情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成27年度春期 午前Ⅱ 問9: IPsecに関する記述のうち,適切なものはどれか。
←情報セキュリティスペシャリスト試験 平成27年度春期 午前Ⅱ
に関する記述のうち,適切なものはどれか。
問題本文
IPsecに関する記述のうち,適切なものはどれか。
選択肢
- ア.IKEはIPsecの鍵交換のためのプロトコルであり,ポート番号80が使用される。
- イ.暗号化アルゴリズムとして,HMAC-SHA1が使用される。
- ウ.トンネルモードを使用すると,エンドツーエンドの通信で用いるIPのヘッダまで含めて暗号化される。
- エ.ホストAとホストBとの間でIPsecによる通信を行う場合,認証や暗号化アルゴリズムを両者で決めるためにESPヘッダではなくAHヘッダを使用する。
正解
ウ. トンネルモードを使用すると,エンドツーエンドの通信で用いるIPのヘッダまで含めて暗号化される。
解説
IPsecはIPレベルで認証・暗号化を行う仕組み。トランスポートモードはペイロードのみ保護するが、トンネルモードは元のIPヘッダごと暗号化して新しいヘッダを付与するため、エンド間で用いるIPヘッダまで含めて隠せる。VPNゲートウェイ間の接続で多用される。鍵交換はIKE、暗号化はAES等、完全性はHMAC-SHA1が担い、役割の区別が重要となる。
選択肢ごとの解説
- ア.IKEの鍵交換は一般にUDPポート500等を使い、HTTPのポート80ではないため誤り。
- イ.HMAC-SHA1は完全性(認証)用のアルゴリズムであり、暗号化用ではないため誤り。
- ウ.トンネルモードは元のIPヘッダまで含めて暗号化する特徴があり正しい。
- エ.アルゴリズムの折衝はIKEが担い、AHは完全性のみで暗号化を提供しないため記述が誤り。
情報セキュリティスペシャリスト試験 平成27年度春期 午前Ⅱ の過去問一覧へ戻る・問9