基本情報 平成31年度 春期 問43：テクノロジ系に関する問題

答えは a「IPsec」 です。

IPsecは、インターネット上のデータを箱に入れて鍵をかけて送るような仕組み。OSI参照モデルのネットワーク層（IPの層）で動作します。

中身は2つのプロトコル：

• AH（認証ヘッダ）：改ざんチェック係
• ESP（暗号ペイロード）：暗号化＋改ざんチェック係

👉 覚え方：IPsec＝IPをSecure（安全）にする。AH/ESPはセットで覚える。

ほかの選択肢：b S/MIME＝メール暗号／c SSH＝リモート操作の暗号通信／d XML暗号＝XMLデータの暗号化。

なぜこれが正解か

正解は a。IPsec（IP Security）はOSI参照モデルのネットワーク層（第3層）で動作し、AH（Authentication Header：認証ヘッダ）とESP（Encapsulating Security Payload：暗号ペイロード）の2つのプロトコルを含む。AHはデータ完全性と送信元認証、ESPは暗号化＋認証を提供する。

各選択肢の解説

• b S/MIME：電子メールの暗号化／署名規格。アプリケーション層。
• c SSH：リモートシェル接続のセキュア化。アプリケーション層。
• d XML暗号：XML文書の暗号化。アプリケーション層。

覚え方・ひっかけ注意

セキュアプロトコルの層別整理：

• アプリ層：S/MIME、PGP、SSH、HTTPS、SFTP
• トランスポート層：TLS／SSL
• ネットワーク層：IPsec（AH／ESP）
• データリンク層：WPA2／WPA3、MACsec

「AH＋ESP＝IPsec」が頻出のキーフレーズ。試験では「OSI第3層＋AH／ESP」がIPsecの2大識別子。

理論的背景

IPsecはRFC 4301（アーキテクチャ）他で規定。主要構成要素：

• AH（RFC 4302）：IPパケット全体（変動フィールド除く）のハッシュをHMACで計算。完全性＋認証のみ提供。
• ESP（RFC 4303）：ペイロード暗号化＋認証。AESでの暗号化、HMAC-SHA-256での認証が一般的。
• IKE／IKEv2（RFC 7296）：鍵交換プロトコル。Diffie-Hellmanで共通鍵を確立。
• SA（Security Association）：単方向のセキュリティ関係。SPI（Security Parameter Index）で識別。

動作モードはトランスポートモード（IPペイロードのみ保護、エンドツーエンド）とトンネルモード（IPパケット全体を新IPヘッダで再カプセル化、サイトツーサイトVPN）の2種。

実務での使われ方

• サイト間VPN：拠点間ルータでIPsecトンネルを張り、専用線代替
• リモートアクセスVPN：IKEv2／IPsecで在宅勤務クライアントが社内接続
• クラウド接続：AWS Site-to-Site VPN、Azure VPN GatewayはIPsec基盤
• モバイル：iOS／AndroidのIKEv2クライアント標準対応
• NAT越え：NAT-T（UDP 4500ポート）でNAT環境でも動作

他プロトコルとの比較

• SSL-VPN：アプリ層、Webブラウザベースで導入容易。IPsec-VPNは下位層で透過的だが設定が複雑。
• WireGuard：新世代VPNプロトコル。シンプル・高速で台頭中。
• TLS 1.3：トランスポート層、HTTPS／QUICで普及。

試験での位置づけ

基本情報・応用情報・情報処理安全確保支援士のネットワーク／セキュリティ分野で必出。直近はゼロトラスト（境界防御からの脱却）、SASE／SSEとの連動で出題。

選択肢の発展補足

S/MIMEはRFC 8551で規定、X.509証明書でメール署名・暗号化。SSHはRFC 4251シリーズで規定、公開鍵認証で安全なリモート操作（SCP／SFTPも内包）。XML暗号はW3C規格で、SAML／WS-Securityで利用。各層・各用途で適切なセキュアプロトコルを選択することが多層防御（Defense in Depth）の基本。