情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成27年度秋期 午前Ⅱ 問11: VLAN機能をもった1台のレイヤ3スイッチに複数のPCを接続している。スイッチのポートをグループ化して複数のセグメントに分けると,セグメントを分けない場合に比べ
←情報セキュリティスペシャリスト試験 平成27年度秋期 午前Ⅱ
機能をもった1台のに複数のPCを接続している。スイッチのポートをグループ化して複数のセグメントに分けると,セグメントを分けない場合に比べて,どのようなセキュリティ上の効果が得られるか。
問題本文
VLAN機能をもった1台のレイヤ3スイッチに複数のPCを接続している。スイッチのポートをグループ化して複数のセグメントに分けると,セグメントを分けない場合に比べて,どのようなセキュリティ上の効果が得られるか。
選択肢
- ア.スイッチが,PCから送出されるICMPパケットを全て遮断するので,PC間のマルウェア感染のリスクを低減できる。
- イ.スイッチが,PCからのブロードキャストパケットの到達範囲を制限するので,アドレス情報の不要な流出のリスクを低減できる。
- ウ.スイッチが,PCのMACアドレスから接続可否を判別するので,PCの不正接続のリスクを低減できる。
- エ.スイッチが,物理ポートごとに,決まったIPアドレスのPC接続だけを許可するので,PCの不正接続のリスクを低減できる。
正解
イ. スイッチが,PCからのブロードキャストパケットの到達範囲を制限するので,アドレス情報の不要な流出のリスクを低減できる。
解説
VLANはスイッチのポートを論理的なグループ(セグメント)に分割し、各VLANを別々のブロードキャストドメインにする機能。セグメントを分けるとブロードキャストの到達範囲がVLAN内に限定され、ARP応答などのアドレス情報が無関係な機器へ漏れにくくなる。よってイが正しい。実務では部門分離や攻撃の横展開抑止に使われ、VLAN間はL3で制御する。
選択肢ごとの解説
- ア.VLANはブロードキャスト境界を作るだけでICMPを一律遮断しないため、この記述は誤り。
- イ.ブロードキャストの到達範囲をVLAN内に制限しアドレス情報の不要な流出を抑える点が正解。
- ウ.MACアドレスで接続可否を判別するのはポートセキュリティの機能で、VLAN本来の効果ではない。
- エ.ポートごとに特定IPの接続だけ許可するのは別のアクセス制御で、VLANの効果とは異なる。
情報セキュリティスペシャリスト試験 平成27年度秋期 午前Ⅱ の過去問一覧へ戻る・問11