最終更新日:2026年6月4日
sg security_measures access_control network sg-security-measures
まず結論
WPA2・WPA3・802.1Xは無線LANの認証方式であり、SG試験では「共通パスワード型(PSK)か、個人認証型(802.1X)か」を見分けることが重要です。
直感的な説明
Wi-Fiの使い方は大きく2パターンあります。
■ パターン①(PSK)
- 全員同じパスワードで入る
- セミナー会場や家庭用Wi-Fi
👉 鍵を知っていれば誰でも入れる
■ パターン②(802.1X)
- 一人ひとりIDとパスワードでログイン
- 会社のWi-Fi
👉 個人ごとに管理できる
この違いがそのまま試験ポイントです。
定義・仕組み
■ WPA2 / WPA3(PSK方式)
- 事前共有鍵(PSK)を使う方式
- 全員同じパスワードで接続
特徴
- 設定が簡単
- 小規模環境向け
- 鍵が漏れると全員影響
👉 SG試験では
「接続のための共通パスワード」=PSK
■ 802.1X(エンタープライズ方式)
- 認証サーバ(RADIUSなど)を使う
- 利用者ごとに認証
特徴
- 個人単位で管理できる
- 不正利用者だけ止められる
- 大規模・企業向け
👉 SG試験では
「利用者単位で認証する仕組み」
■ 802.1XとRADIUSの役割分担
IEEE 802.1XをRADIUSと組み合わせる構成では、端末・アクセスポイント・認証サーバの役割を分けて覚えると選択肢を切りやすくなります。
| 役割 | 実装される場所 | 試験での見分け方 |
|---|---|---|
| サプリカント | PCやスマートフォンなどの利用者端末 | 認証を受けるクライアント |
| オーセンティケータ | アクセスポイントやL2スイッチ | 端末と認証サーバの間を中継し、接続を許可・拒否する |
| RADIUSクライアント | アクセスポイントやL2スイッチ | RADIUSサーバへ認証要求を送る側 |
| RADIUSサーバ | 認証サーバ | 利用者認証情報を確認し、認証結果を返す側 |
SG試験では、PCはサプリカント、アクセスポイントはオーセンティケータ兼RADIUSクライアント、認証サーバはRADIUSサーバと押さえると判断しやすくなります。
どんな場面で使う?
■ WPA2 / WPA3(PSK)
- セミナー会場
- カフェのWi-Fi
- 家庭用ネットワーク
👉 「一時利用・多数参加者」に向いている
■ 802.1X
- 社内ネットワーク
- 学校・企業Wi-Fi
👉 「利用者を管理したい環境」に向いている
よくある誤解・混同
❌ WPA2 = 安全ではない
→ 誤解
WPA2自体は広く使われている方式で、
問題は「運用(鍵の使い回し)」です。
❌ PSKでも利用者管理できる
→ できない
👉 全員同じ鍵なので、誰が使っているか分からない
❌ 802.1Xは暗号方式
→ 違う
👉 認証の仕組みです(ここ重要)
❌ サプリカント・オーセンティケータ・RADIUSサーバの場所を混同する
→ 役割ごとに置かれる場所が違います。
| 誤りやすい表現 | 正しい切り分け |
|---|---|
| 利用者端末側にRADIUS中継機能を置く | RADIUSクライアントは通常アクセスポイントやL2スイッチ側 |
| ネットワーク機器側をサプリカントとして扱う | サプリカントは認証を受ける端末側 |
| アクセスポイントを認証情報の最終確認先として扱う | RADIUSサーバ機能は認証サーバ側 |
| 認証サーバ側に接続許可・拒否の中継役を置く | オーセンティケータはアクセスポイントやL2スイッチ側 |
選択肢では、「どの機器に、どの役割をもたせるか」を見ます。
❌ DHCPが接続許可を行う
→ 違う
DHCPは、端末にIPアドレスなどの設定情報を配る仕組みです。
「レイヤー2スイッチや無線LANアクセスポイントで、接続を許可する仕組み」を問う問題では、DHCPではなく認証方式(802.1Xなど)や認証結果に応じた制御を考えます。
SG試験で選択肢を切る判断軸(認証VLAN編)
SG試験では、次のような文脈が出たら認証VLANを疑います。
- レイヤー2スイッチ
- 無線LANアクセスポイント
- 接続を許可する
- 利用者や端末の認証結果で接続先を変える
認証VLANは、認証結果(例:802.1Xなど)に応じて、利用者を所属させるVLANを切り替える考え方です。
そのため、共通パスワード型のPSKよりも、利用者単位での管理がしやすい構成で使われます。
似た用語との切り分け
| 用語 | 役割 | この問題での扱い |
|---|---|---|
| 認証VLAN | 認証結果に応じて接続先VLANを制御する | 正解候補 |
| 802.1X | 利用者・端末を認証する仕組み(RADIUS連携) | 認証VLANの前段として使われる |
| RADIUS | 認証・認可・アカウンティングを担う認証サーバ | 認証判断を返す側(VLAN制御そのものではない) |
| NAC | 端末状態も含めて接続可否を制御する考え方 | 上位概念(設問がL2/AP直指定なら認証VLANを優先) |
| DHCP | IPアドレスなどを自動配布する | 不正解候補 |
| MACアドレスフィルタリング | 登録端末だけ接続許可する | 端末単位の簡易制御(利用者認証とは別) |
| キャプティブポータル | Web画面で利用同意・簡易認証を行う | 公衆Wi-Fi向け(VLAN制御の本体ではない) |
| Webシングルサインオン(SSO) | Webサービスのログインを一度でまとめる | 不正解候補 |
| パーソナルファイアウォール | 端末上で通信を制御する | 不正解候補 |
追加で混同しやすいポイント
-
802.1X と 認証VLANの違い
802.1Xは「認証する仕組み」、認証VLANは「認証結果で所属VLANを変える制御」です。
つまり、認証(判定)とネットワーク分離(適用)で役割が違います。 -
RADIUS と 認証VLANの違い
RADIUSは認証サーバとして「この利用者を許可するか」を返します。
実際にポートや無線接続先を切り替えるのは、スイッチ/AP側の制御です。 -
MACアドレスフィルタリング と 802.1Xの違い
MACフィルタは端末識別中心で、利用者単位の厳密管理には向きません。
SG試験では「利用者ごと」「失効ユーザだけ止める」なら802.1X側を選びます。
問題文からの即断ポイント
- 「どこで制御しているか」を見る
- スイッチ/AP側なら、接続制御(認証VLAN・802.1X系)を優先
- 「何をしているか」を見る
- IP配布ならDHCP
- Webログイン連携ならSSO
- 端末単体の通信制御ならパーソナルファイアウォール
SG試験のひっかけ
SG試験ではこう出ます:
- 「セミナー会場」 → PSK
- 「利用者ごとに管理」 → 802.1X
- 「L2スイッチ/APで接続を許可」 → 認証VLAN(認証結果による制御)
👉 環境で判断するのがコツ
まとめ(試験直前用)
- WPA2/WPA3(PSK)は共通パスワードで接続する方式
- 802.1Xは利用者ごとに認証する方式
- PCはサプリカント、アクセスポイントはオーセンティケータ兼RADIUSクライアント、認証サーバはRADIUSサーバ
- セミナーや来客用 → PSK
- 社内ネットワーク → 802.1X
- SG試験では「共通か個別か」と「どの機器がどの役割か」で切り分ける