【SC午前Ⅱ頻出】出題歴4回超!IEEE 802.1X認証とRADIUS連携の仕組みを完全網羅
情報処理安全確保支援士(SC)試験や応用情報技術者試験において、IEEE 802.1Xは午前試験で4回以上の出題歴がある超頻出テーマです。
単なる用語の暗記ではなく、「どのデバイスがどの役割を担い、どのプロトコルで通信するか」という全体像を掴むことが、午後試験の記述対策にも直結します。要点を分かりやすくまとめました。
1. 過去問チェック(令和6年秋期 問17)
まずは、直近の過去問で知識を確認しましょう。
【問題】
利用者認証情報を管理するサーバ1台と複数のアクセスポイントで構成された無線LAN環境を実現したい。PCが無線LAN環境に接続するときの利用者認証とアクセス制御に、IEEE 802.1XとRADIUSを利用する場合の標準的な方法はどれか。【選択肢】
ア:PCにはIEEE 802.1Xのサプリカントを実装し、かつ、RADIUSクライアントの機能をもたせる。
イ:アクセスポイントにはIEEE 802.1Xのオーセンティケータを実装し、かつ、RADIUSクライアントの機能をもたせる。
ウ:アクセスポイントにはIEEE 802.1Xのサプリカントを実装し、かつ、RADIUSサーバの機能をもたせる。
エ:サーバにはIEEE 802.1Xのオーセンティケータを実装し、かつ、RADIUSサーバの機能をもたせる。
正解:イ
2. 押さえるべき「3つの役割(エンティティ)」
IEEE 802.1X認証を理解する最短ルートは、各デバイスの役割を物理的な機器と結びつけることです。
| 呼称 | 役割(ロール) | 具体的なデバイス |
|---|---|---|
| サプリカント (Supplicant) | 認証を申請する「クライアント」 | PC、スマホ、タブレット |
| オーセンティケータ (Authenticator) | 認証を仲介する「検問所」 | 無線AP、認証スイッチ |
| 認証サーバ (Authentication Server) | 認証の可否を下す「裁判官」 | RADIUSサーバ |
💡 試験の急所:RADIUSクライアントは誰?
ここが最大のひっかけポイントです。**RADIUSクライアントの機能を持つのは「PC」ではなく「無線AP(オーセンティケータ)」**です。PCはAPに対して認証を求めますが、RADIUSプロトコルを直接話すのはAPとサーバの間だけです。
3. プロトコルの使い分け:EAP と RADIUS
高度試験では、どの区間でどのプロトコルが走っているかが問われます。
① EAP (Extensible Authentication Protocol)
認証情報をやり取りするための汎用的なフレームワークです。サプリカントと認証サーバの間で**「エンドツーエンド」**でやり取りされます。
- EAPOL (EAP over LAN): PC ⇔ 無線AP 間の通信形式。EAPをイーサネット上で運ぶための規格。
② RADIUS (Remote Authentication Dial-In User Service)
無線APと認証サーバ間のプロトコルです。
- ポイント: 無線APが「RADIUSクライアント」として動作し、サーバへ認証をリクエストします。
4. 記述試験対策:そのまま使える「解答定型文」
午後試験の記述問題で使える、得点に直結する表現です。
| テーマ | 解答例(キーワード) |
|---|---|
| 導入の目的 | 「未認証の端末によるネットワークへの物理的な接続を遮断し、不正アクセスを防止するため。」 |
| EAP-TLSの利点 | 「デジタル証明書による相互認証を行い、パスワード漏洩やなりすましによる不正接続を防止する。」 |
| ダイナミックVLAN | 「利用者の属性に基づき、接続先のセグメントを動的に切り替えてアクセス制御を行う。」 |
5. まとめ:これだけは覚えよう!
- PC = サプリカント(認証を受ける人)
- 無線AP = オーセンティケータ & RADIUSクライアント(中継ぎ)
- サーバ = RADIUSサーバ(判定者)
- PC〜AP間はEAPOL、AP〜サーバ間はRADIUSプロトコル
参考資料(出題歴):
安全確保支援士 R6秋・R4春・H30秋・H29春、情報セキュリティ H25春
今回のポイントのおさらい
- サプリカント(PC):認証を申請するクライアント
- オーセンティケータ(無線AP/認証SW):認証を仲介するRADIUSクライアント
- 認証サーバ(RADIUSサーバ):認証の可否を判定する
構成図を脳内にイメージできるようにしておくことが、高度試験合格への近道です。