これまでの記事で学んだ技術は、ネットワークの「接続性」「可用性」「効率性」を支えるものでした。今回のテーマは、それら全てを土台とし、安全性を確保するための「セキュリティ応用技術」です。
不正な接続を防ぐネットワーク認証(IEEE 802.1X)、無線LANの通信を保護する暗号化(WPA2/WPA3)、Webアプリケーションを狙った攻撃から守る防御壁(WAF)など、現代のネットワークに不可欠なセキュリティの仕組みを解き明かしていきます。それぞれの技術が、ネットワークのどの部分を、どのような脅威から守っているのかを正確に理解しましょう。
目次
1. 【IEEE 802.1X】不正接続を許さないポートベース認証
オフィスの空いているLANポートに個人のPCを接続するだけで、社内ネットワークにアクセスできてしまう…そんな状況は大きなセキュリティリスクです。IEEE 802.1Xは、LANに接続しようとする端末が正当な利用者であるかを認証し、許可された端末のみ通信を許可する仕組みです。認証が完了するまで、そのポートでは認証以外の通信は一切ブロックされます。
802.1X認証の登場人物
802.1X認証は、以下の3つの要素で構成されます。
- サプリカント: ネットワークへの接続を要求するクライアント端末(PCやスマートフォンなど)。認証情報(ID/パスワードや証明書)を提示します。
- オーセンティケータ: 認証を仲介するネットワーク機器(無線LANアクセスポイントやスイッチなど)。サプリカントと認証サーバの間で認証情報を中継します。
- 認証サーバ: 実際に認証を行い、接続の可否を判断するサーバ。一般的にRADIUSサーバがこの役割を担います。
学習のポイント:EAP (Extensible Authentication Protocol)
サプリカントと認証サーバが、オーセンティケータを介して認証情報をやり取りする際に使われるプロトコルがEAPです。EAPは様々な認証方式に対応できる柔軟なフレームワークであり、ID/パスワードを使うEAP-PEAPや、電子証明書を使うEAP-TLSなど、セキュリティ要件に応じた方式が利用されます。
2. 【WPA2/WPA3】無線LANの通信を守る暗号化技術
無線LAN(Wi-Fi)の電波は、有線LANとは異なり広範囲に届くため、通信内容を保護するための暗号化が不可欠です。そのセキュリティ規格として、現在広く利用されているのがWPA2であり、その後継がWPA3です。
無線LANセキュリティの変遷
初期の規格であるWEPには、暗号を短時間で解読されてしまう致命的な脆弱性がありました。これを受けて、セキュリティを大幅に強化したWPAが登場し、さらにその改良版としてWPA2が標準となりました。そして現在、より堅牢なセキュリティを実現するためにWPA3への移行が進んでいます。
WPA2の仕組み
WPA2は、AESという強力な暗号化アルゴリズムと、CCMPという改ざん検知の仕組みを組み合わせて通信を保護します。接続方式には2種類あります。
- WPA2-PSK(パーソナル): 「事前共有鍵(Pre-Shared Key)」と呼ばれる単一のパスワード(Wi-Fiのパスワード)を、アクセスポイントと全端末で共有する方式です。家庭や小規模オフィスで一般的に利用されます。
- WPA2-エンタープライズ: 前述のIEEE 802.1X認証を利用して、利用者ごとに異なるIDとパスワード、あるいは証明書で認証を行います。大規模な組織での利用に適しています。
学習のポイント:WPA3での強化点
WPA3では、パスワードが単純なものであっても盗聴されにくくなる、より安全な鍵交換方式SAE(Simultaneous Authentication of Equals)が導入されました。これにより、PSKモードのセキュリティが大幅に向上しています。ネットワークスペシャリスト試験でも、こうした新しい規格の改善点が問われる可能性があります。
3. 【WAF】Webアプリケーションを保護する専門の壁
WAF(Web Application Firewall)は、その名の通りWebアプリケーションの保護に特化したファイアウォールです。従来のファイアウォールがIPアドレスやポート番号で通信を制御するのに対し、WAFはHTTPリクエストの中身を詳細に検査し、Webサイトを狙った悪意のある攻撃を検知・ブロックします。
ファイアウォール(FW)、IPSとの違い
WAFの役割を理解するには、他のセキュリティ機器との違いを明確にすることが重要です。
- ファイアウォール (FW): ネットワークの玄関口で、送信元/宛先IPアドレスやポート番号(L3/L4情報)を見て、許可された通信以外を遮断します。例えるなら「宛先と差出人が許可リストにあるか」を見る門番です。
- IPS (不正侵入防止システム): 通信内容のパターン(シグネチャ)を検査し、既知の脆弱性を狙った攻撃などを検知・防御します。例えるなら「荷物(パケット)の中に危険物のパターンがないか」を調べる警備員です。
- WAF: HTTPリクエストの中身(アプリケーション層のデータ)を詳細に解析し、Webアプリケーションのロジックを悪用する攻撃を防ぎます。例えるなら「届けられた申請書(リクエスト)の内容に不正な記述がないか」をチェックする受付係です。
WAFが防ぐ攻撃の具体例
WAFは、特に以下のような攻撃の防御を得意とします。これらは、通常のファイアウォールやIPSでは防ぐのが難しい攻撃です。
- SQLインジェクション: 不正なSQL文を注入し、データベースを不正に操作する攻撃。
- クロスサイトスクリプティング(XSS): Webページに悪意のあるスクリプトを埋め込み、ユーザーのブラウザ上で実行させる攻撃。
- OSコマンドインジェクション: WebサーバのOSコマンドを不正に実行させる攻撃。
学習のポイント:誤検知とチューニング
WAFは非常に強力ですが、正常な通信を誤って攻撃と判断してしまう「誤検知(フォールスポジティブ)」が発生することがあります。そのため、導入後はWebアプリケーションの仕様に合わせて防御ルールを細かく調整(チューニング)し、誤検知を減らしつつ、未知の攻撃にも対応できるようにしていく運用が重要となります。
4. 【Kerberos認証】シングルサインオンを実現する古典的認証基盤
Kerberos認証は、一度のログインで複数のサーバーやサービスへのアクセスを許可するシングルサインオン(SSO)を実現するための、古典的かつ強力な認証方式です。ユーザーは最初に認証を受けるだけで、その後はパスワードを再入力することなく、許可された様々なサービスを利用できます。
Kerberos認証の目的と登場人物
Kerberosの最大の特徴は、ネットワーク上にパスワードそのものを流さない点にあります。この安全な認証は、3つの主要な登場人物によって実現されます。
- クライアント: サービスを利用したいユーザー。
- サーバー: ユーザーが利用したいサービス(ファイルサーバーなど)。
- KDC (Key Distribution Center): 認証情報(ユーザーのパスワードなど)をすべて管理し、チケットを発行する認証サーバー。「認証サーバー(AS)」と「チケット発行サーバー(TGS)」の2つの機能を持っています。
チケットを利用した認証フロー
Kerberos認証は、「チケット」と呼ばれる電子的な整理券のようなものをやり取りして行われます。
- クライアントは、まずKDCの認証サーバーに対し、「チケット発行チケット(TGT)」をくださいと要求します。
- 認証サーバーはユーザーを認証後、TGTを発行します。
- クライアントは、受け取ったTGTをKDCのチケット発行サーバーに提示し、「ファイルサーバーを使いたいので、専用のサービスチケット(ST)をください」と要求します。
- チケット発行サーバーはTGTを検証し、クライアントにサービスチケットを発行します。
- クライアントは、そのサービスチケットをファイルサーバーに提示することで、パスワードなしでサービスを利用できます。
学習のポイント:Active Directoryとの関係
Kerberos認証の仕組みは複雑ですが、ネットワークスペシャリスト試験では、Windows ServerのActive Directory環境における標準の認証方式として利用されている、という点を押さえておくことが重要です。ドメインに参加しているPCが、ファイルサーバーなどにシームレスにアクセスできるのは、裏側でKerberos認証が働いているためです。
まとめ
今回解説したセキュリティ技術は、それぞれが異なる層や目的でネットワークを保護しています。IEEE 802.1Xは「接続の入り口」を、WPA2/WPA3は「無線の経路」を、WAFは「アプリケーションの入り口」を、そしてKerberosは「サービス利用時の認証」を守ります。
午後問題では、これらの技術が構成図のどこに、なぜ配置されているのか、その設計意図を読み解くことが合格への鍵となります。それぞれの役割と防御範囲を正確に理解し、多層的な防御の考え方を身につけましょう。