EAP-TLSが行う認証|情報処理安全確保支援士試験 令和元年 秋期午前Ⅱ試験 問16
出典:令和元年秋期 午前Ⅱ 問16
分野:セキュリティ / セキュリティ実装技術
IEEE802.1Xで使われるEAP-TLSが行う認証はどれか。
- ア:CHAPを用いたチャレンジレスポンスによる利用者認証
- イ:あらかじめ登録した共通鍵によるサーバ認証と,時刻同期のワンタイムパスワードによる利用者認証
- ウ:デジタル証明書による認証サーバとクライアントの相互認証
- エ:利用者IDとパスワードによる利用者認証
TSUNAGARU-ADVICE
まず押さえたいこと
EAP-TLSは、IEEE802.1Xの認証で使われる方式の一つで、デジタル証明書を用いて認証を行います。特徴は、認証サーバとクライアントの相互認証を行う点です。
迷ったときの判断軸
CHAPはチャレンジレスポンス方式、ワンタイムパスワードは時刻同期などを使う認証方式、利用者IDとパスワードは一般的なパスワード認証です。EAP-TLSと出てきたら、TLSとデジタル証明書による相互認証を結び付けて判断しましょう。
科目Bにつなげるために
科目Bでは、無線LANや社内LANへの接続時に、正規端末だけを接続させる仕組みが問われることがあります。EAP-TLSでは、端末側にも証明書が必要になるため、パスワードだけに頼らない端末認証として整理しておきましょう。
IEEE 802.1Xは、有線LANや無線LANに接続する利用者・端末を認証するための規格です。正しい端末や利用者だけをネットワークに接続させるために使われます。
IEEE 802.1Xでは、認証のやり取りにEAP(Extensible Authentication Protocol)を使います。EAPは、1つの固定された認証方式ではなく、複数の認証方式を選べるようにするための枠組みです。
この中でEAP-TLSは、TLSの仕組みを使って、サーバとクライアントの両方をデジタル証明書で確認します。
サーバだけでなくクライアント側も証明書で認証するため、「本物の認証サーバか」と「正当な利用者・端末か」の両方を確認できます。
つまりEAP-TLSは、「IEEE 802.1Xで使われるEAP方式の一つで、デジタル証明書によってサーバとクライアントを相互認証する方式」と考えると分かりやすいです。
したがって、ウが適切です。
❌他選択肢が誤りの理由ア:CHAPを用いたチャレンジレスポンスによる利用者認証
⇒CHAPに関する説明です。チャレンジレスポンス方式で利用者を認証しますが、EAP-TLSのようにデジタル証明書を用いて認証サーバとクライアントを相互認証する方式ではありません。
イ:あらかじめ登録した共通鍵によるサーバ認証と,時刻同期のワンタイムパスワードによる利用者認証
⇒共通鍵やワンタイムパスワードを用いる認証方式の説明です。EAP-TLSは、共通鍵や時刻同期OTPを主な認証手段とする方式ではなく、デジタル証明書を使った相互認証を行います。
エ:利用者IDとパスワードによる利用者認証
⇒IDとパスワードによる認証の説明です。EAP-TLSでは、パスワード認証ではなく、クライアント証明書とサーバ証明書を用いた相互認証を行う点が重要です。