EAP-TLSが行う認証|情報処理安全確保支援士試験 令和元年 秋期午前Ⅱ試験 問16

出典:令和元年秋期 午前Ⅱ 問16 分野:セキュリティ / セキュリティ実装技術
IEEE802.1Xで使われるEAP-TLSが行う認証はどれか。
  • ア:CHAPを用いたチャレンジレスポンスによる利用者認証
  • イ:あらかじめ登録した共通鍵によるサーバ認証と,時刻同期のワンタイムパスワードによる利用者認証
  • ウ:デジタル証明書による認証サーバとクライアントの相互認証
  • エ:利用者IDとパスワードによる利用者認証
解説

IEEE 802.1Xは、有線LANや無線LANに接続する利用者・端末を認証するための規格です。正しい端末や利用者だけをネットワークに接続させるために使われます。

IEEE 802.1Xでは、認証のやり取りにEAP(Extensible Authentication Protocol)を使います。EAPは、1つの固定された認証方式ではなく、複数の認証方式を選べるようにするための枠組みです。

名称 概要
EAP-TLS デジタル証明書を使い、サーバとクライアントを相互認証する方式。クライアント側にも証明書を組み込んだUSBキーやICカードなどを使うことがある
EAP-TTLS TLSでサーバを認証した後、保護された通信路の中でさまざまな方法によりクライアントを認証する方式
PEAP TLSでサーバを認証した後、保護された通信路の中でID・パスワードによりクライアントを認証する方式
EAP-MD5 チャレンジレスポンス方式でクライアントだけを認証する方式。サーバ認証は行わない
EAP-FAST シスコシステムズ社が開発した方式。TLSに近い仕組みで、証明書の代わりに共有鍵などを使う場合がある

この中でEAP-TLSは、TLSの仕組みを使って、サーバとクライアントの両方をデジタル証明書で確認します。

サーバだけでなくクライアント側も証明書で認証するため、「本物の認証サーバか」と「正当な利用者・端末か」の両方を確認できます。

つまりEAP-TLSは、「IEEE 802.1Xで使われるEAP方式の一つで、デジタル証明書によってサーバとクライアントを相互認証する方式」と考えると分かりやすいです。

EAP-TLS

したがって、が適切です。

❌他選択肢が誤りの理由
ア:CHAPを用いたチャレンジレスポンスによる利用者認証
⇒CHAPに関する説明です。チャレンジレスポンス方式で利用者を認証しますが、EAP-TLSのようにデジタル証明書を用いて認証サーバとクライアントを相互認証する方式ではありません。
イ:あらかじめ登録した共通鍵によるサーバ認証と,時刻同期のワンタイムパスワードによる利用者認証
⇒共通鍵やワンタイムパスワードを用いる認証方式の説明です。EAP-TLSは、共通鍵や時刻同期OTPを主な認証手段とする方式ではなく、デジタル証明書を使った相互認証を行います。
エ:利用者IDとパスワードによる利用者認証
⇒IDとパスワードによる認証の説明です。EAP-TLSでは、パスワード認証ではなく、クライアント証明書とサーバ証明書を用いた相互認証を行う点が重要です。
TSUNAGARU-ADVICE

まず押さえたいこと

EAP-TLSは、IEEE802.1Xの認証で使われる方式の一つで、デジタル証明書を用いて認証を行います。特徴は、認証サーバとクライアントの相互認証を行う点です。

迷ったときの判断軸

CHAPはチャレンジレスポンス方式、ワンタイムパスワードは時刻同期などを使う認証方式、利用者IDとパスワードは一般的なパスワード認証です。EAP-TLSと出てきたら、TLSとデジタル証明書による相互認証を結び付けて判断しましょう。

科目Bにつなげるために

科目Bでは、無線LANや社内LANへの接続時に、正規端末だけを接続させる仕組みが問われることがあります。EAP-TLSでは、端末側にも証明書が必要になるため、パスワードだけに頼らない端末認証として整理しておきましょう。