はじめの情報処理安全確保支援士試験講座⑲令和6年度秋期試験問題問16〜20までを解説します!

インフラ

今回も、先日受験した令和6年度秋期午前Ⅱ試験の問題を解説しなががら、次回試験の対策を行っていきます。

今回解説するのは、問16〜20です。これらの問題で使用されていた用語は、以下の5つです。

  1. OAuth 2.0
  2. IEEE 802.1XとRADIUS
  3. IPsec
  4. ICMPのメッセージ
  5. ネットワークタップ

是非、最後までご覧いただけると嬉しいです。

OAuth 2.0

利用者Aが所有するリソースBが、WebサービスC上にある。OAuth 2.0において、利用者Aの認可の下、WebサービスDからリソースBへの限定されたアクセスを可能にするときのプロトコルの動作はどれか。ここでWebサービスCは、認可サーバを兼ねているものとする。

ア Web サービスCが、アクセストークンを発行する。

イ WebサービスCが、利用者Aのデジタル証明書をWebサービスDに送信する。

ウ WebサービスDが、アクセストークンを発行する。

エ WebサービスDが、利用者Aのデジタル証明書をWebサービスCに送信する。

引用:情報処理安全確保支援士試験 令和6年 秋 午前Ⅱ問16

解答

問題に関する解説

OAuth 2.0は、ユーザー(利用者A)が第三者(WebサービスD)に対して、自分のリソース(リソースB)へのアクセス権を限定的に許可するための認可フレームワークです。このプロトコルの主な流れは次の通りです。

  1. リソース所有者の認可
    • 利用者Aは、WebサービスC(リソースサーバー兼認可サーバー)を通じて、WebサービスDにリソースBへのアクセスを許可します。
  2. アクセストークンの発行
    • WebサービスCは、認可の確認後、WebサービスDに対してアクセストークンを発行します。
    • アクセストークンは、WebサービスDがリソースBにアクセスするための鍵です。
  3. リソースアクセス
    • WebサービスDは、このアクセストークンを使ってWebサービスCからリソースBへのアクセスを行います。
    • WebサービスCはアクセストークンの有効性を確認し、認可が有効であれば、リソースへのアクセスを許可します。

このプロセスにおいて、アクセストークンは認可されたアクセスの証明として機能し、トークンを使ってリソースサーバーにアクセスします。

選択肢の解説

  • ア:WebサービスCが、アクセストークンを発行する
    これは正解です。WebサービスCはリソースサーバー兼認可サーバーとして、認可後にWebサービスDにアクセストークンを発行します。
  • イ:WebサービスCが、利用者Aのデジタル証明書をWebサービスDに送信する
    OAuth 2.0ではデジタル証明書を直接やり取りするのではなく、アクセストークンを使ってアクセスを制御します。よって誤りです。
  • ウ:WebサービスDが、アクセストークンを発行する
    アクセストークンは認可サーバー(この場合WebサービスC)が発行するため、WebサービスDが発行することはありません。誤りです。
  • エ:WebサービスDが、利用者Aのデジタル証明書をWebサービスCに送信する
    OAuth 2.0はトークンベースの認証方式であり、デジタル証明書のやり取りはプロトコル上必要ありません。誤りです。

OAuth 2.0の説明

OAuth 2.0は、リソース所有者がクライアント(第三者)に対して、自分のリソースへの限定的なアクセス権を付与するためのオープンな標準プロトコルです。主な登場人物は以下の通りです。

  1. リソース所有者 (Resource Owner):リソース(データなど)を持っているユーザー。
  2. クライアント (Client):リソースへのアクセスを希望するアプリケーションやサービス(WebサービスD)。
  3. リソースサーバー (Resource Server):リソース所有者のデータが保存されているサーバー(WebサービスC)。
  4. 認可サーバー (Authorization Server):リソース所有者の認可を確認し、クライアントにアクセストークンを発行するサーバー(WebサービスCが兼任していることが多い)。

OAuth 2.0は、アクセストークンという短期間有効な鍵を使って、リソースへのアクセスを制御します。これにより、リソース所有者のパスワードや重要な情報をクライアントと直接共有することなく、安全にリソースへのアクセスを許可できるのが特徴です。

OAuth 2.0のまとめ

OAuth 2.0は、ユーザー(リソース所有者)が自分のデータを第三者のアプリ(クライアント)に安全に共有するための仕組みです。ユーザーは、自分のアカウント情報(パスワードなど)を直接渡すことなく、一時的なアクセス許可(アクセストークン)を発行することで、必要な範囲のデータへのアクセスを許可できます。これにより、ユーザーのプライバシー保護と、アプリ間の安全なデータ連携を実現しています。

IEEE 802.1XとRADIUS

利用者認証情報を管理するサーバ1台と複数のアクセスポイントで構成された無線LAN環境を実現したい。PCが無線LAN環境に接続するときの利用者認証とアクセス制御に、IEEE 802.1XとRADIUSを利用する場合の標準的な方法はどれか。

ア PCにはIEEE802.1Xのサプリカントを実装し、かつ、RADISUクライアントの機能をもたせる。

イ アクセスポイントにはIEEE802.1Xのオーセンティケータを実装し、かつ、RADISUサーバの機能をもたせる。

ウ アクセスポイントにはIEEE802.1Xのサプリカントを実装し、かつ、RADISUサーバの機能をもたせる。

エ サーバにはIEEE802.1Xのオーセンティケータを実装し、かつ、RADIUSサーバの機能をもたせる。

引用:情報処理安全確保支援士試験 令和6年 秋 午前Ⅱ問17

解答

問題の解説

無線LAN環境における利用者認証とアクセス制御には、IEEE 802.1XとRADIUSを利用する標準的な構成があります。

  1. IEEE 802.1X
    • IEEE 802.1Xは、ネットワークへのアクセスを制御するための認証フレームワークです。特に、無線LANや有線LANで、クライアントがネットワークに接続する際の認証に利用されます。
    • このフレームワークには3つの役割があります。
      1. サプリカント(Supplicant):認証を受けるクライアント(この場合PC)。
      2. オーセンティケータ(Authenticator):サプリカントからの認証要求を受け取り、RADIUSサーバと通信する役割を担うデバイス(通常はアクセスポイント)。
      3. 認証サーバ(Authentication Server):実際に認証を行い、サプリカントがネットワークに接続できるかどうかを判断するサーバ(RADIUSサーバが該当)。
  2. RADIUS(Remote Authentication Dial-In User Service)
    • RADIUSは、ネットワークアクセスの認証とアカウンティングを行うプロトコルで、主にリモートアクセスサーバなどのネットワークアクセス制御に使用されます。
    • RADIUSサーバは、認証情報を管理し、ネットワークデバイス(例えばアクセスポイント)からの認証要求に応じて、利用者の認証を行います。

IEEE 802.1XとRADIUSの認証フロー

  1. サプリカントの接続要求
    サプリカントが無線LANに接続しようとすると、オーセンティケータに接続要求を送信します。これは、まずサプリカントがオーセンティケータに対して接続したいことを通知するフェーズです。
  2. EAP(Extensible Authentication Protocol)による認証開始
    オーセンティケータは、サプリカントにEAP(拡張認証プロトコル)を使用して認証を開始するよう促します。EAPは、認証情報のやり取りに使われるプロトコルです。
  3. EAP要求をRADIUSサーバへ転送
    サプリカントは、自分のIDや認証情報(例:ユーザー名とパスワード、デジタル証明書など)をオーセンティケータに送信します。オーセンティケータはこの認証情報をRADIUSプロトコルを使ってRADIUSサーバに転送します。
  4. RADIUSサーバによる認証
    RADIUSサーバは、サプリカントの認証情報を検証します。通常、この検証はLDAP、Active Directory、データベースなどのバックエンドシステムに基づいて行われます。認証が成功すれば、RADIUSサーバはオーセンティケータに「Access-Accept」(アクセス許可)を返します。認証が失敗した場合は「Access-Reject」(アクセス拒否)を返します。
  5. アクセス許可の通知
    認証が成功した場合、オーセンティケータはサプリカントに対してネットワークへのアクセスを許可します。これにより、サプリカントは無線LANを通じてネットワークへの接続が可能となります。
  6. データ通信開始
    認証が成功し、ネットワークアクセスが許可されたサプリカントは、無線LANを通じてネットワーク上のリソースにアクセスし、通常の通信を開始します。

選択肢の解説

  • ア:PCにはIEEE 802.1Xのサプリカントを実装し、かつ、RADIUSクライアントの機能をもたせる
    PCはサプリカントとして動作しますが、RADIUSクライアントとしての機能は不要です。RADIUSクライアントの役割はアクセスポイントが担います。誤りです。
  • イ:アクセスポイントにはIEEE 802.1Xのオーセンティケータを実装し、かつ、RADIUSサーバの機能をもたせる
    これは正解です。アクセスポイントはオーセンティケータとして動作し、RADIUSクライアントとして認証要求をRADIUSサーバに送信します。
  • ウ:アクセスポイントにはIEEE 802.1Xのサプリカントを実装し、かつ、RADIUSサーバの機能をもたせる
    アクセスポイントはオーセンティケータとして動作するべきであり、サプリカントとして動作することはありません。誤りです。
  • エ:サーバにはIEEE 802.1Xのオーセンティケータを実装し、かつ、RADIUSサーバの機能をもたせる
    サーバはRADIUSサーバとして動作しますが、オーセンティケータの役割はアクセスポイントが担います。誤りです。

IEEE 802.1Xの詳細

IEEE 802.1Xは、ポートベースのネットワークアクセス制御の標準で、認証プロトコル(EAP)を使って、クライアントがネットワークに接続する前に認証を行います。これにより、不正なクライアントがネットワークにアクセスするのを防ぐことができます。

RADIUSの詳細

RADIUSは、ネットワーク認証やアカウンティング(利用状況の記録)に広く使用されているプロトコルです。クライアント(通常はアクセスポイントやルータ)からの認証要求を受け取り、ユーザーの認証情報を確認する役割を果たします。

IEEE 802.1XとRADIUSのまとめ

IEEE 802.1XとRADIUSは、ネットワークのセキュリティを強化するために密接に連携する技術です。IEEE 802.1Xは、ネットワークへのアクセスをポート単位で制限し、EAPを使って個々のクライアントを認証する仕組みを提供します。一方、RADIUSは、認証サーバーとして機能し、IEEE 802.1Xによる認証要求を受け付けて、ユーザーの認証情報をデータベースと照合します。これら2つの技術を組み合わせることで、より強固なネットワークアクセス制御を実現し、不正アクセスからネットワークを保護することができます。

IPsec

ネットワーク層のパケットを対象としてIPパケットでカプセル化し、トンネリングを行えるプロトコルはどれか。

ア IPsec

イ L2TP

ウ PPTP

エ RSTP

引用:情報処理安全確保支援士試験 令和6年 秋 午前Ⅱ問18

解答

各用語の説明

IPsec(Internet Protocol Security)

IPsecは、IP(Internet Protocol)層でデータのセキュリティを提供するプロトコルスイートです。IPパケットをカプセル化し、ネットワーク通信を暗号化することで、データの機密性、完全性、認証を確保します。以下の2つのモードで動作します。

  • トンネルモード:ネットワークデバイス間で通信を保護するために使用され、元のIPパケット全体をカプセル化して新しいIPヘッダで送信します。これにより、ネットワーク間の通信を保護し、特にVPN(Virtual Private Network)で広く利用されるトンネリング技術です。
  • トランスポートモード:ホスト間の通信を保護し、元のIPパケットのペイロード部分(データ部分)を暗号化しますが、IPヘッダはそのまま使用されます。

IPsecには、データを暗号化するためのESP(Encapsulating Security Payload)や、データの改ざんを防ぐためのAH(Authentication Header)などのプロトコルがあり、これらがカプセル化されたIPパケットを使って、セキュアな通信を実現します。

L2TP(Layer 2 Tunneling Protocol)

L2TPは、VPN(仮想プライベートネットワーク)を実現するために使用されるトンネリングプロトコルです。物理的に離れたネットワーク間でデータをやり取りする際に、パケットを暗号化せずにトンネルを作成します。L2TPはIPsecと併用されることが多く、L2TPによってトンネルを作成し、IPsecによってそのトンネルを暗号化してセキュリティを確保します。

PPTP(Point-to-Point Tunneling Protocol)

PPTPは、マイクロソフトが開発したVPNプロトコルの一つです。トンネリングとデータ暗号化を組み合わせて、安全なデータ通信を実現します。しかし、PPTPのセキュリティは現代の基準では脆弱であるため、現在はIPsecやL2TP/IPsecなど、よりセキュアなプロトコルが好まれる傾向にあります。

  • PPTPは設定が比較的簡単で、レガシーなシステムでまだ使われていることがありますが、セキュリティ上の問題から推奨されません。

RSTP(Rapid Spanning Tree Protocol)

RSTPは、ネットワークループを防ぐために使用されるプロトコルで、STP(Spanning Tree Protocol)を改良したものです。STPはループフリーなネットワークトポロジーを確立しますが、RSTPはSTPよりも速く、障害が発生した場合のネットワーク回復時間を大幅に短縮します。RSTPは、ネットワークスイッチがリンク障害を検出した際に、より迅速に新しい経路を確立し、ネットワークのダウンタイムを最小限に抑えることができます。STPのネットワーク回復時間が30~50秒程度なのに対し、RSTPは1秒未満での回復が可能です。

ICMPのメッセージ

IPv4におけるICMPのメッセージに関する説明として、適切なものはどれか。

ア 送信元が設定したソースルーティングが失敗した場合は、Echo Replyを返す。

イ 転送されたデータグラムを受信したルータが、そのネットワークの最適なルータを送信元に通知して経路の変更を要請するには、Redirectを返す。

ウ フラグメントの再組み立て中にタイムアウトが発生した場合は、データグラムを破棄してParameter Problemを返す。

エ ルータでメッセージを転送する際に、送信元が設定したTTLが0になった場合は、Destination Unreachableを返す。

引用:情報処理安全確保支援士試験 令和6年 秋 午前Ⅱ問19

解答

問題の解説

  • ア:送信元が設定したソースルーティングが失敗した場合は、Echo Replyを返す。
    • 誤りです。Echo Replyは、ICMPのPing要求に対する応答として使用されます。ソースルーティングの失敗には関連しません。ソースルーティングが失敗した場合には、Destination Unreachable メッセージが返されることがあります。
  • イ:転送されたデータグラムを受信したルータが、そのネットワークの最適なルータを送信元に通知して経路の変更を要請するには、Redirectを返す。
    • 正解です。ICMP Redirectメッセージは、ルータがデータグラムを受信し、そのパケットを送信元に最適なルータへの経路変更を通知する際に使用されます。このメッセージは、送信元がより効率的なルートでデータを転送できるようにします。
  • ウ:フラグメントの再組み立て中にタイムアウトが発生した場合は、データグラムを破棄してParameter Problemを返す。
    • 誤りです。フラグメントの再組み立て中にタイムアウトが発生した場合は、Time Exceededメッセージが返されます。Parameter Problemメッセージは、IPヘッダに誤りがある場合に返されます。
  • エ:ルータでメッセージを転送する際に、送信元が設定したTTLが0になった場合は、Destination Unreachableを返す。
    • 誤りです。TTL(Time to Live)が0になると、ルータはそのパケットを破棄し、送信元にTime Exceededメッセージを返します。Destination Unreachableは、パケットが宛先に到達できない場合に使用されます。

ICMPのメッセージについての解説

ICMPには、いくつかの主要なメッセージタイプがあります。以下にその代表的なものを説明します。

  1. Echo Request / Echo Reply
    • Echo Requestは、Pingコマンドで使用される要求メッセージです。ネットワーク上の特定のホストに対して通信が可能かどうかを確認するために送信されます。
    • Echo Replyは、Echo Requestに対する応答メッセージです。
  2. Destination Unreachable
    • 送信元からのパケットが宛先に到達できない場合に返されるメッセージです。理由としては、ネットワークがダウンしている、ホストが応答しないなどがあります。
  3. Time Exceeded
    • パケットがネットワーク上で経路をたどっている間に、TTLが0になると送信元に返されるメッセージです。このメッセージは、経路があまりに長い、またはループが発生している場合に返されます。
  4. Redirect
    • ルータが送信元に対して、より効率的な経路が存在することを通知するために使用されます。このメッセージを受け取ると、送信元はルータから指定された新しいルートを利用してデータを送信します。
  5. Parameter Problem
    • IPヘッダ内に不正な値があった場合に返されるメッセージです。このメッセージにより、送信元にIPヘッダの問題が通知されます。

ICMPは、ネットワークトラブルシューティングに不可欠なプロトコルであり、エラーメッセージを通じてネットワークの問題を迅速に発見し対処するのに役立ちます。

ネットワークタップ

ネットワーク危機感の光ファイバを使った通信を分岐させてネットワーク上のトラフィックを取り出し、セキュリティ装置で監視したい。ネットワークから信号後を工学的に分岐させて取り出す装置はどれか。

ア ネットワークタップ

イ 波長分割多重装置

ウ ルータ

エ レイヤー2スイッチ

引用:情報処理安全確保支援士試験 令和6年 秋 午前Ⅱ問20

解答

ネットワークタップの概要

ネットワークタップ(Network Tap)は、ネットワーク上のトラフィックを物理的に分岐させてコピーを取り出し、別のデバイス(例えばセキュリティ装置)に送信するための装置です。光ファイバや有線ネットワークに接続して使用され、ネットワークトラフィックの監視や解析に利用されます。タップは通信経路に介在し、ネットワークの正常な動作を妨げずにトラフィックを分岐させるため、セキュリティ監視やトラブルシューティングに非常に有用です。

選択肢の解説

  • ア:ネットワークタップ
    正解です。ネットワークタップは、ネットワーク上を流れるトラフィックを物理的に分岐させる装置で、特に光ファイバや有線LANの通信の監視や解析に用いられます。
  • イ:波長分割多重装置
    波長分割多重装置は、光ファイバ通信において異なる波長の光信号を1本の光ファイバで同時に送信する技術を使った装置です。ネットワーク監視というよりも、通信の効率化や容量拡大を目的としています。今回の用途には不適です。
  • ウ:ルータ
    ルータは、ネットワーク間でパケットを転送する役割を果たすデバイスで、トラフィックの分岐やコピーは行いません。ネットワークの監視やトラフィックの分岐のために設置する装置ではありません。
  • エ:レイヤー2スイッチ
    レイヤー2スイッチは、OSI参照モデルの第2層(データリンク層)で動作し、デバイス間のデータフレームを転送する装置です。スイッチ自体はネットワーク監視用のトラフィック分岐機能を持っていません。

ネットワークタップの特徴

  • パッシブ動作:ネットワークタップは物理的にトラフィックをコピーするだけで、データの転送には影響を与えません。トラフィックが遅延したり、影響を受けたりすることなく、信号を分岐できます。
  • 使用例:ネットワークタップは、セキュリティ監視装置(IDS/IPS)、パフォーマンスモニタリングツール、パケットキャプチャ装置などにデータを提供するために使用されます。
  • 光ファイバ対応:光ファイバネットワークにも対応したネットワークタップがあり、光信号を分岐させることが可能です。

ネットワークタップは、ネットワークのパフォーマンス監視、障害解析、セキュリティインシデント検知に重要な役割を果たし、特にデータの監視やキャプチャが必要な場面で不可欠なツールとなっています。

まとめ

今回は、下記について説明しました。

  1. OAuth 2.0
  2. IEEE 802.1XとRADIUS
  3. IPsec
  4. ICMPのメッセージ
  5. ネットワークタップ

今回は、令和6年度秋期午前Ⅱ試験問題の問16から問20で出題された用語について説明しました。次回は、問21から問25について説明します。

これからも、Macのシステムエンジニアとして、日々、習得した知識や経験を発信していきますので、是非、ブックマーク登録してくれると嬉しいです!

スポンサーリンク
タイトルとURLをコピーしました