HOME»情報処理安全確保支援士平成31年春期»午前Ⅱ 問12

情報処理安全確保支援士平成31年春期 午前Ⅱ 問12

問12

VLAN機能をもった1台のレイヤー3スイッチに複数のPCを接続している。スイッチのポートをグループ化して複数のセグメントに分けると,スイッチのポートをセグメントを分けない場合に比べて,どのようなセキュリティ上の効果が得られるか。
  • スイッチが,PCから送出されるICMPパケットを全て遮断するので,PC間のマルウェア感染のリスクを低減できる。
  • スイッチが,PCからのブロードキャストパケットの到達範囲を制限するので,アドレス情報の不要な流出のリスクを低減できる。
  • スイッチが,PCのMACアドレスから接続可否を判別するので,PCの不正接続のリスクを低減できる。
  • スイッチが,物理ポートごとに,決まったIPアドレスをもつPCの接続だけを許可するので,PCの不正接続のリスクを低減できる。
  • [出題歴]
  • 情報セキュリティ H27秋期 問11

分類

テクノロジ系 » セキュリティ » 情報セキュリティ対策

正解

解説

VLAN(Virtual LAN)は、スイッチに接続された端末を物理的な構成に関係なくグループ化する機能、またはその機能で形成されたネットワークのことです。VLANにはセグメントの分割を基準により幾つかの方式があります。
ポートベースVLAN
スイッチの接続ポート単位でグルーピング
アドレスベースVLAN
MACアドレスやIPアドレスを基準にグルーピング
ポリシーベースVLAN
IP、IPX、AppleTalkなどのネットワークプロトコルごとにグルーピング
タグVLAN
パケット内の拡張タグに指定された情報によってグルーピング
ポートベースVLANでは以下のように同一のグループにするポートに"VLAN ID"を設定することで、ネットワークの分割を行います。
12.png/image-size:289×229
通常であれば、同じスイッチに接続されているPCは同じブロードキャストドメインに属しますが、VLAN同士は異なるセグメントとして扱われるため直接の通信ができません。この仕組みによりブロードキャストパケットの到達範囲が同じVLAN内のみに限定されることになり、内部の情報が異なるVLANへ不用意に流出するのを防止するセキュリティ効果が期待できます。
  • ICMPパケットは、インターネット層(OSI参照モデル第3層のネットワーク層)で動作します。設問ではPCはレイヤー3スイッチで接続されているので、ICMPパケットはレイヤー3スイッチの内部ルータを介して異なるVLAN同士に伝達されます。
  • 正しい。
  • アドレスベースVLANにおけるセキュリティ効果です。
  • 「ウ」と同じくアドレスベースVLANにおけるセキュリティ効果です。ポートベースVLANでは、アドレス情報をセグメント分割の判断基準に使用しません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop