ITパスポート 令和5年度 問65：networkに関する問題

答えは a です。

Wi-Fiにつなぐとき入力する「あいことば（パスワード）」のことを PSK と言います。このあいことばを正しく入れた人だけがWi-Fiに入れます。

さらに、このあいことばを“もと”にして、つなぐパソコンごとに別々の「通信を暗号化するカギ」が自動で作られます。だから他人に盗み見されにくくなります。

👉 覚え方：「PSK＝みんなで使う共通のあいことば」。それを種にして暗号のカギができる。

ほかの選択肢：b・dは「IPアドレスが割り当てられる」とあるが、それはWi-Fiのカギの話ではない。c・dは「名前（SSID）」と混同させるひっかけで、PSKは“名前”ではなく“あいことば”。

なぜこれが正解か

正解は a。PSK（Pre-Shared Key／事前共有鍵）は、アクセスポイント接続を認証するためのパスフレーズ。WPA2-PSK（パーソナル）では、このPSKを基に接続するPCごとに通信暗号化用の鍵が生成され、無線区間の盗聴を防ぐ。

各選択肢の解説

• b：前半（認証用パスフレーズ）は正しいが、後半が誤り。PSKでIPアドレスは割り当てない（IP割当はDHCPの役割）。
• c：「アクセスポイントを識別する名前」はSSIDの説明で、PSKではない。
• d：cと同様にSSIDの説明＋IPアドレス割当の誤り。二重の誤り。

覚え方・ひっかけ注意

「PSK＝事前に共有する“鍵（パスフレーズ）”」「SSID＝Wi-Fiの“名前”」を明確に分ける。選択肢にある「IPアドレスを割り当てる」はDHCPの役割で、無線の暗号化鍵の話とは無関係（典型ひっかけ）。

理論的背景

WPA2（Wi-Fi Protected Access 2）はIEEE 802.11i規格に基づく無線LAN暗号化・認証プロトコルであり、脆弱性が発見されたWEP（Wired Equivalent Privacy）・WPA（TKIP暗号）の後継として2004年に策定された。WPA2では暗号化アルゴリズムとしてAES（Advanced Encryption Standard）ベースのCCMP（Counter Mode with CBC-MAC Protocol）が採用されており、現在も多くの環境で使用されている（後継のWPA3は2018年策定）。

PSK（Pre-Shared Key＝事前共有鍵）方式は、WPA2-Personal（パーソナルモード）とも呼ばれ、家庭・小規模オフィス向けの認証方式である。PSK（パスフレーズ）はアクセスポイントと接続デバイスの間で事前に共有される秘密のパスフレーズ（8〜63文字のASCII文字列）であり、このパスフレーズがWi-Fi認証の鍵導出の素材となる。

技術的な鍵導出プロセスの詳細：まずPSKとSSID（アクセスポイントの識別名）を組み合わせてPBKDF2（Password-Based Key Derivation Function 2）でPMK（Pairwise Master Key・256ビット）を導出する。次に4ウェイハンドシェイク（認証フェーズ）でクライアントとAPが乱数を交換し、PMKとその乱数からPTK（Pairwise Transient Key＝通信セッションごとの暗号鍵）を生成する。この仕組みにより、同じPSKを使ってもデバイスごと・セッションごとに異なるPTKが生成されるため、一つのセッションを傍受されても他のセッションの解読には直結しない前方秘匿性に近い効果が得られる。

実務での使われ方

WPA2-PSK（パーソナル）の実務上の弱点として、PSKが全員に共有される点がある。退職者・退会者が発生した場合にPSKを変更すると、全デバイスへの再設定が必要になる運用負荷がある。また、PSKはオフライン辞書攻撃（事前にキャプチャした4ウェイハンドシェイクのパケットに対し、パスフレーズの候補を総当たりする手法）に対して脆弱であり、短い・推測しやすいPSKは解析リスクがある。

企業環境ではWPA2-Enterprise（エンタープライズモード）が採用される。IEEE 802.1X認証とRADIUSサーバを組み合わせ、利用者ごとに個別の認証情報（証明書・ユーザーID/パスワード）を使用するため、個別管理・個別失効が可能でセキュリティが高い。

後継規格WPA3（2018年策定・2020年以降の新機器では標準化推進）では、SAE（Simultaneous Authentication of Equals＝ドラゴンフライ鍵交換）によってPSK方式のオフライン辞書攻撃耐性が大幅に向上した（前方秘匿性の確保）。WPA3-Personalでは4ウェイハンドシェイクをSAEに置き換え、たとえPSKが事後に漏洩しても過去の通信が解読されない設計となっている。

試験での位置づけ

ITパスポートのテクノロジ系・ネットワーク・セキュリティ分野では、無線LANセキュリティに関連する語彙・概念の理解が問われる。本問のPSK・SSID・DHCPの役割の区別は最頻出の判断軸であり、「PSK＝認証・鍵導出のパスフレーズ」「SSID＝アクセスポイントの識別名」「DHCP＝IPアドレスの自動割り当て」という3点の役割を明確に分離することが正答の鍵である。

選択肢b・dに登場する「IPアドレスが割り当てられる」という記述はDHCP（Dynamic Host Configuration Protocol）の機能であり、WPA2のPSKや802.1X認証とは独立したプロトコルが担当する機能である。無線LAN接続の文脈では認証（WPA2）→DHCP（IPアドレス取得）という順序でプロセスが進むが、これら2つのプロセスは別々のプロトコルが担当する点の理解が重要である。

選択肢の発展補足

選択肢b（パスフレーズでIPアドレスが割り当てられる）：PSKによる認証が成功した後にIPアドレスが割り当てられるという「前後の因果関係」は正しいが、「PSKに基づいてIPアドレスが割り当てられる」というメカニズムの説明は誤り。IPアドレスの割り当てはDHCPサーバが管理するリース（貸出し）情報に基づいて行われ、PSKとは無関係な独立したプロセスである。接続認証とアドレス割り当ては別々のレイヤーの機能である。

選択肢c（SSIDが暗号化鍵を生成する）：SSIDはWPA2-PSKにおいてPMKの導出計算（PBKDF2）に入力パラメータとして使われるが（SSIDをソルトとして使用し、同一PSKでも異なるネットワークで異なるPMKを生成する）、「SSIDに基づいて暗号化鍵が生成される」という記述は主体が逆である。鍵生成の主役はPSK（パスフレーズ）であり、SSIDは補助的なパラメータとして機能する。SSIDの本来の役割は「どのアクセスポイントに接続するかを識別する名前」であり、認証・鍵生成の主役ではない。

選択肢d（SSIDに基づいてIPアドレスが割り当てられる）：選択肢cのSSID誤解とbのIPアドレス誤解が組み合わさった2重の誤り。SSIDもIPアドレス割り当ての決定要因ではなく、IPアドレスはDHCPサーバのプールから動的に割り当てられるか、静的に設定されるかのいずれかであり、SSID・PSKのいずれにも依存しない。