ネットワークの脆弱性【情報処理安全確保支援士講座】

2026年2月19日

今回は、情報処理安全確保支援士の試験で問われるネットワークの脆弱性について解説します。

アカリ

ネットワーク構成がしっかりできていないと、サイバー攻撃を防げなかったり被害が増大したりするらしいね

トモル

どんな構成だと安全なんだろ～

この記事のまとめ

ネットワークの脆弱性
ネットワーク関連のプロトコル
脆弱性の例と対策

1. ネットワークの脆弱性
- 1.1. 機密性・完全性の侵害につながるネットワーク構造上の脆弱性
- 1.2. 可用性の低下につながるネットワーク構造上の脆弱性
2. ネットワークの脆弱性・例題
- 2.1. 問1
- 2.2. 問2
3. ネットワークの脆弱性・まとめ

ネットワークの脆弱性

ネットワークの脆弱性については、機密性・完全性の侵害につながるケースと、可用性の低下につながるケースがあります。

それぞれのトポロジ・セグメンテーション・回線・通信機器の種類などを確認しましょう。

機密性・完全性の侵害につながるネットワーク構造上の脆弱性

機密性・完全性の侵害につながる脆弱性として、具体的に下記が挙げられます。

脆弱性	リスク
外部サーバと内部サーバがセグメント分割されておらず、アクセスを許可する範囲が異なるホストが混在する。	外部サーバが攻撃された場合に、内部サーバにまで被害がおよぶ。
社内LANと関連会社のLANが直接接続されており、アクセス制限が分けられていない。	接続先のネットワークから不正アクセスを受ける可能性がある。
社内LANにおいて、各セグメントごとにアクセス制限が行われていない。	・LAN内での感染が他セグメントにまでおよぶ。・内部不正による情報漏えいにつながる。
インターネットへの接続口や、社内へのアクセスポイントが必要以上に存在している。	・不正アクセスのリスクが高まる・セキュリティ対策のための工数や費用が増える。
セキュリティの対策されていない無線LANアクセスポイントが存在する。	・不正接続につながり情報漏えいや改ざんの可能性が高まる。
リピータハブを多用している。	通信データが同一セグメント上を流れるため、盗聴の可能性が高まる。
ハブが各部屋に置かれており誰でもアクセスできる。	不正な機器を接続され、盗聴や情報漏えいの可能性が高まる。

機密性・完全性を高める方法

ネットワーク上で、機密性・完全性を高める方法について確認しましょう。

セグメント分割およびアクセス制御

インターネット・公開サーバ設置セグメント・社内共通LANセグメントなどを分割する
各セグメント間にFWを設置し、ルータによる制御を行う
公開サーバを設置するセグメントにはDMZを設置し、内外からのアクセスを制限する
機密情報を取り扱うセグメントでは他のネットワークから物理的に切り離す
セキュリティレベルに大差ない社内LANのセグメントでもルータやスイッチでアクセス制御を行う

インターネット接続口の集約化

インターネットへの接続口や社内への接続口は可能な限り集約化しつつ、管理を徹底しましょう。

無線LANアクセスポイントの対策

不要な無線LANアクセスポイントはそもそも置かない
無線LANは脆弱性に対応したWPA2・WPA3の準拠製品を用いる

スイッチの活用

リピータハブをスイッチに置き換えデータ盗聴の可能性を下げる
ブロードキャストフレームについては転送先を限定するためVLANを構築する

ハブの管理

ハブ本体を無造作に配置せず、物理的にアクセスを制限する
空きポートは物理的に塞ぎ、アクセスを制限する

📝【出題履歴】平成27年度春期午後Ⅱ問2 製造装置のLAN接続に関する出題

【問題文】

【設問】

設問3 表7中の f , g に入れる適切な理由を， f は40字以内で， g は60字以内でそれぞれ述べよ。

出題:平成27年度春期午後Ⅱ問2

可用性の低下につながるネットワーク構造上の脆弱性

可用性の低下が起こりうるネットワーク構造上の脆弱性についても確認しておきましょう。

脆弱性	リスク
ネットワーク内の帯域不足や機器の処理能力不足	・DoS攻撃をはじめとする外部攻撃によりサービスが停止する・接続機器が増えたりアクセス数が増加したりすることで輻輳状態になる
回線・ネットワーク機器の二重化や冗長化が行われていない	回線障害やネットワーク機器の障害でシステムやサーバが利用できなくなる
回線・ネットワークの負荷分散が適切でない	特定のネットワークや機器の処理能力が落ちボトルネックとなり、処理効率が低下する
インターネット接続口において、帯域制限が行われていない	DoS攻撃をはじめとする外部攻撃によりサービスが停止する
リピータハブが多用されており、スイッチングハブやレイヤ2スイッチによるLANの論理分離が行われていない	自身に関係のないブロードキャストフレームによってLANの処理効率が低下する

キュー

ブロードキャストフレーム関連のプロトコルについては試験でも問われるから押さえておこうな

ブロードキャストフレームを発信するプロトコル

ARP
DHCP
NetBEUI
RARP
RIP

可用性を高める方法

ネットワーク上で、可用性を高める方法について確認しましょう。

可用性を高める方法

ネットワーク帯域を確保する
処理能力の高いネットワーク機器を選定する
ネットワーク・サーバ・機器などを二重化する
ロードバランサによる負荷分散を行う
インターネット接続口においいて、ルータ・スイッチによる帯域制限を行う
プロトコル毎に割り当てる帯域の最大値を設定する
スイッチによりVLANを構築し、ブロードキャストドメインを効率的に分割する

ネットワークの脆弱性・例題

実際に例題を解いて問題に慣れていきましょう。

問1

無線LANの暗号化通信を実装するための規格に関する記述のうち，適切なものはどれか。(R.3秋/問15)

ア:EAPは，クライアントPCとアクセスポイントとの間で，あらかじめ登録した共通鍵による暗号化通信を実装するための規格である。
イ:RADIUSは，クライアントPCとアクセスポイントとの間で公開鍵暗号方式による暗号化通信を実装するための規格である。
ウ:SSIDは，クライアントPCで利用する秘密鍵であり，公開鍵暗号方式による暗号化通信を実装するための規格で規定されている。
エ:WPA3-Enterpriseは，IEEE802.1Xの規格に沿った利用者認証及び動的に配布される暗号化鍵を用いた暗号化通信を実装するための方式である。

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問1の正解を表示

エ

問1の解説を表示

ア:EAPは，クライアントPCとアクセスポイントとの間で，あらかじめ登録した共通鍵による暗号化通信を実装するための規格である。
→EAP(Extensible Authentication Protocol)は、PPPから機能を拡張させた認証プロトコルです。デジタル証明書・メッセージダイジェスト・OTPなどの認証が可能ですが暗号化通信はできません。

イ:RADIUSは，クライアントPCとアクセスポイントとの間で公開鍵暗号方式による暗号化通信を実装するための規格である。
→RADIUS(Remote Authentication Dial In User Service)は、認証と利用ログの記録を単一のサーバで実施することを目的としたプロトコルです。暗号化通信の機能はありません。

ウ:SSIDは，クライアントPCで利用する秘密鍵であり，公開鍵暗号方式による暗号化通信を実装するための規格で規定されている。
→SSID(Service Set Identifier)は、無線LANの規格IEEE802.11シリーズで「混信」を避けるため、アクセスポイントと端末に設定するネットワーク識別子です。

エ:WPA3-Enterpriseは，IEEE802.1Xの規格に沿った利用者認証及び動的に配布される暗号化鍵を用いた暗号化通信を実装するための方式である。
→WPA3にはパーソナルモードとエンタープライズモードが規定されており、WPA3-Enterpriseは、認証にIEEE802.1Xを用いる方式です。

これより、「エ」が正解です。