ホーム > 情報処理安全確保支援士試験 > 2011年 秋期
情報処理安全確保支援士試験 2011年 秋期 午前2 問04
SSL を使用して通信を暗号化する場合, SSL-VPN 装置に必要な条件はどれか。
ア:SSL-VPN 装置は,FQDN 又は IP アドレスを含むディジタル証明書を組み込む必要がある。(正解)
イ:SSL-VPN 装置は, 装置メーカが用意した機種固有のディジタル証明書を組み込む必要がある。
ウ:SSL-VPN 装置は,装置メーカから提供される認証局を利用する必要がある。
エ:同一ドメイン内で複数拠点に SSL-VPN 装置を設置する場合は, 同一のディジタル証明書を利用する必要がある。
解説
SSL を使用して通信を暗号化する場合, SSL-VPN 装置に必要な条件はどれか【午前2 解説】
要点まとめ
- 結論:SSL-VPN装置には、FQDNまたはIPアドレスを含むディジタル証明書の組み込みが必須です。
- 根拠:SSL通信はサーバーの正当性を証明するために証明書が必要であり、FQDN/IPが証明書に含まれていなければ通信の安全性が担保されません。
- 差がつくポイント:装置メーカー固有の証明書や認証局の利用、同一証明書の共有は誤りであり、証明書の正しい役割と構成を理解することが重要です。
正解の理由
ア: SSL-VPN装置は、FQDN又はIPアドレスを含むディジタル証明書を組み込む必要がある。が正解です。
SSL通信では、クライアントが接続先のサーバーの正当性を検証するために、証明書に記載されたFQDN(Fully Qualified Domain Name)やIPアドレスと接続先が一致していることが必須です。これにより中間者攻撃などのリスクを低減し、安全な通信が実現されます。
SSL通信では、クライアントが接続先のサーバーの正当性を検証するために、証明書に記載されたFQDN(Fully Qualified Domain Name)やIPアドレスと接続先が一致していることが必須です。これにより中間者攻撃などのリスクを低減し、安全な通信が実現されます。
よくある誤解
装置メーカーが用意した機種固有の証明書を使うと思い込むことがありますが、証明書は接続先のドメイン名やIPに合わせて発行される必要があります。
また、同一ドメイン内でも複数拠点で同じ証明書を使うことはセキュリティ上推奨されません。
また、同一ドメイン内でも複数拠点で同じ証明書を使うことはセキュリティ上推奨されません。
解法ステップ
- SSL通信の仕組みを理解し、証明書の役割を確認する。
- 証明書には接続先のFQDNまたはIPアドレスが含まれている必要があることを押さえる。
- 選択肢の中で「FQDN又はIPアドレスを含む証明書」を組み込む必要があるものを探す。
- 他の選択肢が証明書の役割や発行元の条件と合致しないことを確認する。
- 正しい選択肢を選ぶ。
選択肢別の誤答解説
- ア: 正解。FQDNまたはIPアドレスを含む証明書がSSL通信の基本要件です。
- イ: 装置メーカー固有の証明書は一般的に使われず、接続先のドメイン名に合致しないため誤りです。
- ウ: 装置メーカー提供の認証局を必ず利用する必要はなく、一般的には信頼された認証局の証明書を使います。
- エ: 同一ドメイン内でも複数拠点で同一証明書を使うことはセキュリティリスクがあり推奨されません。
補足コラム
SSL-VPNはSSL/TLSプロトコルを利用してVPN通信を暗号化します。証明書は公開鍵基盤(PKI)に基づき、通信相手の正当性を保証する重要な役割を持ちます。証明書のFQDNやIPアドレスの一致は、通信の安全性を確保するための基本的なチェックポイントです。
FAQ
Q: SSL-VPN装置に自己署名証明書を使っても問題ありませんか?
A: 自己署名証明書は信頼されにくく、クライアント側で警告が出るため、信頼された認証局発行の証明書を使うことが推奨されます。
A: 自己署名証明書は信頼されにくく、クライアント側で警告が出るため、信頼された認証局発行の証明書を使うことが推奨されます。
Q: 複数拠点で同じ証明書を使うと何が問題ですか?
A: 証明書の秘密鍵が複数拠点に分散されるため、秘密鍵の漏洩リスクが高まり、セキュリティが低下します。
A: 証明書の秘密鍵が複数拠点に分散されるため、秘密鍵の漏洩リスクが高まり、セキュリティが低下します。
関連キーワード: SSL, SSL-VPN, ディジタル証明書, FQDN, IPアドレス, 公開鍵基盤, PKI, 通信暗号化, VPN