問題本文
セキュリティに問題があるPCを社内ネットワークなどに接続させないことを目的とした仕組みであり,外出先で使用したPCを会社に持ち帰った際に,ウイルスに感染していないことなどを確認するために利用するものはどれか。
選択肢
- ア.DMZ
- イ.IDS
- ウ.検疫ネットワーク
- エ.ファイアウォール
解説
検疫ネットワーク(Quarantine Network)は,社外で使用したPC等を社内ネットワークに接続する前に隔離領域に置き,セキュリティ要件(ウイルス対策ソフト最新化・パッチ適用状況・OS更新状況等)を満たしているかをチェックする仕組み. 要件を満たさないPCは社内本番ネットワークに接続させない. DMZは社外向けサーバ用の中間領域,IDSは不正侵入検知システム,ファイアウォールは内外境界での通信制御機器であり,いずれもPCの健全性を社内接続前にチェックする検疫の役割とは異なる. PC接続前の状態確認・隔離が検疫ネットワークの本質的特徴である.
選択肢ごとの解説
- ア.誤り. DMZ(DeMilitarized Zone)は,インターネット側からも社内側からもアクセスできるが,DMZ内から社内LAN側への通信は制限される中間領域. 公開Webサーバやメールサーバを置く区画であり,持ち帰りPCの健全性確認を行う検疫ネットワークとは目的が異なる. 公開系を隔離する領域である.
- イ.誤り. IDS(Intrusion Detection System)は,ネットワーク上のトラフィックやホスト挙動を監視して不正アクセスや異常を検知し管理者に通知する仕組み. 検知が主目的であり,持ち帰りPCの状態確認や接続可否の制御を直接行うものではないため,検疫ネットワークの役割とは異なる仕組みとなる.
- ウ.正解. 検疫ネットワークは,社外で使用したPC等を社内ネットワーク接続前に一時的に隔離し,ウイルス対策状況・パッチ適用状況・OS設定等を確認する仕組み. 要件を満たすPCのみ社内LANへ接続を許可するため,セキュリティに問題のあるPCの接続によるマルウェア持ち込みを防ぐ目的に直結する.
- エ.誤り. ファイアウォール(FW)は,内外境界で通信のフィルタリング・アクセス制御を行う機器で,送信元/宛先IP・ポート等に基づき通過可否を判断する. PCの内部状態(ウイルス対策・パッチ等)をチェックする仕組みではないため,検疫ネットワークの目的・機能とは別物として整理する必要がある.
ITパスポート 2014年 (平成26年 秋期) の過去問一覧へ戻る・問54