id:wakamotoさんから更にコメントをいただいてたので紹介。

[セキュリティ]無印吉澤さんの発言への反応に対する反応に対する反応(wakatonoの戯れメモ)
http://d.hatena.ne.jp/wakatono/20040327#p1

「SPを動的に設定＆交換するためのしくみ」について具体的に考察されてます。……やっぱり簡単な解決方法はなさそうですよね。

僕が最初考えたときは、「パケットフォーマットだけIPsecにすればいい！」って言うなら、IPsec SAとトランスポート層のソケットを1対1に対応付ける実装にすれば簡単にユーザレベル（アプリレベル？）でアクセス制御できるんじゃないかなぁと思ったんですけど……。そうなるとセキュリティポリシーが全く要らなくなってしまうので、もはやIPsecとは呼べませんよね。うーん。