ITパスポート 令和7年度 問90：securityに関する問題

答えは d「WPA2」 です。

無線LAN（Wi-Fi）は電波を飛ばすので、何もしないと内容を盗み見られるかもしれません。そこで通信を暗号化して守ります。WPA2はその暗号化のルールで、昔の「WEP」より安全に進化したものです。

たとえるなら、古い壊れやすい鍵（WEP）から、頑丈な新しい鍵（WPA2）に交換したイメージ。

👉 覚え方：Wi-Fiの鍵は「WEP（古くて弱い）→WPA2（新しくて強い）」。

ほかの選択肢：a/b/c は説明文が別の用語の中身とすり替えられていて誤り（SSHやVPNは無線専用の機能ではありません）。

なぜこれが正解か

正解は d。WPA2（Wi-Fi Protected Access 2）は、無線LANの暗号化方式で、脆弱性が指摘された旧方式WEPより高い信頼性（強固な暗号AES等）をもつ。記述「WEPよりも高い信頼性をもつ無線通信の暗号化技術」は正しい。

各選択肢の解説

• a：説明はESSID（複数APをグループ化して識別するID）の内容。APIは応用ソフト間のインタフェースで無関係。
• b：説明は「ステルス化」＝SSIDの非通知機能の内容。SSHは遠隔操作を暗号化するプロトコルで別物。
• c：説明はMACアドレスフィルタリングの内容。VPNは公衆網上に仮想的な専用線を作る技術で別物。

覚え方・ひっかけ注意

用語と説明文を“わざと入れ替える”典型パターン。正しい対応は「暗号化＝WPA2/WEP」「ID＝ESSID」「ステルス＝SSID非通知」「機器制限＝MACアドレスフィルタリング」。WEP→WPA→WPA2→WPA3と新しいほど安全と覚える。

理論的背景

無線LANのセキュリティ対策に関する本問の正解はdの「WPA2はWEPよりも高い信頼性をもつ無線通信の暗号化技術」である。

無線LAN暗号化規格の歴史的発展を技術的に詳述する。WEP（Wired Equivalent Privacy）：IEEE 802.11の初期仕様（1997年）として策定されたが、2001年にRC4暗号の実装上の欠陥が発見され、現代では数分〜数秒で解読可能として実質廃止。WPA（Wi-Fi Protected Access）：2003年にWEPの代替として策定。TKIP（Temporal Key Integrity Protocol）を採用し暗号化を改善したが、TKIPも後に脆弱性が発見された。WPA2（IEEE 802.11i）：2004年策定。AES-CCMP（Advanced Encryption Standard・Counter Mode with CBC-MAC Protocol）を採用した強固な暗号化。個人用（PSK：Pre-Shared Key）と企業用（802.1X/EAPによる個別認証）の2種類がある。WPA3：2018年策定の最新規格。SAE（Simultaneous Authentication of Equals）によるパスワード認証の強化（辞書攻撃への耐性）・Forward Secrecy・SUITE-B対応（192bit暗号）・OWE（Opportunistic Wireless Encryption）による公衆Wi-Fiの暗号化対応。

各選択肢の誤りの分析：選択肢aの「API」はアクセスポイントのグループ管理IDではなく、Application Programming Interface（ソフトウェア間の接続仕様）を指す。無線LAN関連の正しい用語はBSSID・ESSIDである。選択肢bの「SSH（Secure Shell）」は遠隔サーバへの暗号化ログイン・コマンド実行のプロトコルであり、ステルス機能とは無関係。ステルス機能の正しい用語はSSIDステルス・ビーコンの停止。選択肢cの「VPN（Virtual Private Network）」はトンネリング・暗号化の技術であり、MACアドレスフィルタリングとは異なる技術。MACアドレスフィルタリングの実装はアクセスポイントのACL（Access Control List）で行う。

実務での使われ方

無線LANのセキュリティ設計は企業ネットワークのゼロトラスト化において重要な領域となっている。

WPA2企業向け（802.1X認証）の実装：RADIUS（Remote Authentication Dial-In User Service）サーバを使って、接続ユーザーごとに個別の証明書またはユーザー名/パスワードで認証する。これにより共通パスワード（PSK）漏洩リスクを排除し、ユーザーごとのアクセスログが取得できる。EAPの方式：EAP-TLS（クライアント証明書使用・最高セキュリティ）・PEAP（Protected EAP・内部にMSCHAPv2を使用）・EAP-TTLS・EAP-FASTなど複数の実装がある。ゲストWi-Fiの設計：来客向けWi-Fiは社内ネットワークから完全分離したVLAN（仮想LAN）に接続させ、インターネットのみアクセス可能にする設計が標準。MACアドレスフィルタリングの限界：MACアドレスはパケットスニファーで簡単に傍受でき、攻撃者がなりすましMACアドレス（MACスプーフィング）を使うことで容易に突破できるため、単独での使用は推奨されない。

試験での位置づけ

無線LANセキュリティはITパスポートで毎年出題される重要分野であり、WEP・WPA・WPA2・WPA3の比較・SSIDとBSSID・MACアドレスフィルタリング・電波の強度とセキュリティリスク（盗聴・不正接続）が問われる。本問では無線LAN用語（API/WPA2/SSHのような一般IT用語）を無線LAN固有の用語として誤って記述した選択肢を見分けることが求められており、「WPA2＝AESを使った無線LAN暗号化規格・WEPより強固」という事実の確認が正答の鍵である。

基本情報技術者試験ではIEEE 802.11の各規格（11b/g/n/ac/ax/be）の周波数帯・通信速度・MIMO・OFDM等の技術詳細、企業向け無線LAN（RADIUS・EAP・802.1X）の設計、WPA2/WPA3の暗号アルゴリズム（AES-CCMP・GCMP-256）の詳細まで問われる可能性がある。

選択肢の発展補足

選択肢aの「API」はAccessPoint Identifier（アクセスポイント識別子）として誤った説明が作られているが、実際には無線LANのアクセスポイントを識別するIDはBSSID（Basic Service Set Identifier：MACアドレスと同一）またはESSID（Extended Service Set Identifier：ネットワーク名・一般にSSIDとも呼ばれる）である。選択肢bの「SSH」はSecure Shellであり、公開鍵認証または知識認証でリモートサーバに安全に接続するためのプロトコルである。ポート22/TCP標準。SSHとSSIDを混同しやすい命名の類似性が引っかけの要因となっている。選択肢cの「VPN」はIPsecやOpenVPN・WireGuardなどのプロトコルを使って公衆ネットワーク上に暗号化トンネルを構築する技術であり、MACアドレスフィルタリングとは全く異なる。VPNはむしろ無線LANの暗号化と組み合わせて使用することで、多層防御を実現する。公衆Wi-Fi（カフェ・空港等）での安全な通信確保にVPNを使うことは個人セキュリティのベストプラクティスとして広く推奨されている。