EAP-TLSが行う認証|情報処理安全確保支援士試験 令和3年 秋期午前Ⅱ試験 問16

出典:令和3年秋期 午前Ⅱ 問16 分野:セキュリティ / セキュリティ実装技術
IEEE802.1Xで使われるEAP-TLSが行う認証はどれか。
  • ア:CHAPを用いたチャレンジレスポンスによる利用者認証
  • イ:あらかじめ登録した共通鍵によるサーバ認証と,時刻同期のワンタイムパスワードによる利用者認証
  • ウ:デジタル証明書による認証サーバとクライアントの相互認証
  • エ:利用者IDとパスワードによる利用者認証
この問題を解く
解説

IEEE 802.1Xは、有線LANや無線LANに接続する利用者・端末を認証するための規格です。正当な端末だけをネットワークに接続させ、不正な端末の参加を防ぎます。

IEEE 802.1Xでは、認証のやり取りにEAP(Extensible Authentication Protocol)を使います。EAPは、認証方式そのものではなく、さまざまな認証方式を扱うための枠組みです。

名称 概要
EAP-TLS デジタル証明書を使い、サーバとクライアントを相互認証する方式。クライアント側にも証明書が必要となるため、安全性が高い
EAP-TTLS TLSでサーバを認証した後、保護された通信路の中でクライアントを認証する方式
PEAP TLSでサーバを認証した後、保護された通信路の中でID・パスワードなどによりクライアントを認証する方式
EAP-MD5 チャレンジレスポンス方式でクライアントのみを認証する方式。サーバ認証は行わない
EAP-FAST シスコシステムズ社が開発した方式。TLSに近い仕組みで、証明書の代わりに共有鍵などを使う場合がある

この中で、EAP-TLSはTLSの仕組みを使って、サーバとクライアントの両方をデジタル証明書で確認します。

たとえば、サーバ側は「正しい認証サーバであること」を証明し、クライアント側も「正当な端末・利用者であること」を証明します。これにより、なりすましを防ぎやすくなります。

つまりEAP-TLSは、「IEEE 802.1Xで使われるEAP方式の一つで、デジタル証明書によってサーバとクライアントを相互認証する方式」と考えると分かりやすいです。

したがって、が適切です。

❌他選択肢が誤りの理由
ア:CHAPを用いたチャレンジレスポンスによる利用者認証
⇒CHAPは、チャレンジレスポンス方式で利用者認証を行うプロトコルです。EAP-TLSはCHAPを用いる方式ではなく、デジタル証明書とTLSを使って認証サーバとクライアントを相互認証します。
イ:あらかじめ登録した共通鍵によるサーバ認証と,時刻同期のワンタイムパスワードによる利用者認証
⇒共通鍵や時刻同期型ワンタイムパスワードを組み合わせた認証方式の説明です。EAP-TLSは、あらかじめ登録した共通鍵やワンタイムパスワードではなく、デジタル証明書によって相互認証を行う点が特徴です。
エ:利用者IDとパスワードによる利用者認証
⇒利用者IDとパスワードによる認証は、EAP-PEAPやEAP-TTLSなどで使われることがあります。EAP-TLSは、IDとパスワードを主に使う方式ではなく、クライアント証明書とサーバ証明書による相互認証を行います。
TSUNAGARU-ADVICE

まず押さえたいこと

EAP-TLSは、IEEE 802.1Xで使われる認証方式の一つで、デジタル証明書を用いて認証サーバとクライアントを相互に認証します。つまり、サーバ側だけでなくクライアント側も証明書で確認する方式です。

迷ったときの判断軸

CHAPはチャレンジレスポンス方式、ワンタイムパスワードは時刻同期などを使う利用者認証、IDとパスワードは基本的な認証方式です。EAP-TLSは名前にTLSが含まれるとおり、証明書を使った相互認証と判断しましょう。

科目Bにつなげるために

科目Bでは、無線LANや社内ネットワーク接続時に、端末が正規の利用者・正規の端末かをどう確認するかが問われることがあります。EAP-TLSでは、認証サーバ証明書とクライアント証明書の両方を確認する点を押さえておきましょう。

の問題 試験TOPへ の問題