あー、タイトルが長い（笑）、とまぁ冗談はおいといて…、まずい点の1つが

• IPsecにおけるSP（セキュリティポリシー）の設定が、ほとんどの実装において制的かつ永続的である

とあたりになるかな。
こりゃ確かにありますね。
正直な話、IPv6が目指してるものが

• IPsecが規格に取り込まれることによって、基本は全てIPsecな通信になる

というあたりかなぁということを考えると、あながちIPv6の利点とされるものは間違っちゃいない（両立以前にまずはそれが守られている状態になる）とは思います。
ただ、実装が追随してないというのはかなり痛いですね。
MSの実装からしてIPv6における暗号化通信をサポートしてないというあたりが頭痛…。
もっともそれが出来たとして、SAを確立するための「暗号化通信を行う相手」を特定するためのSPが静的であるから、吉澤さんの記述にあるように「SPを動的に設定＆交換するためのしくみ」が必要になるのだろう、と思う。
これはIKE以前の問題だ。IKEの実装にそういう機能は持たせられるだろうが、少なくとも「必要な時のエンドツーエンドの暗号化通信を行うための」SPの交換は、オレは聞いたことがない。
個人的に考えちゃうのは、複数のユーザが1つのマシンを使っていたとして、そのマシンからの通信が

• ある人からの通信はIPsecの暗号化がほどこされ
• またある人からの通信は平文

という事態が想定されることかな。もしくはユーザごとに独立にSAやSPの設定がされることか。
SPはよくても（？）、同じピアに対応する複数のSAってのはちょっと混乱するな。設定されてたら設定しなきゃいいだけの話だけど。

…実装で苦労しそうだ…

あと、ユーザレベルで厳しいのは、どうしてもSPにしてもSAにしてもカーネル内のリソースを操作すること。これを一般ユーザにやらせるかどうかは実装のポリシー次第だが、システムで必要なポリシーまで触らせたくはないはずなんで、

• ユーザが作成したSPに対するアクセス権限の設定
• ユーザが作成したSAとSPと通信の対応をどこかに持っておく必要がある

というあたりが苦労するところかな。

…やっぱり実装にかかってくるのか…やるとしたらしんどそうだ…＿|￣|○

ほとんど備忘録のレベルだけど、とりあえず書けるところまで。