3/22の日記のコメントへのコメント
[セキュリティ]無印吉澤@はてなダイアリーさんの日記より(wakatonoの戯れメモ)
http://d.hatena.ne.jp/wakatono/20040324#p9
コメントありがとうございます。ここまで長いリアクションもらったの、ここ始めて初めてですヽ(´ー`)ノ
確かに、IPsecのメリットについてはかなりおざなりに済ませてしまってました。
前者の「アプリケーションからわかりづらい」点については(見方を変えるということで)あえて軽視した書き方をしたんですが、後者の「IPsecの利点」については自分でも少し頭から抜けていたなぁと気付かされました。end-to-end通信のend以外の部分、経路上のネットワーク機器から受ける影響の度合いは無視できませんよね。
結局、IPsecのメリットは「ネットワーク層で暗号化を行う」という点に尽きると思うのですが、それにしたってネットワーク層の動作をアプリケーション層から制御してはいけない!なんていう法は無いわけです。前回挙げた内容は、ほとんど(主にクライアント側の)実装で改善できる内容だと思うのですが、対象がクライアントなだけにMSの気分次第というところなのでしょうか……。
しかしWindowsはWindows Server 2003でさえIPv6のIPsecはESP暗号化をサポートしてなかったりしますしね。IPv6だとNULL暗号化だけらしいですよ。ホントに。
参考サイト:IPv6のためのユーティリティ(Microsoft Technet) ← 一番下を参照
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/prodtechnol/windowsserver2003/proddocs/entserver/sag_IP_v6_add_Utils.asp