情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成31年度春期 午前Ⅱ 問12: VLAN 機能をもった 1 台のレイヤ 3 スイッチに複数の PC を接続している。スイッチのポートをグループ化して複数のセグメントに分けると,スイッチのポート
←情報処理安全確保支援士試験 平成31年度春期 午前Ⅱ
機能をもった 1 台のレイヤ 3 スイッチに複数の PC を接続している。スイッチのポートをグループ化して複数のセグメントに分けると,スイッチのポートをセグメントに分けない場合に比べて,どのようなセキュリティ上の効果が得られるか。
問題本文
VLAN 機能をもった 1 台のレイヤ 3 スイッチに複数の PC を接続している。スイッチのポートをグループ化して複数のセグメントに分けると,スイッチのポートをセグメントに分けない場合に比べて,どのようなセキュリティ上の効果が得られるか。
選択肢
- ア.スイッチが,PC から送出される ICMP パケットを全て遮断するので,PC 間のマルウェア感染のリスクを低減できる。
- イ.スイッチが,PC からのブロードキャストパケットの到達範囲を制限するので,アドレス情報の不要な流出のリスクを低減できる。
- ウ.スイッチが,PC の MAC アドレスから接続可否を判別するので,PC の不正接続のリスクを低減できる。
- エ.スイッチが,物理ポートごとに,決まった IP アドレスをもつ PC の接続だけを許可するので,PC の不正接続のリスクを低減できる。
正解
イ. スイッチが,PC からのブロードキャストパケットの到達範囲を制限するので,アドレス情報の不要な流出のリスクを低減できる。
解説
VLANでポートをグループ化しセグメントを分けると、ブロードキャストドメインが分割され、ブロードキャストパケットの到達範囲が各VLAN内に限定される。これによりARPなどで流れるアドレス情報の不要な漏えいリスクを低減できる。イが正解。実務では部門間のトラフィック分離やマルウェア横展開の抑制にもつながる論理的なネットワーク分割手段。
選択肢ごとの解説
- ア.VLANはICMPを全遮断する機能ではなく、感染防止を主目的とするものでもないため誤り。
- イ.ブロードキャストの到達範囲をVLAN内に制限し、アドレス情報の不要な流出を抑える効果が正解。
- ウ.MACアドレスで接続可否を判別するのはポートセキュリティや認証の機能で、VLAN分割そのものの効果ではない。
- エ.ポートごとに特定IPのみ許可するのはIP制限の機能であり、VLANによるセグメント分割の効果ではない。
情報処理安全確保支援士試験 平成31年度春期 午前Ⅱ の過去問一覧へ戻る・問12