目次
問題文
認証にクライアント証明書を用いるプロトコルはどれか。
ア EAP-FAST
イ EAP-MD5
ウ EAP-TLS
エ EAP-TTLS
解説
解答
ウ
この問題は「EAP(Extensible Authentication Protocol)」の各方式を比較して理解しているかを問うものです。
ア:EAP-FAST
Ciscoが開発した方式で、PAC(Protected Access Credential) と呼ばれる資格情報を使って安全なトンネルを張り、その中でユーザー認証を行います。
クライアント証明書は必須ではなく、証明書なしでも運用できるため導入が容易というメリットがあります。
イ:EAP-MD5
非常に単純なチャレンジレスポンス型認証で、ユーザー名とパスワードをMD5でハッシュ化して検証します。
クライアント証明書は使わず、セキュリティ強度も低いため現在はほとんど使われません。
ウ:EAP-TLS
これが正解です。
TLS(Transport Layer Security)をベースにした方式で、クライアント証明書とサーバ証明書の両方を用いた相互認証を行います。
強固なセキュリティを提供する一方で、証明書の発行・配布・管理にコストがかかるのが課題です。
企業や官公庁など、高いセキュリティを必要とする環境で利用されます。
エ:EAP-TTLS
こちらはサーバ証明書を用いてTLSトンネルを確立し、その中でユーザー名・パスワードなど別の認証方式を用いる仕組みです。
クライアント証明書は不要で、サーバ証明書のみ必須となります。
EAP方式の比較
| 方式 | 証明書の要否 | セキュリティ強度 | 導入の容易さ | 特徴 |
|---|---|---|---|---|
| EAP-FAST | クライアント証明書不要(PAC利用) | 中 | 高 | Cisco独自。PAC(Protected Access Credential)を利用して安全なトンネルを構築するため、導入が比較的容易。 |
| EAP-MD5 | 証明書不要 | 低 | 高 | 単純なチャレンジレスポンス認証。暗号化が弱く現在ではほとんど利用されない。 |
| EAP-TLS | クライアント証明書・サーバ証明書ともに必要 | 非常に高 | 低 | 強固な相互認証を実現。証明書管理の負担が大きいが、セキュリティが最も高い。 |
| EAP-TTLS | サーバ証明書のみ必須(クライアントは不要) | 高 | 中 | TLSトンネルを確立後、内部でユーザー名・パスワード等の認証を実施。管理負担を軽減しつつセキュリティを確保できる。 |
