ITパスポート 令和3年度 問85：セキュリティに関する問題

答えは b「MACアドレスフィルタリング」 です。

MACアドレスは、機器1台ごとに割り振られた世界に1つの番号（機器の名札）です。Wi-Fiの親機（アクセスポイント）が『この名札の機器だけ入っていいよ』と決めて、知らない機器をブロックするのがMACアドレスフィルタリング。会員証を見せた人だけ入れるお店のイメージです。

👉 覚え方：「MAC＝機器の名札。名札で入場チェック」。

ほかの選択肢：a ESSID＝Wi-Fiの名前（ネットワーク名）／c VPN＝通信を暗号でつつむ専用トンネル／d WPA2＝Wi-Fiの暗号化の規格。『機器固有の情報でブロック』はMACアドレスフィルタリングです。

なぜこれが正解か

正解は b（MACアドレスフィルタリング）。MACアドレスはネットワーク機器ごとに割り当てられた固有の識別番号。アクセスポイントに接続を許可する（または拒否する）MACアドレスを登録しておき、端末固有の情報（MACアドレス）を基に接続を制限する仕組み。

各選択肢の解説

• a ESSID：無線LANのネットワークを識別する名前（最大32文字）。接続先を区別するもので接続制限の仕組みではない。
• c VPN：通信経路を暗号化して仮想的な専用線を構築する技術。接続端末の選別が目的ではない。
• d WPA2：無線LANの暗号化・認証の規格。通信内容を保護するが、機器固有情報での接続可否判定とは異なる。

覚え方・ひっかけ注意

設問のキーワード『端末固有の情報を基に接続制限』＝MACアドレス。ただしMACアドレスは偽装（なりすまし）が可能なため単独では強固でない点が応用問題で問われる。WPA2は『暗号化』、MACフィルタは『端末選別』と役割を分けて覚える。

理論的背景

MACアドレス（Media Access Control Address） は IEEE が管理する、ネットワークインタフェース（NIC）に製造時に割り当てられる48ビット（6オクテット）の固有識別子だ。前半24ビット（OUI: Organizationally Unique Identifier）はベンダー識別子として IEEE が管理し、後半24ビットはベンダーが機器ごとに割り当てる。表記は「00:1A:2B:3C:4D:5E」のような16進数コロン区切り形式が一般的。

MACアドレスフィルタリング の動作：

1. 管理者が AP（アクセスポイント）の許可リストに使用を認めるデバイスの MAC アドレスを登録する

2. 端末が AP への接続要求（Association Request）を送信する

3. AP が要求元の MAC アドレスを許可リストと照合する

4. リストに存在すれば接続を許可、存在しなければ拒否する

OSI 参照モデルのデータリンク層（第2層）レベルの制御であり、IP アドレス（第3層）やアプリケーション認証（第7層）とは独立した制御レイヤだ。

実務でのセキュリティ上の限界

MACアドレスフィルタリングは単独で使用した場合のセキュリティ強度は低いという認識が実務の標準だ。その理由：

• MAC スプーフィング（なりすまし）: 無線フレームの中で MAC アドレスは平文で送受信されるため、攻撃者は電波を傍受することで正規デバイスの MAC アドレスを取得できる。その後、攻撃者のデバイスの MAC アドレスを取得した値に偽装することで容易に AP への接続が可能になる。
• 運用負荷: 端末を追加・変更するたびに AP の許可リストを更新する必要があり、大規模環境では管理が煩雑になる。

実務での位置づけは「多層防御の一要素」であり、必ず WPA2/WPA3 による暗号化・認証と組み合わせて使う。大規模企業環境では IEEE 802.1X（RADIUS 認証） を使い、ユーザー証明書・アカウント認証で強固なアクセス制御を実現するのが標準的だ。

試験での位置づけ

ITパスポートの無線 LAN セキュリティ分野で MACアドレスフィルタリングは「端末固有の識別子を使ったアクセス制御」として定番出題される。本問のキーワード「端末固有の情報を基に接続制限」がそのまま MACアドレスフィルタリングの定義に対応するため、定義語句を正確に覚えることで即答できる。誤答選択肢の WPA2 は「暗号化方式」・ESSID は「ネットワーク名（識別子）」・VPN は「仮想専用ネットワーク（経路の保護）」というカテゴリの違いで即排除できる。上位資格では MAC スプーフィングの原理・802.1X の仕組み・WEP → WPA → WPA2 → WPA3 の暗号化方式の変遷まで踏み込む。

選択肢の発展補足

選択肢 a「ESSID（Extended Service Set Identifier）」 は無線 LAN のネットワーク名（最大32文字の文字列）。端末が AP に接続する際の接続先識別に使われるが、ESSID 自体は「どのネットワークに接続するか」の識別名であり、接続を許可するか拒否するかの判定には直接使われない。ESSID を非公開にする「ステルス AP」は簡易的な隠蔽策だが、プローブ要求・応答の解析で容易に発見できるため強固なセキュリティとはいえない。

選択肢 c「VPN（Virtual Private Network）」 は公衆ネットワーク上に暗号化されたトンネルを張り、仮想的な専用線を構築する技術。IP レベル（L3）以上で動作し、リモートワーク・拠点間接続・パブリック Wi-Fi でのセキュリティ確保に使われる。無線区間の接続制御ではなく、通信経路全体の暗号化保護が目的。

選択肢 d「WPA2（Wi-Fi Protected Access 2）」 は IEEE 802.11i に基づく無線 LAN の認証・暗号化規格。AES-CCMP による強固な暗号化と TKIP の廃止が特徴。WPA2-Personal（PSK: 事前共有鍵）と WPA2-Enterprise（802.1X/RADIUS）の2モードがある。WPA2 は「通信内容の暗号化と認証」を提供するが、「端末の MAC アドレスによる接続制限」とは目的・仕組みが別であり、本問の定義に合わない。