ITパスポート 令和4年度 問68：ネットワーク・無線LANに関する問題

答えは a です。

お店やオフィスのWi-Fiで、お客さん用に用意される「ゲスト用」のネットワークの話です。これを使うと、お客さんはインターネットは使えるけれど、お店の中のパソコンやファイル（社内ネットワーク）には入れないようになります。

たとえるなら、来客を玄関ホールには通すけれど、社員しか入れない奥の部屋には入れない、という仕切りです。

👉 覚え方：「ゲスト＝外の人用。ネットだけOK、中はNG」。

ほかの選択肢：b はウイルス検査（検疫）／c はボタンで簡単設定（WPS）／d はSSIDを隠す機能（ステルス）の話で、ゲスト機能とは別ものです。

なぜこれが正解か

正解は a。ゲストSSID（ゲストポート）は、来客や外部端末専用に分離したネットワークを提供する機能。ゲスト用端末はインターネットへは接続できるが、社内（内部）ネットワークの機器やファイルへはアクセスできないよう隔離される。これにより外部端末経由のマルウェア侵入や情報漏えいを防ぐ。

各選択肢の解説

• b：感染検査をして安全な端末だけ接続させる＝検疫ネットワーク（検疫システム）の説明。
• c：ボタン操作だけで接続設定＝WPS（Wi-Fi Protected Setup）の説明。
• d：SSIDを伏せる＝SSIDステルス（隠蔽）の説明で、空欄では接続できない。

覚え方・ひっかけ注意

「ゲスト＝内部ネットワークから隔離」がキモ。簡単設定（WPS）や検疫と混同しやすいので、“分離して内部に入れない”がゲスト機能だと覚える。

理論的背景

無線LANルータのゲストSSID（ゲストポート・ゲストネットワーク）機能は、正解aの通り「端末から内部ネットワークには接続をさせず、インターネットにだけ接続する」ことを実現する。技術的な仕組みとして、ゲストSSIDに接続した端末はDMZまたは隔離されたVLAN（Virtual LAN）に割り当てられ、内部ネットワーク（プリンタ・NAS・社内PCなど）へのトラフィックがルータのファイアウォール規則によってブロックされる。インターネット向けのアウトバウンドトラフィックのみが許可されるため、ゲスト端末が内部リソースにアクセスしたり、内部ネットワーク内の他端末を攻撃することを防ぐ。

IEEE 802.1Q VLANタグによる論理的なネットワーク分離がゲストSSIDの基盤技術であり、企業向けの無線LANコントローラ（Cisco Catalyst・Aruba・Juniper等）では複数のSSIDを異なるVLANにマッピングして、業務ネットワーク・ゲストネットワーク・IoTネットワーク等を完全に分離する設計が標準化されている。SOHO向けのWi-Fiルータ（ASUS・TP-Link・NETGEAR等）でも2020年以降の製品はほぼ標準でゲストSSID機能を搭載している。

実務での使われ方

企業での訪問者Wi-Fiの提供では、ゲストSSIDを使ってゲスト端末と社内ネットワークを完全に分離することが情報セキュリティポリシーの標準要件となっている。ISO/IEC 27001のA.6.7「リモートワーク」およびA.8.21「ネットワークサービスのセキュリティ」では、未管理の端末を社内ネットワークに接続させないための技術的管理策が求められており、ゲストSSIDによるネットワーク分離はこの管理策の典型的な実装である。

さらに高度なゲスト管理として「キャプティブポータル（Captive Portal）」がある。ゲスト端末が初めてWebにアクセスしようとすると認証・同意ページにリダイレクトされ、利用規約への同意・メールアドレス認証・ワンタイムパスワード入力などを経て初めてインターネットアクセスが許可される仕組みである。ホテル・空港・カフェの公衆Wi-Fiや企業のゲスト向けWi-Fiで広く使われており、接続ログの記録（利用規約への同意取得も含め）が不正利用発生時の証拠保全に役立つ。

選択肢bの「端末がマルウェアに感染していないかどうかを検査する」は検疫ネットワーク（Quarantine Network：Network Access Control/NAC）の機能である。NACはIEEE 802.1XやMAC認証を使って端末の健全性（セキュリティパッチ適用状況・アンチウイルス有効性等）を検査し、合格した端末のみ社内ネットワークへのアクセスを許可する仕組みであり、ゲストSSIDとは別の機能である。

試験での位置づけ

ITパスポートのネットワーク・無線LAN分野で「各無線LAN機能の目的と仕組みの識別」は近年の出題傾向として重要性が増している。本問のポイントはゲストSSIDの目的が「ネットワーク分離・隔離」であることの理解と、「マルウェア検査（b）」「WPS（c）」「ステルスSSID（d）」という異なる機能との区別にある。各機能の目的と使用場面を整理することが正答への近道となる。

基本情報技術者（FE）ではWi-Fi規格（IEEE 802.11ax＝Wi-Fi 6・Wi-Fi 6E・Wi-Fi 7）の技術的特徴（OFDMA・MU-MIMO・BSS Coloring等）、WPA3セキュリティ（SAE認証・PMF必須化）、802.1X認証（RADIUSサーバとの連携）、VLANセグメンテーションの設計方法が問われる。ネットワークスペシャリスト試験（NW）では無線LAN設計（チャネル計画・AP配置・RF干渉管理・ハンドオーバー設計）、無線LANコントローラの集中管理（LWAPP/CAPWAP）まで詳細に問われる。

選択肢の発展補足

選択肢cの「ボタン操作だけで接続設定ができる」はWPS（Wi-Fi Protected Setup）の説明である。WPSはWi-Fi Allianceが2006年に策定した簡易接続規格で、①PBC（Push Button Configuration）方式：ルータと端末双方のWPSボタンを2分以内に押すと自動的にWPA2/WPA3接続が設定される。②PIN方式：ルータ側のPINを端末側に入力して接続する。WPSのPIN方式は「Pixie Dust Attack」「ブルートフォースPIN攻撃」等の脆弱性が報告されており、セキュリティ意識の高い環境ではWPS機能を無効化することが推奨されている。

選択肢dの「SSIDの設定欄を空欄にしておけば接続できる」はSSIDステルス（SSID非通知・クローキング）とは逆の誤った記述である。ステルスSSID設定では、アクセスポイントがビーコンフレームにSSIDを含めないため、SSID一覧には表示されないが、正確なSSIDを知っている端末は手動入力で接続できる。しかしステルスSSIDはプローブリクエスト解析ツールで容易に発見できるため、セキュリティ上の有効性は限定的であり、むしろ管理の複雑化を招く「あいまいによるセキュリティ（Security through Obscurity）」の典型例として専門家からは推奨されない手法とされている。