#02 IEEE 802.1Xについて覚える｜情報処理安全確保支援士試験対策

『IEEE』はInstitute of Electrical and Electronics Engineersの略だそうで、通信、ネットワーク、コンピューター、電気エネルギーなど幅広い分野で数多くの規格を策定している組織です。

概要 - IEEEについて - IEEE ジャパン・オフィス

その規格の頭に付く『IEEE』という文字ですが、『アイトリプルイー』と読むみたい。読み方がわかると少し問題解くのがスムーズになった気がします。（そんなことない）

さてこの『IEEE』ですが、沢山規格があって問題で遭遇するたびに悩みます。逆に覚えてしまえばこれはどの規格かという問いだけでなく、関係のない選択肢として出てきた時に除外できるわけです。
全部やると長くなるので、今回は私が何度か過去問で遭遇しているIEEE 802.1Xについて触れます。

IEEE 802.1Xとは

---

ネットワークセキュリティを強化する為の規格で、ネットワーク（LAN）へのアクセス制御・管理を目的として使用される規格です。平たく言うと、正当なユーザーやデバイス以外がネットワークに参加するのを防止する仕組みですね。

IEEE 802.1Xの仕組み

とりあえず構成要素として以下の３つを覚えます。

１．認証サーバー
クライアントが正当なデバイスか認証するサーバー。一般的にRADIUSサーバーが使用される。
２．オーセンティケーター
認証のトラフィック（通信）を仲介するネットワーク機器。有線ならスイッチ、無線ならアクセスポイントがこの役割。認証されたクライアント以外のネットワークアクセスはブロックします。
３．サプリカント
認証を要求するクライアントデバイス（PC・スマホ）

認証の流れは下記のイメージで大枠あっているはず。

IEEE.802.1Xの認証イメージ

EAPとは

---

ここからが少しややこしいけど自分なりに解説。

IEEE 802.1X認証を実現するのに使用されるプロトコルがEAP（Extensible Authentication Protocol）です。Extensibleは拡張的な意味で、PPP（Point to Point Protocol）を拡張したものです。ちなみにEAPを使用した認証規格はIEEE802.1X以外にもあるので注意しましょう。
参考）
PAP（Password Authentication Protocol）：ID/パスワードを平文で流す。

EAPの特徴

EAPは様々な認証方式をサポートしている為、システムに合わせた認証方式を採用でき、柔軟性が高いとされます。どの認証方式が適切か選択する問題が過去問にあったのでここは覚えて損はなさそう。

EAPの種類

EAP-TLS（Transport Layer Security）
クライアントとサーバーがデジタル証明書を交換して認証を行う方式。強固ではあるが証明書の管理が必要。サーバーとクライアントが相互認証する。

EAP-TTLS（Tunneled TLS）
クライアント側の証明書が不要なため、導入が容易で、クライアント認証はID・パスワードで行うことが可能。追加ソフトは必要。

PEAP（Protected EAP）
クライアントとサーバー間でTLSトンネルを構築して認証を行う。EAP-TTLSと同様にクライアント側の証明書は不要。

EAP-MD5
クライアントの認証情報をMD5ハッシュで認証する。ただし暗号化が施されていない。

まとめ

EAPは認証方式が多様なため、セキュリティ要件に応じた認証方法を選定することができるということを抑えておくと、どの部分が重要かがわかる気がする。
例えばH21の過去問ではPEAP方式とEAP-TLS方式を比較してPEAP方式を採用すると判断した根拠を問われていた。
（EAP-TLSはデジタル証明書（端末依存）で認証する為利用者を特定できないというのが正解）

かなり前の出題なのでこれが問われる可能性はなんとも言えないが、直近の午前問題にも出題されていたので、しっかりと抑えておきたい。