Sì, ma c'è una cosa in più da considerare che non ho detto. Una caratteristica dei WebServices è data dal fatto che chiunque prendendo mano al WSDL può sapere come utilizzare il servizio perché è contenuto come deve essere fatto il messaggio.
La configurazione di IPSec o di HTTPS già di per se non rientra in questo e istruire chi utilizza il ws è una customizzazione dei ws.
Inoltre tieni conto che i ws sono indipendenti dal trasporto. Se decido di farlo viaggiare con POP3, IPSec non va più bene