応用情報技術者 2010年 秋期 午後 問09
検疫ネットワークに関する次の記述を読んで、設問1~3に答えよ。
W社は、食品の製造と販売を営む中堅の会社である。W社には営業部と製造部があり、それぞれの部の各社員にノートPC(以下、PCという)が1台ずつ配布されている。社員は、配布されたPCをW社社内ネットワーク(以下、社内ネットワークという)に接続して利用している。社内ネットワークでは、情報セキュリティ強化のための施策の一環として、IEEE 802.1x方式による認証VLANを用いた検疫ネットワークシステム(以下、検疫システムという)を導入している。
検疫システムは、セキュリティ対策の検査を行い、セキュリティ対策が不十分な端末を社内ネットワークに接続させず、隔離したり、必要なセキュリティ対策を施したりする機能をもつ。
社内ネットワークの構成は、図のとおりである。各種サーバ、レイヤ2スイッチ(L2SW)、レイヤ3スイッチ(L3SW)、ファイアウォール(FW)、ルータなどから構成される。設定されたVLAN一覧を表1に、サーバ一覧を表2に、ディレクトリサーバ上に格納されているユーザ情報(一部)を表3にそれぞれ示す。
〔認証と検疫の処理の流れ〕
(1) 所属 VLAN が設定されていない営業部エリアや製造部エリアの PC は、それぞれのエリア内の L2SW の空きポートに接続されると、L2SW や L3SW を介して、a サーバと限定的に通信し、端末認証を受ける。
PC から送られたユーザ名などの認証情報を a サーバが受信すると、a サーバは、ユーザ情報を b サーバに問い合わせ、ユーザ認証を行う。
ユーザ認証が c した PC は、引き続き、VLAN が設定されないままとなる。
(2) ユーザ認証が d した PC の所属 VLAN を、検疫エリアに配置されたサーバと同じく e に設定して、その PC を隔離する。ここでは、所属 VLAN は、L2SW のポートごとに一つだけ設定される。
(3) PC では、検疫サーバによって、セキュリティパッチが適用されているかどうか、ウイルスワクチンのパターンファイルが最新かどうか、スクリーンセーバなどの各種設定状況が適切かどうかを調べる検査が行われる。この検査が不合格となった PCは、検査が合格となるまで、このeに隔離され、検疫サーバによって、必要なセキュリティパッチの適用や各種設定の変更が強制的に行われる。さらにウイルス対策サーバによって、ウイルスチェックが行われる。
(4) 検査が合格となったPCは、サーバに登録された所属VLANIDに従い、検疫システムによって、所属するVLANが割り当てられる。
例えば、ユーザ名がCCCの場合、サーバと同じVLANであるが割り当てられる。
(5) 所属するVIANを割り当てられたPCが、サーバにIPアドレスを要求すると、hサーバは、VLANIDに応じたIPアドレスを動的に割り当てる。
IPアドレスが割り当てられたPCは、社内ネットワークを利用することができる。
設問1:
本文中のa~d、f、hに入れる適切な字句を解答群の中から選び、記号で答えよ。
解答群
ア:DHCP
イ:RADIUS
ウ:インターネット
エ:ウイルス対策
オ:営業部
力:検疫
キ:失敗
ク:成功
ケ:製造部
コ:ディレクトリ
サ:ルータ
模範解答
a:イ
b:コ
c:キ
d:ク
f:ケ
h:ア
解説
解答の論理構成
-
a に入る語
- 本文(1)では「PC は…限定的に通信し、端末認証を受ける」とあるため、IEEE 802.1x 認証で用いられる認証サーバを指す。
- 解答群で認証サーバに該当するのは「イ:RADIUS」。
- したがってa=「イ」。
-
b に入る語
- 本文(1)「a サーバは、ユーザ情報を b サーバに問い合わせ、ユーザ認証を行う」。
- 表2 に「ディレクトリサーバ」が存在し、ユーザ情報を保持するサーバは通常これである。
- 解答群「コ:ディレクトリ」が適合。
- よってb=「コ」。
-
c と d の対比
- 本文(1)「ユーザ認証が c した PC は、引き続き、VLAN が設定されないままとなる」。
- 認証に失敗すれば VLAN は割り当てられないので c=「キ:失敗」。
- 本文(2)「ユーザ認証が d した PC の所属 VLAN を…検疫…に設定して、その PC を隔離する」。
- 認証に成功した端末が次の段階(検疫)へ進むので d=「ク:成功」。
-
f に入る語
- 本文(4)の例示「ユーザ名がCCCの場合、サーバと同じVLANであるが割り当てられる」。
- 表3よりユーザ「CCC」の「所属VLAN」は「VLAN 30」、表2で「製造部サーバ」が「VLAN 30」に属する。
- よって「サーバと同じ VLAN」は「製造部用 VLAN」であり、解答群「ケ:製造部」が適切。
- したがってf=「ケ」。
-
h に入る語
- 本文(5)「サーバに IP アドレスを要求すると、hサーバは、VLANIDに応じたIPアドレスを動的に割り当てる」。
- 動的に IP アドレスを払い出すのは DHCP である。
- 解答群「ア:DHCP」が該当。
- したがってh=「ア」。
以上より模範解答と一致する。
誤りやすいポイント
- 「認証に成功したら即業務 VLAN」と早合点し、dに「キ:失敗」を入れてしまう。検疫ネットワークでは“認証成功後に隔離検査”が一般的である点を見落としやすいです。
- fで VLAN 番号(「30」など)を直接書きたくなるが、選択肢は名称(営業部/製造部)で用意されていることに注意が必要です。
- RADIUS と DHCP を取り違える。「端末認証」と「アドレス払い出し」は別工程であることを図と本文の流れから整理すると迷いません。
FAQ
Q: IEEE 802.1x 認証で RADIUS が使われる理由は何ですか?
A: 802.1x ではスイッチや無線 AP が「認証制御者」となり、実際のユーザ認証は外部サーバに委任します。その際に標準的に用いられるプロトコル/サーバが RADIUS だからです。RADIUS はユーザ情報を一元管理でき、認証・認可・課金をまとめて処理できます。
A: 802.1x ではスイッチや無線 AP が「認証制御者」となり、実際のユーザ認証は外部サーバに委任します。その際に標準的に用いられるプロトコル/サーバが RADIUS だからです。RADIUS はユーザ情報を一元管理でき、認証・認可・課金をまとめて処理できます。
Q: 認証成功後になぜすぐ業務 VLAN に入れず検疫 VLAN に隔離するのですか?
A: ID・パスワードが正しくても端末の OS 破損やパッチ未適用など “端末側リスク” が残るからです。検疫 VLAN でパッチ適用やウイルスチェックを行い、安全が確認されてから業務 VLAN を割り当てることで、社内ネットワーク全体の感染リスクを下げられます。
A: ID・パスワードが正しくても端末の OS 破損やパッチ未適用など “端末側リスク” が残るからです。検疫 VLAN でパッチ適用やウイルスチェックを行い、安全が確認されてから業務 VLAN を割り当てることで、社内ネットワーク全体の感染リスクを下げられます。
Q: DHCP サーバは複数 VLAN にどうやって IP を配るのですか?
A: 通常は DHCP リレー機能(IP ヘルパーアドレス)を L3SW に設定し、VLAN ID ごとにスコープ(アドレスプール)を分けて管理します。クライアントが所属する VLAN を示すインタフェースから中継されるため、DHCP サーバは正しいセグメントの IP アドレスを返せます。
A: 通常は DHCP リレー機能(IP ヘルパーアドレス)を L3SW に設定し、VLAN ID ごとにスコープ(アドレスプール)を分けて管理します。クライアントが所属する VLAN を示すインタフェースから中継されるため、DHCP サーバは正しいセグメントの IP アドレスを返せます。
関連キーワード: IEEE 802.1x, VLAN, RADIUS, 検疫ネットワーク、DHCP
設問2:
本文中のe、gに入れる適切なVLANIDを答えよ。
模範解答
e:VLAN0
g:VLAN30
解説
解答の論理構成
-
検疫用 VLAN の特定
- 手順(2)では「所属 VLAN を、検疫エリアに配置されたサーバと同じく e に設定して、その PC を隔離する」とあります。
- 表2には、検疫エリアにある「検疫サーバ」「ウイルス対策サーバ」がいずれも 「VLAN 0」 に所属していると明記されています。
- よって、検疫時に PC に設定される VLAN=「VLAN 0」 → e = VLAN 0。
-
ユーザ “CCC” に割り当てる VLAN の特定
- 手順(4)では「例えば、ユーザ名がCCCの場合、サーバと同じVLANである g が割り当てられる」と示されています。
- 表3で “ユーザ名” 「CCC」の “所属VLAN” は 「VLAN 30」 と記載されています。
- したがって、CCC の PC に割り当てられる VLAN=「VLAN 30」 → g = VLAN 30。
誤りやすいポイント
- 表1の「VLAN 0」を “未使用” と勘違いし、「VLAN 50」を隔離 VLAN として選んでしまう。
- “CCC” が営業部か製造部かを覚え違え、「VLAN 20」を選択してしまう。
- 「検疫サーバ」と「ウイルス対策サーバ」が同じ VLAN にあることを見落とし、隔離用 VLAN が二つあると誤解する。
FAQ
Q: 検疫 VLAN は必ず 0 番でなければいけませんか?
A: 必ずしも 0 番である必要はありませんが、本問題では検疫用サーバ群が「VLAN 0」に設置されているため、それに合わせて端末も「VLAN 0」に隔離されます。
A: 必ずしも 0 番である必要はありませんが、本問題では検疫用サーバ群が「VLAN 0」に設置されているため、それに合わせて端末も「VLAN 0」に隔離されます。
Q: 802.1X 認証後すぐに IP アドレスはもらえますか?
A: いいえ。まず認証と検疫を経て最終所属 VLAN が決定され、その後 PC が「DHCPサーバ」に IP アドレスを要求する流れになります。
A: いいえ。まず認証と検疫を経て最終所属 VLAN が決定され、その後 PC が「DHCPサーバ」に IP アドレスを要求する流れになります。
Q: RADIUS とディレクトリサーバの役割分担は?
A: 「RADIUSサーバ」が受け取った認証情報を「ディレクトリサーバ」に照会してユーザ認証を実行し、結果をスイッチへ返します。
A: 「RADIUSサーバ」が受け取った認証情報を「ディレクトリサーバ」に照会してユーザ認証を実行し、結果をスイッチへ返します。
関連キーワード: IEEE 802.1X, VLAN, RADIUS, DHCP, 検疫ネットワーク
設問3:
〔認証と検疫の処理の流れ〕の(3)において、検査を隔離して行う理由を25字以内で述べよ。
模範解答
ウイルスなどの二次感染の範囲を限定できるから
解説
解答の論理構成
- 【問題文】の(3)には「検査が不合格となった PC は、検査が合格となるまで、このeに隔離され、検疫サーバによって、必要なセキュリティパッチの適用や各種設定の変更が強制的に行われる。さらにウイルス対策サーバによって、ウイルスチェックが行われる。」とあります。
- ここで隔離される PC は「セキュリティパッチが適用されていない」「ウイルスワクチンが最新でない」など、社内ネットワークに参加させるとマルウェア感染や脆弱性悪用の踏み台になる恐れがあります。
- 検疫用 VLAN 内に閉じ込めれば、未対策 PC がほかの端末へ直接パケットを送信できず、感染拡大や攻撃を抑えられます。
- したがって、隔離検査の目的は「ウイルスなどの二次感染の範囲を限定できるから」となります。
誤りやすいポイント
- 「感染を完全に防止するため」と書くと、検査中 VLAN 内での最小限の通信は許可されている事実とズレます。
- 「検査の効率化」と答えると主旨が逸れます。隔離の第一目的は安全確保です。
- 「一次感染」と「二次感染」を混同しがちですが、問題は「社内ネットワーク全体への拡大=二次感染」を指しています。
FAQ
Q: 検疫 VLAN にいても検疫サーバやウイルス対策サーバとは通信できますか?
A: はい。検疫 VLAN 内で限定的に通信し、パッチ適用やウイルスチェックを受けられるよう設定されています。
A: はい。検疫 VLAN 内で限定的に通信し、パッチ適用やウイルスチェックを受けられるよう設定されています。
Q: IEEE 802.1x 認証と隔離 VLAN はどのように連携していますか?
A: まず 802.1x で端末を認証し、認証結果に応じて L2SW ポートへ VLAN0(検疫)などの VLAN を自動割当します。
A: まず 802.1x で端末を認証し、認証結果に応じて L2SW ポートへ VLAN0(検疫)などの VLAN を自動割当します。
Q: 隔離後に検査が合格した端末は手動で VLAN を戻すのですか?
A: いいえ。検疫システムが自動で「サーバに登録された所属VLANID」をポートへ設定し直します。
A: いいえ。検疫システムが自動で「サーバに登録された所属VLANID」をポートへ設定し直します。
関連キーワード: 隔離ネットワーク、検疫VLAN, 二次感染、802.1x
