sg sg-security-overview crypto_auth network
まず結論
トンネルモードとは、IPsecで元のIPパケット全体を包み込み、VPN装置間などで通信を保護する方式です。
SG試験では、トンネルモードとトランスポートモードを混同させてくることがあります。
判断の中心は、次の1点です。
- 拠点間・ネットワーク間を保護するのか
- ホスト同士を直接保護するのか
トンネルモードは、基本的にVPN装置やゲートウェイ間で通信を保護する方式と押さえると切り分けやすくなります。
直感的な説明
トンネルモードは、荷物で例えると、
荷物全体を、さらに別の大きな箱に入れて運ぶイメージです。
元の荷物には、送り主や届け先の情報があります。 しかし、それをそのまま見せずに、別の箱で包んで運びます。
ネットワークで言うと、元のIPパケットをそのまま外に出すのではなく、 新しいIPパケットで包んで、VPN装置間を通すイメージです。
一方、トランスポートモードは、
荷物の中身を守りながら、元の宛先情報を使って送るイメージです。
SG試験では、次のように考えると判断しやすいです。
| 見方 | トンネルモード | トランスポートモード |
|---|---|---|
| 主な保護対象 | 拠点間・ネットワーク間の通信 | ホスト間の通信 |
| 暗号化する場所 | VPN装置・ゲートウェイ | 送信ホスト・受信ホスト |
| イメージ | パケット全体を包む | 通信内容を保護する |
定義・仕組み
IPsecは、IP通信を保護するための仕組みです。 暗号化や認証によって、通信内容の盗聴や改ざんを防ぐ目的で使われます。
IETFのRFCでは、IPsecの構成や動作の考え方が整理されています。詳しくは RFC 4301 - Security Architecture for the Internet Protocol が参考になります。
トンネルモードでは、 元のIPパケット全体をIPsecで保護し、それを新しいIPパケットの中に入れて送信します。
ざっくり言うと、次のような関係です。
- 元のIPパケットを包み込む
- 新しいIPヘッダーを付けて通信する
- VPN装置やゲートウェイが暗号化・復号を行う
- 拠点間VPNなどで使われやすい
SG試験では、細かいパケット構造よりも、 誰がIPsecの処理をしているかを見ます。
選択肢で、
VPN装置でカプセル化し、相手側のVPN装置で復号する
のように書かれていたら、トンネルモードを考えます。
逆に、
送信ホストと受信ホストがEnd-to-Endで暗号化する
のように書かれていたら、トランスポートモードを考えます。
どんな場面で使う?
トンネルモードは、主に拠点間通信を安全にしたい場面で使われます。
たとえば、次のような場面です。
- 本社と支社をVPNで接続する
- 社内ネットワーク同士をインターネット経由で安全につなぐ
- 利用者端末ではなく、VPN装置で暗号化・復号を行う
企業では、拠点間VPNのように、 通信する端末すべてにIPsecを設定するのではなく、 ネットワークの出入口にある装置でまとめて保護する構成がよくあります。
このような説明が出てきたら、トンネルモードを考えます。
一方で、次のような説明なら注意が必要です。
送信ホストと受信ホストが直接IPsecを処理する
これは、トンネルモードではなく、 トランスポートモードの説明として判断します。
よくある誤解・混同
トランスポートモードとの混同
最も混同しやすいのは、トランスポートモードです。
| 項目 | トンネルモード | トランスポートモード |
|---|---|---|
| 通信の単位 | ネットワーク間・拠点間 | ホスト間 |
| 処理する主体 | VPN装置・ゲートウェイ | 送信ホスト・受信ホスト |
| 試験でのキーワード | カプセル化、VPN装置、拠点間 | End-to-End、ホスト間 |
トンネルモードは、 元のIPパケット全体を包み込むと考えます。
トランスポートモードは、 ホスト同士が直接IPsecを使うと考えます。
SG試験では、
通信経路上のゲートウェイ間だけで暗号化する
という説明があれば、トンネルモードの方向で考えます。
SSL/TLSとの混同
SSL/TLSも通信を暗号化する仕組みですが、IPsecとは保護する対象が異なります。
- IPsec:IP層で通信を保護する
- SSL/TLS:HTTPSなど、主にアプリケーションに近い通信を保護する
選択肢で、
WebブラウザとWebサーバ間のHTTPS通信を暗号化する
とあれば、通常はSSL/TLSの話です。
一方、
拠点間VPNでIPパケットをカプセル化して保護する
とあれば、IPsecのトンネルモードを考えます。
VPNならすべてトンネルモード、とは限らない
VPNという言葉が出てきたらトンネルモードを疑ってよいですが、 VPNという言葉だけで即決しないことも大切です。
SG試験では、次の情報を見て判断します。
- VPN装置間で処理しているか
- 拠点間通信か
- パケットをカプセル化しているか
- ホスト同士のEnd-to-End通信か
特に、 カプセル化やゲートウェイ間が出てきたら、 トンネルモードと判断しやすくなります。
まとめ(試験直前用)
- トンネルモードは、元のIPパケット全体を包み込むIPsecの方式
- VPN装置・ゲートウェイ・拠点間・カプセル化がキーワード
- 送信ホストと受信ホストが直接暗号化ならトランスポートモードを疑う
- SSL/TLSはHTTPSなどの通信保護として切り分ける
- SG試験では、細かい構造より誰がIPsecを処理するかで判断する
🔗 関連記事
- AESとは?鍵長とラウンド数も押さえる共通鍵暗号【SG試験】
- 攻撃の事前調査とは?偵察・スキャン・脆弱性探索の流れ【SG試験】
- 攻撃者の種類とは?目的と特徴で整理する【SG試験】
- 認証・認可・アクセス制御の違いとは?役割の切り分けを整理【SG試験】
- 認証方式とは?3要素と多要素認証を整理【SG試験】