情報処理技術者試験ナビ

当サイトは準備中です。

NW H21秋 午後Ⅱ 問1

◀️ 前へ次へ ▶️

 無線LANシステムの構築に関する次の記述を読んで,設問1〜4に答えよ。

 通信機器や通信サービスの販売会社であるA社は,分散していたオフィスを集約することになった。集約に当たっては,工事を極力少なくし,費用の削減や期間の短縮を図るために無線LANの活用を考えている。加えて,集約を契機に,座席はフリーアドレスとし,座席数は在席率を考慮して社員数より少なくし,代わりに不足気味のミティングスポットを確保するなど,オフィススペースの有効活用と業務の効率向上を図りたいと考えている。
 また,最近,来訪者から,“応接室,会議室及びロビー(以下,応接エリアという)で,無線LANを利用してインターネット経由で自社に接続したい”という要望が出ている。
 現状A社内ではVLANを使用した部門ごとのLAN(以下,部門LANという)が用意されており,当該部門の業務サーバもそこに設置されている。社員は,各人に支 給されたPCを所属する部門LANに接続し,サーバを利用している。

 

〔要件の整理〕
 システム部のB主任とC君は,集約後の無線LANシステム構築の担当者に任命された。具体的な設計に当たり,B主任はC君に(1)〜(5)の考慮すべき要件を示した。

(1)A社内のPCは,無線LANを使用して社内のネットワーク(以下,社内ネットワークという)に接続する。

(2)来訪者は,応接エリアから無線LANを経由してインターネット接続だけを利用できる。

(3)無線LANを利用して,社員がどのエリアから社内ネットワークに接続する場合でも,所属する部門LANに接続して,これまでと同様の使い方ができるポータビリティを実現する。

(4)許可された利用者のPCだけが社内ネットワークに接続できる。

(5)社員は,許可されたサーバだけを利用できる。

 無線LANは有線LANと比べてセキュリティ面のリスクが高いので,要件(1)〜(4)の実現に当たっては,それに配慮した設計を行うことにする。
 図1は,集約後の無線LANシステム構成図である。

f:id:honmurapeo:20180505211926p:plain

 C君は,システム検討に当たり,まず無線LANを使う上でのセキュリティ確保の方式について検討し,その後,必要となる認証基盤の構築,無線LAN規格の混在による影響とその対応,及び社員の利便性を高めるポータビリティの実現,の順に検討を進めることにした。

 

セキュリティ確保の方式
 無線LANは,電波の届く範囲ならどこからでもアクセスできるので,暗号化や利用者の認証が重要になる。C君は,無線LANの使用に当たって,WEP(WiredEquivalentPrivacy)方式では,認証方式,暗号方式及び鍵の秘匿性について脆弱性が問題になっていることから,セキュリティが強化されたIEEE 802.11i規格の採用を検討することにした。
 IEEE 802.11iではセキュリティを高めるため,IEEE 802.1X認証方式を採用し,より強固な暗号鍵の生成と配送方式を規定している。IEEE 802.1X認証方式は,IETF(Internet Engineering Task Force)が規定したEAP(Extensible Authentication Protocol)という,認証や暗号鍵配送用のフレームワークを利用している。EAP-TLS(Transport Layer Security)方式では,電子証明書を使用した認証を行う。C君は,セキュリティ重視の観点からEAP-TLS方式を採用することにした。
 図2は,C君が調査したIEEE 802.11iに基づくEAPTLS方式の認証と鍵配送の概略シーケンスを示している。

f:id:honmurapeo:20180505211952p:plain

 EAP-TLS方式において,PCと認証サーバ間でやり取りされるEAPパケットは,PCと無線AP間はEAPOLフレームのデータとして送られ,無線APと認証サーバ間はRADIUSパケットのデータとして送られる。
 認証処理は,無線APからPCにEAP要求を送信することから始まる。この応答と「して,PCは,利用者が入力した自分自身の識別情報を送信する。その後,PCと認証サーバとの間で認証方式の選択処理が行われる。認証方式(今回はEAP-TLS)が決定すると,PCと認証サーバ間で電子証明書が送受信され,相互の認証が行われる。単に,PCと認証サーバの電子証明書を相互に送受信しただけでは,相互認証はできないので,認証を可能にする追加の情報も送受信する。
 EAP-TLS方式では,暗号鍵作成のための機能強化も図られている。認証処理に加えて,暗号鍵を生成するための乱数などの情報が認証過程でやり取りされ,図2中のOのシーケンスが終了した時点で,256ビットのPMKと呼ばれる暗号鍵がPCと認証サバで共有される。PMKは,PCと無線AP間のデータを暗号化するために使われるので,認証サーバから無線APにも転送される。
 実際のフレーム転送時に使われる128ビットの暗号鍵TK(TemporalKey)は,4ウェイハンドシェイクと呼ばれる手順でPCと無線AP間で送受信される情報と,PMKを基に生成される。これによって,TKは①WEP方式の暗号鍵とは異なり,予測されにくい暗号鍵となっている
 IEEE802.1Xは,スイッチのポートベースのアクセス制御を実現する技術である。有線LANで使用する場合は,スイッチの物理ポート単位に通信を制御している。IEEE802.1Xを実装するスイッチの配下にHUBを接続するような場合には,認証されていないPCとの通信が行われることを防止するため,有線LANでは独自の実装が必要である。一方,無線LANでは,PCと無線APとの論理的接続である  ア  をポート接続と見なすようにポートの概念を拡張している。これによって,②有線LANで使用する場合と比べて,接続制御上の問題が少なくなる
 このように,EAP-TLS方式を使うことで,要件の一つである。許可された利用者の|PCだけが社内ネットワークに接続できることになった。

 

認証基盤の構築
 EAP-TLS方式の実現には  イ  と呼ばれる認証基盤の構築が必要であり,認証局の設置,電子証明書の発行と配布及び社員の異動や有効期限切れに伴う電子証明書のメンテナンスが必要になる。C君は,電子証明書の初期配布やその後のメンテナンスを容易に行えるように配慮して,認証基盤を構築することにした。
 認証サーバとしては,認証局機能とRADIUS機能の両方の機能を備えたアプライアンス型の認証サーバ製品を使い,プライベート認証局を設置することにした。
 社員への電子証明書の配布については,個別対応の負担をできるだけ軽減する必要があるので,電子証明書のダウンロード用Webサーバ(以下,配布サーバという)を用意し,そこからダウンロードさせることを検討した。配布サーバには,必要なファイルを認証サーバからコピーして格納しておく。配布サーバの設置に関しては,社員の社内ネットワーク接続方法に関係するので,C君は,ポータビリティの実現と併せて検討することにした。
 C君が考えた電子証明書の運用手順の概略は,次のとおりである。

(1)社員には利用申請書を提出してもらう。ただし,今回の集約に伴う移転に関しては,システム部が対象者の情報を人事部から入手し,一括処理するので,提出は不要とする。

(2)社員には,配布サーバのURLと,ダウンロード専用の社員ごとのパスワードをメールや郵便で通知する。

(3)社員は,移転先で初めて社内ネットワークに接続するとき,配布サーバに接続し,各自のクライアント証明書,クライアントの  ウ  及び認証局証明書(以下,証明書類という)をダウンロードしてPCにセットする。

 証明書類の継続更新処理は,電子証明書の有効期限内であれば,有効期限の1か月前から,申請手続なく社員各自が,配布サーバから更新済の証明書をダウンロードできるようにする。有効期限内に更新処理を行わなかった場合は,利用申請書を再度提出する(1)〜(3)の運用手順が必要になる。
 電子証明書の有効期限内であっても,異動などに伴い,社内ネットワークに接続できないようにする必要が生じた場合は,  エ  を作成して電子証明書を無効にする。

 C君が,(1)〜(3)の運用手順及び証明書類の継続更新処理手順の案をB主任に報告したところ,③ “PCに証明書類をセットするだけでは,ユーザ認証という観点では問題がある”という指摘を受けた。そこでC君は,対策としてPCの運用方法を改善することにした。更に調べてみると,証明書類をより安全に管理するためのUSB接続の「デバイス(以下,トークンという)があることが分かった。トークンは,証明書類を格納するが,USBメモリとは異なり,パスワードによる不正利用防止機能及びトークン内での暗号処理機能を実現している。A社では,社外に持ち出すPCをシンクライ「アント化し,トークンを利用することにした。

 

無線LAN規格の混在による影響とその対応
 A社で使用しているPCは,ほとんどノート型である。デスクトップ型のPCについては集約時に,最新型のノートPCに入れ替える予定である。ノートPCが対応する無線LAN規格にはIEEE802.11a,IEEE802.11b及びIEEE802.11gと複数種あり,中にはIEEE802.11bにだけ対応するPCもあった。特に同一周波数帯域を使用するIEEE802.11bとIEEE802.11gの場合には,混在による影響が懸念された。そこでC君は,その影響について調べてみた。
 無線LANでは,イーサネットと異なる  オ  方式と呼ばれるアクセス方式が使われている。通信を開始する無線端末が,ほかの端末が電波を出していないかを,事前に確認する方式である。しかし,電波の伝搬にかかわる無線端末の位置関係,障害物の影響などの空間的な原因や無線LAN規格の混在が原因で,事前の確認ができない場合もある。これを回避する方法として考えられたのが,RTS(RequestToSend)及びCTS(ClearToSend)という制御フレームを利用する方式(以下,RTSCTS方式という)である。このRTSCTS方式を使用した衝突回避の通信シーケンス例を図3に示す。

f:id:honmurapeo:20180505212125p:plain

 図3は,送信無線端末が無線APに向けてデータを送る場合の例を示している。デタ送信に先立ち,送信無線端末がRTSを送信し,RTSを受信した無線APがCTSを送信する。RTS及びCTSには送信抑止時間が含まれており,これらの制御フレームを受信したほかの無線端末は,指定された時間の送信を抑止し,アクセスの衝突を回避する。
 RTS/CTS方式では,RTS及びCTSの2個のフレームを送信するので利用効率が低下する。そこで,送信無線端末がRTSの代わりに,CTSを送信する方式(以下,自己CTS方式という)も考えられている。
 C君は,RTSやCTSのような衝突回避に使われる制御フレームの送信に必要な時間を試算してみた。これらは無線APに接続する無線端末が認識できるように,互換性のあるフレーム形式で送信される必要がある。そのために,MACフレームの先頭に付加されるプリアンブル部14ビットと物理ヘッダ部48ビットは,固定の1Mビット/秒で送られる。MACフレーム部は,IEEE802.11bとIEEE802.11gが混在した場合,11Mビット/秒で送られる。したがって,14バイトのCTSフレームの送信には,合計  a  μ秒の時間がかかる。一方,データフレームについては,1,500バイトのフレームを54Mビット/秒で送る場合,約230u秒かかることから,制御フレームのオーバヘッドは非常に大きいことが分かる。
 C君は,混在による性能低下が大きいので,共存時に性能低下が大きいIEEE802.11bの利用をやめ,IEEE802.11bだけに対応するPCの利用者には,IEEE802.11g対応の無線LANカードを支給することにした。IEEE802.11gより高速の伝送が可能な新規格であるIEEE  カ  規格の標準化が進んでいることから,支給する無線LANカードには,将来制御用ソフトウェアの更新によって,新規格にも対応可能な無線LANカードを選定した。
 このように,A社では,使用する無線LAN規格IEEE802.11aとEEE802.11gに統合し,さらに,将来の無線LAN高速化への対応を図った。

 

ポータビリティの実現
 応接エリアでは,社員だけでなく来訪者も無線LANを使用することになるので,社員か来訪者かによって接続先を切り替える制御が必要になる。C君は社員用のESS-Dとは別に,来訪者用のESS-Dを設定することにした。応接エリアの無線APに接続された来訪者のPCからのトラフィックは,インターネット接続用のルータに転送する。無線LANを利用したい来訪者には,接続のための設定情報が書かれたカードを受付で渡し,持ち込んだPCにその情報を設定してもらうことにした。
 部門LANを経由したサーバの利用では,ポータビリティを実現するためには,どの無線APに接続しても,社員の所属部門を認識し,所属部門の部門LANに接続できる仕組みが必要である。その際に,PC側の操作が必要だと,使い勝手が悪いので,PC側の操作を不要にしたい。
 C君は,PCを無線LANに接続したときに,社員の所属を区別するVLANDを付与できればよいと考えた。VLAND付与の方式として,無線APへの設定を工夫する方式と,IEEE802.1X認証の仕組みを活用する方式の二つを考え,B主任に相談した。
 B主任からは,“無線LANのアクセス認証にEAP-TLSを使用しているのだから,それを生かした方式の方がよいのではないか”というアドバイスを受けた。
 また,C君は,④ 認証基盤の構築で用意した配布サーバへの最初のアクセス制御にもIEEE802.1X認証の仕組みを利用することを考えたが,これについてもB主任から“セキュリティに関して大丈夫か”との指摘を受けた。C君は,当初考えていた配布サーバへのユーザDとパスワードによるアクセス保護に加え,不正にダウンロードされにくい対策をとることにして,B主任の了承を得た。
 IEEE802.1X認証の仕組みを活用する方式では,⑤ 社員の所属部門が変わった場合の運用が容易なこともあり,C君は,この方式で進めることにした。
 このようにして,C君はA社の無線LANシステムの設計を終え,集約先オフィスへのシステム導入の準備を開始した。

 

設問1

 〔セキュリティ確保の方式〕について,(1)〜(4)に答えよ。

(1)PCがクライアント証明書を送出するシーケンスはどれか。図2中のシーケンス番号で答えよ。また,このときに,電子証明書とともに送る認証用データは何か。10字以内で答えよ。
 

シーケンス番号の解答例・解説
解答例

 ⑫

解説

 XXXXXXXX

認証用データの解答例・解説
解答例

 クライアント署名

解説

 XXXXXXXX

 

(2)本文中の下線①に関して,どのような手段によって,WEP方式に比べて暗号鍵の予測を困難にしているのか。40字以内で述べよ。
 

解答例・解説
解答例

 送り合った乱数を使ってミキシングすることでランダム性を実現したこと

解説

 XXXXXXXX

 

(3)本文中の  ア  に入れる適切な字句を答えよ。
 

解答例・解説
解答例

 アソシエーション

解説

 XXXXXXXX

 

(4)本文中の下線②に関して,有線LANで使用する場合と比べて,接続制御上の問題が少ない理由を30字以内で述べよ。
 

解答例・解説
解答例

 認証が端末と無線AP の1 対1 の関係で行われるから

解説

 XXXXXXXX

 

 

設問2

 〔認証基盤の構築〕について,(1)〜(4)に答えよ。

(1)本文中の  イ    エ  に入れる適切な字句を答えよ。
 

イの解答例・解説
解答例

 PKI 又は 公開鍵基盤

解説

 XXXXXXXX

ウの解答例・解説
解答例

 秘密鍵

解説

 XXXXXXXX

エの解答例・解説
解答例

 (証明書)失効リスト 又は CRL(Certificate Revocation List)

解説

 XXXXXXXX

 

(2)本文中の下線③に関して,B主任が指摘した問題点を40字以内で述べよ。
 

解答例・解説
解答例

 許可されていない利用者でも当該PC を使えばネットに接続できること

解説

 XXXXXXXX

 

(3)B主任が指摘した問題点への対策として,C君が考えたPCの運用方法の具「体的な改善案を25字以内で述べよ。
 

解答例・解説
解答例

 PC への利用者パスワードの設定を徹底する。

解説

 XXXXXXXX

 

(4)トークン内で暗号処理を行うことで,セキュリティ管理上得られる利点を30字以内で述べよ。
 

解答例・解説
解答例

 秘密鍵を読み出すことなく処理できるので秘匿性が増す。

解説

 XXXXXXXX

 

 

設問3

 〔無線LAN規格の混在による影響とその対応〕について,(1)〜(5)に答えよ。

(1)本文中の  オ    カ  に入れる適切な字句を答えよ。
 

オの解答例・解説
解答例

 CSMA/CA

解説

 XXXXXXXX

カの解答例・解説
解答例

 802.11n

解説

 XXXXXXXX

 

(2)自己CTS方式の場合,RTS/CTS方式と比べて衝突を回避できない場合は,どのような場合か。25字以内で述べよ。
 

解答例・解説
解答例

 端末間で電波が直接届かない位置関係にある場合

解説

 XXXXXXXX

 

(3)図3中の制御フレームのうち,同一の無線APに接続するすべての無線端末で受信される必要のあるフレームはどれか。図3中の字句で答えよ。
 

解答例・解説
解答例

 CTS

解説

 XXXXXXXX

 

(4)図3において,ACKを送信しなければならない理由を,無線LANの技術的特性に触れて,50字以内で述べよ。
 

解答例・解説
解答例

 無線LAN では衝突の検出ができないので,確実に届いたことを通知す る必要があるから

解説

 XXXXXXXX

 

(5)本文中の  a  に入れる数値を求めよ。答えは,小数点以下を切り上げて整数で求めよ。
 

解答例・解説
解答例

 203

解説

 XXXXXXXX

 

 

設問4

 〔ポータビリティの実現〕について,(1)〜(5)に答えよ。

(1)IEEE 802.1X認証を用いた場合,LANIDが有効になる契機は,図2中のどのシーケンスによるものか。図2中のシーケンス番号で答えよ。
 

解答例・解説
解答例

 ⑱

解説

 XXXXXXXX

 

(2)C君が採用したIEEE 802.1X認証の仕組みを活用する案は,どのようなやり方と考えられるか。55字以内で具体的に述べよ。
 

解答例・解説
解答例

 ESS-ID には同一のID を設定し,認証サーバから通知されたVLAN ID を無線AP にセットする。

解説

 XXXXXXXX

 

(3)本文中の下線④に関して,配布サーバへのアクセスの制御をどのように実現しようとしたのか。40字以内で述べよ。
 

解答例・解説
解答例

 無線AP が認証失敗の時に割り当てるVLAN に配布サーバを設置する。

解説

 XXXXXXXX

 

(4)配布サーバ上に格納したクライアントの証明書類の管理について,C君が採用した不正にダウンロードされにくい対策とはどのような方法と考えられるか。40字以内で述べよ。
 

解答例・解説
解答例

 ダウンロードされた証明書は,それ以降ダウンロードできないよう削除 する。

解説

 XXXXXXXX

 

(5)本文中の下線⑤に関して,無線APへの設定を工夫する方式と比べた場合の運用上の利点を45字以内で述べよ。
 

解答例・解説
解答例

 認証サーバ内の該当社員に付与するVLAN ID の設定を変更するだけで 済む。

解説

 XXXXXXXX

 

 

IPA講評

出題趣旨

 無線LAN は,高速化のための技術(IEEE 802.11n)やセキュリティの改善(IEEE 802.11i)によっ て利用価値が高まっており,座席のフリーアドレス化やモバイル機器の活用など,オフィスの利用効 率向上や業務効率の改善の手段として期待されている。しかし,セキュリティを確保した上で適切に 利用するには,無線LAN の特性に配慮したシステム構築が必要となる。
 本問では,オフィスの移転に伴う無線化を例に,無線LAN を使用したシステム構築に当たって,電 波という伝送媒体の特性を理解したシステム構成設計,セキュリティ確保への配慮,運用時の注意事 項に関するシステム構築能力を問う。

採点講評

  問1 では,無線LAN システムの構築を題材に,セキュリティの確保方式,無線LAN の接続制御方式, 及びPC のポータビリティ実現方式について出題した。全体として,正答率は低かった。
 設問1 は,無線LAN のセキュリティ確保について出題した。無線AP への接続制御に関する(3),(4) の正答率は低かった。無線LAN でのポート概念やその接続制御に関して確実に理解してほしい。
 設問2 は,電子証明書を利用した認証を実現するためのPKI 構築について出題した。秘密鍵の漏え い防止に関する(4)の正答率は低かった。利用者認証には,認証要求者が秘密鍵を所有していること に加え,唯一の所有者であることが必要である。利用者認証の本質的な理解を深めてほしい。
 設問3 は,複数無線LAN 規格の混在時の影響について出題した。正答率は高かった。
 設問4 は,IEEE 802.1X 方式によるポータビリティの実現方法について出題した。全体として,正答 率は低かった。本問では,認証技術とVLAN 制御を組み合わせ,システムの構築を具体的に考えて解 答してほしかった。ネットワークスペシャリストにふさわしい応用力を磨いてほしい。