トランスポートモード

トランスポートモード

　IPSec (Internet Protocol Security) は、インターネット上で通信を行う際にセキュリティを確保するためのプロトコルです。IPSecでは、トンネルモードとトランスポートモードの2つのモードがあります。

　トランスポートモードでは、IPパケットのペイロード（通常はTCPやUDPのセグメント）に対して暗号化と認証を行います。つまり、IPパケットのヘッダーはそのままに、ペイロードだけを暗号化することになります。トランスポートモードでは、2つのホスト間で直接通信を行う場合に使用されます。

　IPSecでトランスポートモードを使用する場合、SA (Security Association) が必要です。SAは、IPSecでセキュリティ関連の情報を交換するための概念であり、暗号アルゴリズムや認証アルゴリズム、鍵の交換方法などを定義します。

　IPSecでは、SAの確立にはIKE (Internet Key Exchange) プロトコルを使用します。IKEは、SAの確立および更新に必要な鍵の交換を行います。

　トランスポートモードを使用する場合、IPSecはペイロードのみを暗号化するため、ヘッダー情報はそのまま送信されるため、パケットの処理速度はトンネルモードよりも高速です。しかし、トランスポートモードでは、IPヘッダーの情報を保護しないため、ヘッダー情報の改竄や盗聴に対する保護は行われません。そのため、2つのホスト間で直接通信する場合に限定的に使用されます。

　IPSecでトランスポートモードを使用する際のセキュリティ上の課題は、ヘッダー情報の保護が行われないことです。これに対処するため、IPSecでは、AH (Authentication Header) とESP (Encapsulating Security Payload) の2つのプロトコルが使用されます。

　AHは、IPパケットのヘッダー情報を含むペイロード全体に対して認証を行います。つまり、ペイロードだけでなく、IPヘッダー情報も保護されます。しかし、AHは暗号化を行わないため、ペイロードの内容が閲覧できます。

　ESPは、IPパケットのペイロードを暗号化し、認証を行います。ESPでは、暗号化と認証を同時に行うため、AHと比較してセキュリティレベルが高くなります。ただし、ESPにはヘッダー情報の保護機能がないため、通信相手が自分であることの確認やパケットの改竄を検知するためには、別途認証ヘッダーの利用が必要です。

　IPSecでトランスポートモードを使用する場合、通信相手間でSAの確立が必要であり、鍵の交換が行われます。また、暗号化や認証にはCPUの処理能力が必要であるため、高速な処理を行うためにはハードウェアアクセラレーションを利用することができます。