます。
SSL/TLSとの混同
SSL/TLSも通信を暗号化する仕組みですが、IPsecとは保護する層が異なります。
- IPsec:IP層で通信を保護する
- SSL/TLS:Web通信など、主にアプリケーションに近い層で通信を保護する
SG試験では、
HTTPSでブラウザとWebサーバ間を暗号化する
とあれば、通常はSSL/TLSの話です。
一方、
IP通信そのものを保護する
とあれば、IPsecを考えます。
S/MIMEとの混同
S/MIMEは、電子メールの本文や添付ファイルを保護する仕組みです。
トランスポートモードは、メールそのものを暗号化する仕組みではありません。 通信経路上のIP通信を保護する考え方です。
選択肢では、
メールサーバ内に保存されている間もメール本文が暗号化されたままになる
のような説明は、IPsecではなく、S/MIMEのようなメッセージ自体の暗号化を考えます。
まとめ(試験直前用)
- トランスポートモードは、ホスト間の通信を保護するIPsecの方式
- End-to-End、送信ホストと受信ホストがキーワード
- VPN装置間・カプセル化・拠点間ならトンネルモードを疑う
- SSL/TLSは主にWeb通信、S/MIMEはメール本文の保護として切り分ける
- SG試験では、細かい構造より誰と誰の間を守るかで判断する
🔗 関連記事
- AESとは?鍵長とラウンド数も押さえる共通鍵暗号【SG試験】
- 攻撃の事前調査とは?偵察・スキャン・脆弱性探索の流れ【SG試験】
- 攻撃者の種類とは?目的と特徴で整理する【SG試験】
- 認証・認可・アクセス制御の違いとは?役割の切り分けを整理【SG試験】
- 認証方式とは?3要素と多要素認証を整理【SG試験】