pr

テクニカルエンジニア（情報セキュリティ）試験 午後I 予想問題

問題

　無線LANのセキュリティ強化対策に対する次の記述を読んで設問1〜3に答えよ。

　F社は、中規模の電子部品の開発会社で本社が東京にある。社員はデスクトップ用のパソコン（以下デスクトップPC）とモバイル用のノートパソコン（以下ノートPC）とを一人各1台ずつ持ち、これ以外に研究員は個人用のPDA（パーソナルディジタルアシスタント）を所持している。

　F社では無線LANは既に導入済みであるが、管理は部門に任されており、セキュリティ対策が問題になっている。このような状況から情報システム部のセキュリティグループのリーダであるA氏は現在の無線LANの持つ問題点を改善するために、ネットワークに詳しいセキュリティエンジニアのB君との間で改善施策を検討することにした。次はそのときに行われたA氏とB君の会話である。

A氏：我が社では無線LANの対策についてどのように規定を定めていただろうか。

B君：無線アクセスポイント（以下AP）の導入と運用については各部門に任されていますが、APの設置に際してはアクセス制御と暗号化の二つを必ず実施することとしています。このうち、アクセス制御はSSIDだけでは不十分なので、MACアドレスフィルタリングを、暗号化は128ビットのWEPによる暗号化を行うように定めています。

A氏：特に現状の対策で十分なように思えるが、改善すべき点があるだろうか？

B君：MACアドレスフィルタリングでは、パケットを盗聴すると、MACアドレスを割り出すことができ、アドレス詐称による接続が可能になります。またWEPは解読が容易であるなど様々な危険性が指摘されています。

A氏：では、どのようにしたら良いだろうか？

B君：現在、急速に普及しつつあるIEEE802.1Xの認証機能を利用したユーザ認証を行い、（1）WEPキーについては動的に配布する仕組みを構築します。また、WEPキーについては定期的に再認証を行い変更します。

A氏：もう少し詳しく説明してくれないか？

B君：IEEE802.1XはIEEE802委員会が制定したLANの標準規格の一つです。802.1Xでは認証を受けるノートPCに（　a　）と呼ばれるクライアント機能が必要になります。（　a　）は認証に必要な情報をAPとの間でやり取りします。APは（　b　）と呼ばれ、（　a　）との間で認証を行い、その結果接続ポートをオープンする機能を持っています。なお、認証にはRADIUSサーバを使用します。今後は802.1X対応のAPの設置とAPの増設や廃止に対する情報システム部への連絡を各部門に義務付けます。

A氏：認証の方法についてもう少し教えてくれないか？

B君：認証の手順については802.1XではEAPを使用します。EAPはRFC2284規定されており、PPPの認証手順を拡張したもので、いろいろな認証方式に対応しています。例えばEAP-MD5はチャレンジレスポンスによるユーザID・パスワードによる認証であり、EAP-TLSであれば（　c　）を使用する認証方式になります。これ以外にユーザIDとパスワードによる認証としてPEAP（Protected EAP）とEAP-TTLS（Tunneled TLS）があります。

A氏：たくさん出てきて分かりづらいな、表にして整理してみよう。

認証方式 クライアント認証 サーバ認証 WEPキー 自動生成 接続情報の秘匿 EAP-MD5 ユーザID／パスワード なし なし × EAP-TLS （　c　） （　c　） あり × EAP-TTLS ユーザID／パスワード （　c　） あり ○ PEAP ユーザID／パスワード （　c　） あり ○

表1　認証の種類

B君：EAP-MD5についてはサーバ側を認証する機能がなく、WEPキーの変更を行えないため、ほとんど使われていません。EAP-TLSはパスワードを用いない点で安全ですが、（　d　）の設置・運用によるクライアント側への（　c　）の発行が前提となります。このように管理が煩雑であるため、一般には普及しておらず、EAP-TTLSとPEAPが採用されているケースが多いようです。

A氏：この二つの方式に差はないのだろうか？

B君：どちらもクライアント側でユーザID・パスワードによる認証が行えるなど、仕組みは似ていますが、現在一般に普及しているOSにEAP-TLSとPEAPは標準で添付されているのに対して、通常はEAP-TTLSを採用する場合は有償のソフトウェアをクライアントにインストールしなければなりません。とはいえ、無線カードのベンダから無償でソフトウェアが提供されているケースもありますし、更には新しい認証方式も提案されていますので今後の動向にも注目して決定していけばよいでしょう。

A氏：暗号化はWEPしかないのだろうか。

B君：いいえ、WEPそのものの脆弱性を改善するべく、2004年6月にIEEE802.11iが策定されています。802.11iでは従来WEPで使用されていたRC4からAESに暗号化方式を変更し、動作方式として（　e　）を規定したほか、802.11iの先行リリースであるWPAではTKIPを利用した暗号方式を先行して実装しており、既に実用段階にあります。

A氏：ところで、この表の接続情報の秘匿とは何のことを指しているのかな？

B君：EAP-TLSでは（　f　）を秘匿することができませんでしたが、PEAPとEAP-TTLSはそれを改善し、TLSセションの上で別の内部認証を行うことによって解決しています。必須の機能ではありませんが、より強固にセキュリティを強化したい場合には必要な機能といえるでしょう。

A氏：なるほど。では、今後は部門任せの管理は止め、ユーザ認証を行う仕組みに切替え、我々、情報システム部で認証機能を一元的に提供できるようにしよう。

［認証サーバの構成］

A氏：認証サーバを一元管理することには問題はないだろうか。

B君：我が社のネットワークは本社の構内LANと開発部の構内LANとに大きく二つの構成に分かれており、本社と開発部はIPフィルタリングを利用し、直接の通信ができないようにしています。これは開発部が部門独自で直接ISPとの接続およびファイアウォール（以下、FW）を管理し、独自でDNSサーバやWEBサーバなどを運用し社外に公開しているためです。管理ポリシ上、本社LAN側にFWを設置してネットワークを切り離し、本社側への通信に関しては必要な接続だけを許可することにしており、送信元ANYや宛先ANYの接続は許可していません。このため認証サーバの一元管理を行った場合、開発部門については、APを増設する度に（2）機器の設定の変更が必要になります。

図1　F社ネットワーク構成

A氏：なるべく追加の機器の変更箇所は少なくしたいが、他の方法はあるだろうか？

B君：ルータ3でNAPTを設定し、APの送信元をルータ3の本社側のアドレスに変換する方法があります。APから本社側への通信だけNAPTによるアドレスとポートの変換を行い、それ以外の通信は通常のルーティングを行うようにルータ3に設定します。本社側では最初に（　ア　）を送信元とする問合せをFWとRADIUSサーバ1に登録しておくだけで良くなりますが、開発部にAPの運用を任せた場合、秘密情報の共有で問題が発生する可能性があります。ユーザに設定を任せるため、厳密に管理したい場合は避けた方が良いでしょう。

A氏：それではどうしたら良いだろうか。

B君：サーバの管理は二重になりますが、開発部側にもRADIUSサーバを設置し、RADIUSのプロキシ機能を利用するする方法が良いでしょう。開発部側のRADIUSサーバについても情報システム部門で管理を行うこととし、（　イ　）を送信元とする問合せをRADIUSサーバ1に登録し、FW3の通過設定を行います。以後は開発部側のAPは（　ウ　）に対して認証処理を行うため、FWへの追加の設定は必要ありません。その代わりにAPの増設時にはRADIUSサーバ2への登録変更が発生します。認証情報については本社側のRADIUSサーバ1でユーザ情報の更新と削除を行うことで一元管理します。

A氏：良く分かった。では、その方法で進めていこう。

設問1

本文中の（　a　）〜（　f　）にあてはまる適切な字句を答えよ。

設問2

無線LANの脆弱性に関して下線（1）によって防げるWEPの脆弱性とは何か、30字以内で述べよ。

設問3

APの増設に関する次の問いに答えよ。

（1）下線（2）に関連して設定の変更が必要になる機器を図中の語句で二つ答えよ。また具体的な設定内容をAPと事前に共有される情報にも注意して、それぞれ30字以内で述べよ。

（2）空欄（　ア　）、（　イ　）、（　ウ　）に当てはまる語句を図中の機器で答えよ。

解答例

設問1

（a）サプリカント
（b）オーセンティケータ
（c）ディジタル証明書
（d）認証局
（e）CCMP
（f）接続者の識別名

設問2

暗号キーを配送するプロセスが規定されていない点（23字）

設問3

（1）
[変更が必要になる機器1]：FW3
[変更の内容]：増設するAPとRADIUSサーバ1の通信を許可する（25字）
[変更が必要になる機器2]：RADIUSサーバ1
[変更の内容]：増設するAPのIPアドレスと共有シークレットの登録を行う（28字）

（2）
ア：ルータ3
イ：RADIUSサーバ2
ウ：RADIUSサーバ2

解説

設問1

　IEEE802.1Xでは三つの構成要素が連携して機能する。（　a　）はノートPCにインストールする認証クライアントソフトウェアであり、“サプリカント”が入る。サプリカント（Supplicant）の役割は認証に必要な情報を手順に従って認証装置であるオーセンティケータに渡すことである。従って（　b　）には“オーセンティケータ”が入る。オーセンティケータではサプリカントから受け取った認証情報を認証サーバ（RADIUSサーバ）に転送し、接続可否の判断を問合わせる。RADIUSサーバでは登録されたオーセンティケータからの問合わせかどうかをチェックし、登録されたオーセンティケータからの認証依頼であれば認証を行い、オーセンティケータに対して結果を通知する。認証結果を受け取ったオーセンティケータではその情報（AcceptかReject）に従って、接続ポートを開閉するというのが基本的な動作になる。

　802.1XではEAP（Extensible Authentication Protocol）というPPPを拡張した認証プロトコルを使用しており実際にどのように認証するかはEAP Type値によって決めている。例えば本文中のEAP-MD5は4、EAP-TLSは13、EAP-TTLSは21、PEAPは25と決まっており、他にも多数の認証方式があるが、これら各種の認証方式を切替えて利用できるという特徴を持っている。このうちEAP-TLSはTLSの相互認証機能を利用する方法でありサプリカントとRADIUSサーバが相互のディジタル証明書を交換して認証を行う方式であるため、（　c　）には“ディジタル証明書”が入る。また、本文中に「（　d　）の設置・運用によるクライアント側への（　c　）の発行」とあるため（　d　）にはディジタル証明書を発行する“認証局”が入る。

　次の（　e　）はIEEE802.11iに関するものである。802.11iはWEPに代わる無線LANの標準規格としてIEEE802.11のタスクグループで策定が進められた。802.11iではWEP に代わる新しい暗号化プロトコルとして、CCMP（Counter Mode with Cipher Block Chaining Message Authentication Code Protocol）を規定し、暗号化にAES（Advanced Encryption Standard）アルゴリズムを使用しており、（　e　）には“CCMP”が入る。

　802.11iの標準化までに策定プロセスから非常に時間がかかることが予測されたため、標準化の過程で確定済みの部分についてWi-FiアライアンスがWPAとして先行リリースを行った経緯がある。従って、WPAの位置づけとしてはIEEE802.11iのサブセットにあたり、現在ではほとんどの製品がWPAに対応している。このWPAでは暗号化方式としてはTKIPを使用しており、暗号アルゴリズムはWEPと同じRC4を採用しているため、処理が軽いなどの特徴を持っているが802.11iではオプション扱いとなっている。

　（　f　）は認証方式の違いに関する問題である。EAP-TLSはお互いのディジタル証明書を交換して認証を行うが認証時に通信自体を暗号化するわけではない。X.509証明書形式には、サブジェクト（認証対象）を記載するフィールドがあるため、やり取りを盗聴するとユーザの情報が識別名として取得できる。従って（　f　）は“接続者の識別名”が入る。仮に証明書の情報を取得しても改ざんやなりすましは行えないが、現在の接続者が誰であるかは分かるため、PEAPやEAP-TTLSでは、RADIUSサーバ側のディジタル証明書を利用したTLSセション内でユーザID／パスワードによる認証を行って現在の接続者が誰であるかの情報が盗聴されないようにしている。

設問2

　設問2はWEPの脆弱性に関する問題である。WEP（Wired Equivalent Privacy）は無線LANに接続するすべてのノードが同じキーを使って接続を行う点が特徴となっている。仮にあるノードでWEPキーの設定情報が漏洩してしまうとそのキーを使って不正アクセスや盗聴が可能になるという脆弱性をもっているため「暗号キーを配送するプロセスが規定されていない点」を解答すると良い。

　また、WEP自体の本質的な欠陥も指摘されており、暗号化されていない特定のパターンの初期化情報（IV）を含むパケットを収集してキーを破る方法が指摘されている（FMSアタック）。こうした手法を実装し解読を試みるソフトウェアがインターネットで公開されているため、WEPを採用する場合には802.1Xのように定期的なキー変更を行う仕組みが必要となる。

設問3

（1）APの増設に対して変更が必要になる機器は“FW3”と“RADIUSサーバ1”である。FW3ではAPを送信元とするRADIUSの通信を許可し、RADIUSサーバ1にはAPのIPアドレスと共有シークレット（Shared Secret）の登録を行う。そこで、具体的な設定内容については、それぞれ、FW3は「増設するAPとRADIUSサーバ1の通信を許可する」とRADIUSサーバ1は「増設するAPのIPアドレスと共有シークレットの登録を行う」を解答すると良い。

（2）RADIUSはUDPを使用しており、認証時にはAPからRADIUSのAccess RequestメッセージがUDPで運ばれる。RADIUSプロトコルでは、UDPパケットの送信元IPアドレスから送信元を特定し、登録された共有シークレットを利用してAccess Replyを応答する。よって、RADIUSサーバにはNAPT変換後のIPアドレスを登録する必要があり、（　ア　）には変換後の“ルータ3”が入る。またRADIUSのプロキシ機能を利用した場合、送信元IPアドレスとなるRADIUSサーバ2を登録する。従って（　イ　）には“RADIUSサーバ2”を入れる。APはRADIUSサーバ2に認証情報を送付し、接続の可否を受け取るため（　ウ　）には“RADIUSサーバ2”が入る。

　なお、RADIUSのAccess Requestのメッセージ部にある属性には、NAS-IP-AddressやNAS-Identifierなどの属性値ペアが含まれており、APの実IPアドレスや実ホスト名がRADIUSサーバに送付されている。このNAS-IP-Addressを認証情報の一つとして、事前設定した値と比較、チェックすることも可能だが、無線LANのようにローミングで使用する場合は、アドレスの特定ができないため、チェックしない設定にするケースが多い。

問題提供：株式会社アイテック Copyright(c) 2005 ITEC Inc. この予想問題は、株式会社アイテックが独自に作成したものです。

午前 予想問題を見る >>

提供：独立行政法人 情報処理推進機構（IPA）
企画：アイティメディア営業局
制作：アイティメディア営業局
掲載内容有効期限：2006年1月20日