IPsec (IP Security) の概要
IPsec (IP Security) は、IP (Internet Protocol) を拡張し、通信のセキュリティを強化するためのプロトコルである。主な機能として、改ざんの検知、通信データの暗号化、送信元の認証などがあり、OSI基本参照モデルの ネットワーク層 (TCP/IPモデルではIP層) で提供される。IPsecを利用することで、上位のアプリケーション層のプロトコルに依存せずに暗号化通信を実現できるため、VPN (Virtual Private Network) の構築に広く活用されている。
IPsecはプロトコル群の総称であり、認証、暗号化、鍵交換などの機能を提供する複数のプロトコルが含まれる。そのうち、AH (Authentication Header) は認証機能を担い、ESP (Encapsulated Security Payload) は認証と暗号化の両方を担当する。データの暗号化機能を持つ規格は他にも存在するが、ネットワーク層で動作するのはIPsecのみである。
間違いやすい類似技術
| 名称 | 説明 |
|---|---|
| S/MIME (Secure Multipurpose Internet Mail Extensions) | 電子メールの暗号化・認証を実現する規格であり、公開鍵暗号技術を使用して「認証」「改ざん検出」「暗号化」などの機能を電子メールソフトに提供する。 |
| SSH (Secure Shell) | 公開鍵暗号や認証技術を利用し、リモートコンピュータとの安全な通信を実現するアプリケーション層のプロトコルである。 |
| XML暗号 (XML Encryption) | XML文書の一部分を暗号化するための規格であり、XMLデータの保護を目的とする。 |
メモリインターリーブとは
メモリインターリーブは、物理的には単一の主記憶領域を、同時アクセスが可能な複数の論理的な領域 (バンク) に分割し、それぞれのバンクに対して並列でデータの読み書きを行う技術である。これにより、メモリアクセスの高速化が実現される。
通常、連続するアドレスに対して順次アクセスされることが多いため、奇数アドレスをバンク1、偶数アドレスをバンク2といった形でデータを格納することで、見かけ上の並列アクセスが可能となり、実効アクセス時間の短縮が達成される。「主記憶に並列アクセスする技術」と問われた場合は、メモリインターリーブが該当する。
間違いやすい類似技術
| 名称 | 説明 |
|---|---|
| 仮想記憶 | 主記憶と外部記憶を一元的にアドレス付けし、主記憶の物理容量を超えるメモリ空間を提供する技術。 |
| ディスクバッファ | 主記憶と磁気ディスク装置との間にバッファメモリを設置し、両者のアクセス速度の差を補う技術。 |
| DMA (Direct Memory Access) 制御方式 | 主記憶と入出力装置の間で、CPUを介さずにデータ転送を行う技術。 |
| メモリインターリーブ | 主記憶を複数のバンクに分割し、CPUからのアクセス要求を並列処理することで高速化を実現する技術。 |
スイッチングハブ (レイヤー2スイッチ) の機能
スイッチングハブ (レイヤー2スイッチ) は、受信したデータの宛先MACアドレス を解析し、その宛先と接続されたLANポートのみにデータを送出するネットワーク機器である。
スイッチングハブは、各LANポートとMACアドレスの対応関係を記録するMACアドレステーブル を内部に保持し、データを受信した際に適切なLANポートへ送出する仕組みを持つ。もし、宛先MACアドレスがMACアドレステーブルに登録されていない場合や、ブロードキャストフレームを受信した場合は、フラッディング (Flooding) を行い、受信ポート以外の全LANポートからデータを送出する。
間違いやすい類似技術
| 名称 | 説明 |
|---|---|
| ルータ | IPアドレスを解析し、データを中継するか破棄するかを判断する。 |
| スイッチングハブ | MACアドレスを解析し、適切なLANポートにデータを送出する。 |
| リピータ | OSI基本参照モデルの物理層で動作し、ネットワーク信号を増幅して延長する。 |
| ゲートウェイ | トランスポート層以上の異なるプロトコル間の翻訳を行い、通信を可能にする。 |
NAPT (Network Address Port Translation) の仕組み
NAPTは、プライベートIPアドレスとグローバルIPアドレスを1対1で変換するNATの拡張技術であり、ポート番号を利用することで、1つのグローバルIPアドレスを複数のプライベートIPアドレスで共有できるようにする。これにより、複数の内部ホストが同時にインターネットへ接続可能となる。
NAPT対応機器は、クライアントのプライベートIPアドレスとポート番号の組み合わせをグローバルIPアドレスと新たなポート番号に変換し、その変換情報を変換テーブル に記録する。インターネットからの応答パケットを受信した際には、宛先ポート番号を確認し、変換テーブルから対応するプライベートIPアドレスを検索し、元のアドレスへ戻してクライアントへ送信する。
本問では、WebサーバからPCへ返される応答パケットに対する書き換え処理 に関する内容が問われている。具体的には、NAPTを介するルータで、宛先ポート番号と宛先IPアドレスの書き換えが行われる。
NAPT (Network Address Port Translation) の類似技術
| 名称 | 説明 |
|---|---|
| NAT (Network Address Translation) | プライベートIPアドレスとグローバルIPアドレスを 1対1 で変換する技術。 |
| リバースプロキシ | クライアントとWebサーバの間に位置し、クライアントのリクエストを代理で処理する仕組み。 |
| フォワードプロキシ | クライアント側に設置され、クライアントのリクエストを代理で送信する仕組み。 |
| プロキシARP | あるホスト宛てのARP要求に対し、代理でARP応答を返す技術。 |
アジャイルソフトウェア開発宣言
2001年にアメリカで開催されたソフトウェア開発者の会議において、17人のソフトウェア開発者によって策定された。アジャイルソフトウェア開発のマインドセットを示した文書であり、以下の4つの基本的な価値を掲げている。
- プロセスやツールよりも個人と対話を重視する (対面コミュニケーション)
- 包括的なドキュメントよりも動作するソフトウェアを重視する (実働検証)
- 契約交渉よりも顧客との協調を重視する (顧客とのWin-Win関係)
- 計画に従うことよりも変化への対応を重視する (変化を味方にする)
この宣言に基づき、アジャイル開発では「個人と対話」「動作するソフトウェア」「顧客との協調」「変化への対応」を最優先に考え、柔軟な開発手法を取り入れることが推奨される。
コメント