基本情報技術者 2018年 秋期 午前(科目A) 問44
問題文
公衆無線LANのアクセスポイントを設置するときのセキュリティ対策と効果の組みのうち、適切なものはどれか。セキュリティ対策効果
選択肢
ア:
イ:
ウ:
エ:(正解)
公衆無線LANのアクセスポイント設置時のセキュリティ対策と効果【午前2 解説】
要点まとめ
- 結論: 公衆無線LANではアクセスポイント側で無線クライアント間の通信を遮断する「クライアント分離(APアイソレーション)」が利用者保護に最も効果的です。
- 根拠: SSID隠蔽やMACフィルタは簡単に回避される一方、AP側での通信遮断は端末間の横移動・不正アクセスを直接防げます。
- 差がつくポイント: クライアント分離は802.1XやWPA2/3、VLAN分離、キャプティブポータルと組み合わせて運用することで実務的なセキュリティ度が大きく向上します。
正解の理由
正解: エ
エの対策は「同一アクセスポイントに接続している端末同士の通信をAPで遮断する」ことであり、公衆無線LANで問題となる同一SSID・同一セグメント内のクライアント同士による不正アクセスや横展開(ファイル共有・リモートアクセスなど)を直接的に防止します。これはAPレベルでのレイヤ2/レイヤ3フィルタリング機能(APアイソレーション、クライアントアイソレーション)によって実現され、悪意ある利用者が同じホットスポット上の他端末にアクセスするリスクを減らします。
エの対策は「同一アクセスポイントに接続している端末同士の通信をAPで遮断する」ことであり、公衆無線LANで問題となる同一SSID・同一セグメント内のクライアント同士による不正アクセスや横展開(ファイル共有・リモートアクセスなど)を直接的に防止します。これはAPレベルでのレイヤ2/レイヤ3フィルタリング機能(APアイソレーション、クライアントアイソレーション)によって実現され、悪意ある利用者が同じホットスポット上の他端末にアクセスするリスクを減らします。
よくある誤解
- 「MACアドレスフィルタで安心」:MACアドレスは簡単に偽装(スプーフィング)できるため、単独の対策では不十分です。
- 「SSIDを隠せば安全」:SSIDの隠蔽は管理・運用負荷が増し、管理フレームなどから容易にSSIDが判明するため実効性が低いです。
- 「アクセスポイント名に企業ドメインを使えばなりすまし防止」:SSID名は任意に設定できるため悪意あるAPが同一SSIDを設定しても検知・阻止できません。
解法ステップ
- 各選択肢が「どの脅威(盗聴・なりすまし・端末間攻撃)」を想定しているかを分類する。
- その対策が技術的にどの層で防御するか(管理情報、無線フレーム、認証、トラフィック制御)を確認する。
- 回避手段の有無(例:MACスプーフィング、プローブ応答、SSIDクローン)を考える。
- 公衆無線で最も重要なのは「同一セグメント内での被害拡大防止」なので、端末間通信遮断が適合するか評価する。
選択肢別の誤答解説
- ア(MACアドレスフィルタリングを設定する): MACフィルタは正規端末以外を排除するように見えますが、攻撃者はMACアドレスを偽装可能であり、盗聴やプロファイリングによって容易に真似できます。よって単独では信頼できません。
- イ(SSIDを暗号化する): SSID自体を「暗号化」することは実用的ではなく、SSID隠蔽(ブロードキャスト停止)でも管理フレームやプローブからSSIDが判明します。SSIDの秘匿はセキュリティ強化手段としては不十分です。
- ウ(自社が登録したドメインをSSIDに設定する): SSIDは任意文字列なので、第三者が同一のSSIDを設定して偽アクセスポイント(Evil Twin)を作れます。ドメイン登録とは無関係で、なりすまし防止にはなりません。
- エ(同一APに接続している端末同士の通信を遮断する): 正解。APレベルでクライアント分離を行えば、同じAPに接続した他端末への不正アクセスを直接防げます。公衆無線での被害抑止に適した実装です。
補足コラム
- 実装方法: 多くの商用APは「Client Isolation」「AP Isolation」「Guest Mode」などの設定で端末間通信を無効化します。これによりレイヤ2ブロードキャスト/ユニキャストの相互通信をブロックできます。
- 組合せ施策: クライアント分離に加え、WPA2/WPA3での認証、802.1X(RADIUS)による認証、SSIDごとのVLAN割当て、キャプティブポータルで利用同意とトラッキングを導入するとより安全です。
- 運用上の注意: クライアント分離はネットワークプリンターや端末間の合法的な共有(ファイル共有、ゲーム、キャスト機能)を阻害する場合があります。必要なサービスには別SSIDや許可されたVLANを用意してください。
FAQ
Q1: SSIDを隠すと検出されにくくなりますか?
A1: いいえ。隠蔽しても管理フレームやクライアントのプローブからSSIDが露出することが多く、セキュリティ対策としては有効ではありません。
A1: いいえ。隠蔽しても管理フレームやクライアントのプローブからSSIDが露出することが多く、セキュリティ対策としては有効ではありません。
Q2: MACアドレスフィルタはまったく意味がないですか?
A2: 完全な防御ではありませんが、ログの解読や簡易なアクセス制御の補助にはなります。高い安全性が必要な環境では802.1Xや強固な暗号を併用してください。
A2: 完全な防御ではありませんが、ログの解読や簡易なアクセス制御の補助にはなります。高い安全性が必要な環境では802.1Xや強固な暗号を併用してください。
Q3: クライアント分離だけで十分ですか?
A3: クライアント分離は端末間攻撃を防ぐ重要な対策ですが、盗聴や認証回避対策にはWPA2/3や802.1X、個別認証を併用することが必要です。
A3: クライアント分離は端末間攻撃を防ぐ重要な対策ですが、盗聴や認証回避対策にはWPA2/3や802.1X、個別認証を併用することが必要です。
関連キーワード: 無線LAN、SSID、MACアドレスフィルタリング、MACスプーフィング、クライアント分離、APアイソレーション、WPA2、WPA3、802.1X、キャプティブポータル、VLAN、Evil Twin、アクセスポイント、ゲストネットワーク
\ せっかくなら /
基本情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!