情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和5年度春期 午前Ⅰ 問15: 次に示すような組織の業務環境において,特定のIPセグメントのIPアドレスを幹部のPCに動的に割り当て,一部のサーバへのアクセスをそのIPセグメントからだけ許可す
←情報処理安全確保支援士試験 令和5年度春期 午前Ⅰ
次に示すような組織の業務環境において,特定のIPセグメントのIPアドレスを幹部のPCに動的に割り当て,一部のサーバへのアクセスをそのIPセグメントからだけ許可することによって,幹部のPCだけが当該サーバにアクセスできるようにしたい。利用するセキュリティ技術として,適切なものはどれか。
〔組織の業務環境〕
・業務ではサーバにアクセスする。サーバは,組織の内部ネットワークからだけアクセスできる。
・幹部及び一般従業員は同一フロアで業務を行っており,日によって席が異なるフリーアドレス制を取っている。
・各席には有線LANポートが設置されており,PCを接続して組織の内部ネットワークに接続する。
・ネットワークスイッチ1台に全てのPCとサーバが接続される。
問題本文
次に示すような組織の業務環境において,特定のIPセグメントのIPアドレスを幹部のPCに動的に割り当て,一部のサーバへのアクセスをそのIPセグメントからだけ許可することによって,幹部のPCだけが当該サーバにアクセスできるようにしたい。利用するセキュリティ技術として,適切なものはどれか。 〔組織の業務環境〕 ・業務ではサーバにアクセスする。サーバは,組織の内部ネットワークからだけアクセスできる。 ・幹部及び一般従業員は同一フロアで業務を行っており,日によって席が異なるフリーアドレス制を取っている。 ・各席には有線LANポートが設置されており,PCを接続して組織の内部ネットワークに接続する。 ・ネットワークスイッチ1台に全てのPCとサーバが接続される。
選択肢
- ア.IDS
- イ.IPマスカレード
- ウ.スタティックVLAN
- エ.認証VLAN
解説
フリーアドレスで席が日々変わるため、ポート固定のスタティックVLANでは特定PCを識別できない。認証VLANはIEEE 802.1X等でユーザ/端末を認証し、その結果に応じて動的にVLAN(IPセグメント)を割り当てる。幹部PCだけを特定セグメントに入れサーバアクセスを限定できるためエが正解。実務ではゼロトラスト的なアクセス制御の入口として有効。
選択肢ごとの解説
- ア.IDSは不正侵入の検知が目的で、アクセス制御やVLAN割当を行う技術ではない。
- イ.IPマスカレードはアドレス変換でプライベートIPを共有する技術で、端末別の権限制御はできない。
- ウ.スタティックVLANはポート単位の固定割当で、席が変わるフリーアドレスでは幹部PCを特定できない。
- エ.認証VLANはユーザ認証結果で動的にセグメントを割り当て、幹部PCだけにサーバ接続を許可でき正しい。
情報処理安全確保支援士試験 令和5年度春期 午前Ⅰ の過去問一覧へ戻る・問15