令和2年秋  午後Ⅱ問2 設問6（3）の解答について、3点質問させてください。

①FWでクライアント証明書によるデバイス認証が必要な理由は、ノートPCの IPアドレスが毎回変わるためIPアドレスを用いた接続元の制御ができないからという理解で合っておりますでしょうか。

②接続元のIPアドレスが動的に変化する場合、接続元を制御する方法は解答にある「クライアント証明書を用いたデバイス認証」しかないのでしょうか。

③「クライアント証明書によるデバイス認証」は、鍵交換やクライアントの公開鍵を用いた認証が必要な認識ですが、これはネットワーク機器の標準的な機能なのでしょうか。
（本文中に解答の内容が記述されていたにもかかわらず、FWでそれをどのように実現するのかイメージできず回答できませんでした…）

的外れなことを言っていましたらごめんなさい。
②③については調べてみましたが分からず…
一部でもご教示いただけますと大変有り難いです！

簡潔に回答いたします。

以下の2つの区別がついていないようです。
・IPアドレスによるアクセス制御
  L3,L4層で実施。
  IPアドレス・ポート番号を基にアクセスを許可・禁止する。
  そのIPアドレス（グローバルIPアドレスの場合は、ネットワーク）からの
  アクセスを制御する。グローバルIPアドレスは複数のPCで共有される
  場合が多々ある。
・クライアント証明書によるデバイス認証
  L5-L7（TLS）による認証。
  クライアントが正規のもの（認証されているか）を確認する。
  ピンポイントでそのクライアントの本人確認を行う。

「アクセスを許可・禁止」と「認証（本人確認）」は似ているようですが
別の概念です。混同しないようにしましょう。

①ノートPCを認証したいために、クライアント証明書を利用します。
  IPアドレス制御とは別の概念です。

②『接続元を制御』という曖昧な表現に惑わされているようです。
・「アクセスを許可・禁止」
・「認証（本人確認）」
この2つは別レイヤの概念です。確実に分けて考えましょう。
しかし、TLSを利用するのであれば、クライアント認証は
「クライアント証明書を用いたデバイス認証」が一番基本になります。

③「クライアント証明書によるデバイス認証」はTLSのハンドシェイクシーケンスで
オプション扱いで定義されています。
TLSが利用できるのであれば、「クライアント証明書によるデバイス認証」は
可能です。

TLSと証明書技術は概要を理解するまでが大変です。
併せて、基本的なネットワーク(L3,L4)もしっかり押さえておきましょう。

質問とそれに対する回答がマッチしていないような気がします。
論点ずらしになっているので、質問者も「成程」とはならないでしょう。

お二人とも、ご回答・コメントいただきありがとうございます。
確かに、どのレイヤで何が行われているかの理解が不十分でした…

仮に固定IPアドレスを与えられる環境なら、デバイス認証しなくてもそのデバイスからの接続のみ許可できて同レベルのセキュリティが実現できるのかな？などと考えていたのですが、
別レイヤの概念を一緒にして考えてはいけないですよね。

認証を行わない場合、そのIPアドレスに偽装して別のデバイスが接続するということもできたりするのでしょうか。

問題を解くほどに知識不足を痛感します…
ネットワークの基本を勉強し直そうと思います。
ありがとうございます。

本問はP16 要件3:「T環境へは、貸与するノートPCからだけログインできるようにする。」
をFWのVPN機能でどうやって実現するかを問うています。
DaaS-Vが「クライアント証明書によるデバイス認証」を用いているため、
本問の解答も同様になります。

スレ主様はIPアドレス制御でノートPCの真正性（本物かどうか）が確認できるのでは
ないかという疑問でした。
もしIPアドレス制御でノートPCの真正性を保証するのであれば、以下が絶対条件に
なります。
１．ノートPCが利用するIPアドレスが絶対に変わらない
２．許可されたノートPCが利用するIPアドレスをほかのノートPCが絶対に利用しない
この2つの条件が絶対に保証できるのであれば、IPアドレス制御でノートPCの真正性を
保証してもいいかもしれません。しかし、条件が厳しく現実的ではありません。

>仮に固定IPアドレスを与えられる環境なら、デバイス認証しなくても
>そのデバイスからの接続のみ許可できて同レベルのセキュリティが実現できるのかな？
>などと考えていたのですが、別レイヤの概念を一緒にして考えてはいけないですよね。
本問はFWでのVPNなので、固定IPアドレスが与えられることはない前提でした。
ノートPCが利用するIPアドレスは以下のようなケースが考えられます
・DHCPの場合、動的IPアドレスになってしまう
・外部からの接続の場合、通信キャリアのIPアドレスになってしまう
などが考えられます。
しかし、なんらかの方法で固定IPアドレスが与えられるのであれば、理論的には上記の
とおりノートPCの真正性の確認に利用できます。
しかし、現実的ではないため、実現するのはかなり無理があります。

>認証を行わない場合、そのIPアドレスに偽装して別のデバイスが接続すると
>いうこともできたりするのでしょうか。
仮にIPアドレスを固定できたとしても、おっしゃる通り別のPCにIPアドレス偽装を
される可能性はどうしても残ってしまいます。

以上のようにノートPCの真正性の確認をIPアドレス制御でなんとかやろうとしても、
欠点や脆弱性が多数あり、根本的な問題解決には向いていません。

それならば、真正性の確認に特化した「クライアント証明書によるデバイス認証」を
用いれば十分に安全が確保され、IPアドレス制御での欠点や脆弱性を考慮する必要は
なくなります。

結論としては、
・IPアドレス制御はあくまでIPアドレスを検査するものであり、ノートPCの真正性の
  検査に用いるのは欠点・脆弱性が多すぎて不適切である
・「クライアント証明書によるデバイス認証」は真正性を確認する方法として適切で
  あり、確実である
です。

少し補足いたします。

・IPアドレス制御
  IPアドレスとノートPCの紐づけを基にした、間接的な確認
・クライアント証明書によるデバイス認証
  ノートPCの証明書による直接的な確認
この間接的・直接的であるかという観点も重要と思われます。

現在の技術では証明書の偽装（正確にはノートPCにインポートされた
秘密鍵の偽装）は不可能です。
また、WindowsなどのOSでは一度ノートPCにインポートされた秘密鍵は
OSの機能で外部に取り出すことができないようになっています。
これによりノートPCの所有者でさえ、別のノートPCに秘密鍵・証明書を
移し替えることはできません。
この機能により、よりノートPCの真正性は確保されるようになっています。

pixさま

すごく分かりやすいご説明ありがとうございます！

> スレ主様はIPアドレス制御でノートPCの真正性（本物かどうか）が確認できるのでは
ないかという疑問でした。

こちら、ご回答ありがとうございます！
今回はIPアドレスが固定で与えられる環境ではないとは認識していたのですが、仮にこれができたら上記が実現できるのではと思っていました。
しかし、挙げていただいた条件を満たすことは非現実的なのですね。そして偽装の可能性もあるとのこと、理解しました。

> この間接的・直接的であるかという観点も重要と思われます。

こちらとても腑に落ちました。
これから記述問題に回答する際はこの観点を忘れず、なるべく直接的な解決方法を回答できるようにしたいと思います。

本当にありがとうございます！