ホーム > 情報処理安全確保支援士試験 > 2009年 春期
情報処理安全確保支援士試験 2009年 春期 午前2 問02
SSLを使用して通信を暗号化する場合,SSL-VPN装置に必要な条件はどれか。
ア:SSL-VPN装置は、1台1台を識別できるようにディジタル証明書を組み込む必要がある。(正解)
イ:SSL-VPN装置は,装置メーカが用意した機種固有のディジタル証明書を組み込む必要がある。
ウ:SSL-VPN装置は、装置メーカから提供される認証局を利用する必要がある。
エ:同一ドメイン内で複数拠点にSSL-VPN装置を設置する場合は,同一のディジタル証明書を利用する必要がある。
解説
SSLを使用して通信を暗号化する場合,SSL-VPN装置に必要な条件はどれか【午前2 解説】
要点まとめ
- 結論:SSL-VPN装置には、1台1台を識別できるように個別のディジタル証明書を組み込む必要があります。
- 根拠:ディジタル証明書は装置の正当性を証明し、通信相手が信頼できる機器であることを保証するためです。
- 差がつくポイント:装置固有の証明書と認証局の利用、証明書の共有の違いを正確に理解することが重要です。
正解の理由
ア: SSL-VPN装置は、1台1台を識別できるようにディジタル証明書を組み込む必要がある。
SSL-VPN装置は通信の暗号化だけでなく、相手装置の認証も行います。そのため、装置ごとに固有のディジタル証明書を持ち、識別できることが必須です。これにより、なりすましや中間者攻撃を防止し、安全な通信を確立できます。
SSL-VPN装置は通信の暗号化だけでなく、相手装置の認証も行います。そのため、装置ごとに固有のディジタル証明書を持ち、識別できることが必須です。これにより、なりすましや中間者攻撃を防止し、安全な通信を確立できます。
よくある誤解
装置メーカーが用意した証明書をそのまま使うと安全性が低下します。複数拠点で同じ証明書を使うこともセキュリティリスクとなります。
解法ステップ
- SSL-VPNの役割を理解する(通信の暗号化と相手認証)。
- ディジタル証明書の目的を確認(装置の正当性証明)。
- 証明書の管理方法を考える(装置ごとに固有である必要がある)。
- 選択肢を比較し、装置固有の証明書を組み込むものを選ぶ。
選択肢別の誤答解説
- ア: 正解。装置ごとに識別可能な証明書が必要。
- イ: 装置メーカーが用意した機種固有の証明書は、他者が使う可能性があり安全とは言えません。
- ウ: 認証局の利用は重要ですが、装置が必ずメーカー提供の認証局を使う必要はありません。
- エ: 同一ドメイン内でも複数拠点で同じ証明書を使うと、証明書の管理やセキュリティ上の問題が生じます。
補足コラム
ディジタル証明書は公開鍵基盤(PKI)に基づき、認証局(CA)が発行します。SSL-VPN装置はこの証明書を用いてTLS通信を確立し、通信の暗号化と相手認証を同時に実現します。装置ごとに証明書を分けることで、万が一1台が侵害されても他の装置の安全性が保たれます。
FAQ
Q: なぜ装置ごとに証明書が必要なのですか?
A: 装置ごとに証明書が異なることで、なりすましを防ぎ、通信相手の正当性を確実に確認できます。
A: 装置ごとに証明書が異なることで、なりすましを防ぎ、通信相手の正当性を確実に確認できます。
Q: 装置メーカーの証明書を使うのはなぜダメですか?
A: メーカー共通の証明書は複数装置で共有されるため、個別の認証ができずセキュリティリスクが高まります。
A: メーカー共通の証明書は複数装置で共有されるため、個別の認証ができずセキュリティリスクが高まります。
関連キーワード: SSL-VPN, ディジタル証明書, 公開鍵基盤, TLS, 認証局, 通信暗号化, なりすまし防止