情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和4年度春期 午前Ⅱ 問17: 利用者認証情報を管理するサーバ1台と複数のアクセスポイントで構成された無線LAN環境を実現したい。PCが無線LAN環境に接続するときの利用者認証とアクセス制御に

問題本文

利用者認証情報を管理するサーバ1台と複数のアクセスポイントで構成された無線LAN環境を実現したい。PCが無線LAN環境に接続するときの利用者認証とアクセス制御に，IEEE 802.1XとRADIUSを利用する場合の標準的な方法はどれか。

選択肢

• ア.PCにはIEEE 802.1Xのサプリカントを実装し，かつ，RADIUSクライアントの機能をもたせる。
• イ.アクセスポイントにはIEEE 802.1Xのオーセンティケータを実装し，かつ，RADIUSクライアントの機能をもたせる。
• ウ.アクセスポイントにはIEEE 802.1Xのサプリカントを実装し，かつ，RADIUSサーバの機能をもたせる。
• エ.サーバにはIEEE 802.1Xのオーセンティケータを実装し，かつ，RADIUSサーバの機能をもたせる。

正解

イ. アクセスポイントにはIEEE 802.1Xのオーセンティケータを実装し，かつ，RADIUSクライアントの機能をもたせる。

解説

IEEE 802.1XのEAP認証では、利用者端末がサプリカント、アクセスポイントやスイッチがオーセンティケータ、認証サーバがRADIUSサーバとなる。APはサプリカントの認証要求をRADIUSサーバへ中継するため、オーセンティケータかつRADIUSクライアントの役割を担う。よってイが正解。実務ではこの構成で利用者ごとに動的なアクセス制御と鍵配布を実現する。

選択肢ごとの解説

• ア.PCはサプリカントだが認証を中継するRADIUSクライアントはAP側であり、PCにRADIUSクライアントを持たせるのは誤り。
• イ.APがオーセンティケータとして機能しRADIUSクライアントとして認証要求を中継する構成が標準で、これが正解。
• ウ.APはオーセンティケータでありサプリカントやRADIUSサーバではないため、役割の対応が誤っている。
• エ.サーバはRADIUSサーバとして認証する側であり、オーセンティケータはAPなので役割の割当てが誤り。