応用情報技術者 2023年 春期 午前2 問45
問題文
次に示すような組織の業務環境において、特定のIPセグメントのIPアドレスを幹部のPCに動的に割り当て、一部のサーバへのアクセスをそのIPセグメントからだけ許可することによって、幹部のPCだけが当該サーバにアクセスできるようにしたい。利用するセキュリティ技術として、適切なものはどれか。
〔組織の業務環境〕
・業務ではサーバにアクセスする。サーバは、組織の内部ネットワークからだけアクセスできる。
・幹部及び一般従業員は同一フロアで業務を行っており、日によって席が異なるフリーアドレス制を取っている。
・各席には有線LANポートが設置されており,PCを接続して組織の内部ネットワークに接続する。
・ネットワークスイッチ1台に全てのPCとサーバが接続される。
選択肢
ア:IDS
イ:IPマスカレード
ウ:スタティックVLAN
エ:認証VLAN(正解)
特定IPセグメントを幹部PCに動的割当しアクセス制御する技術【午前2 解説】
要点まとめ
- 結論:幹部PCに特定IPセグメントを動的割当し、アクセス制御するには「認証VLAN」が適切です。
- 根拠:認証VLANはユーザ認証に基づき動的にVLANを割り当て、ネットワークアクセスを制御可能です。
- 差がつくポイント:フリーアドレス制で席が固定されない環境で、動的にアクセス権限を変える必要がある点を理解すること。
正解の理由
「認証VLAN」はユーザ認証(例:802.1X認証)を行い、認証結果に応じて動的にVLANを割り当てます。これにより、幹部PCだけが特定のIPセグメントを利用でき、そのIPセグメントからのみサーバへのアクセスを許可できます。フリーアドレス制で席が変わっても、認証により適切なVLANに所属させるため、幹部以外のPCがアクセスできないように制御可能です。
よくある誤解
- スタティックVLANは固定ポートに対してVLANを割り当てるため、席が変わるフリーアドレス制には不向きです。
- IDSは監視ツールであり、アクセス制御の技術ではありません。
解法ステップ
- 問題文から「幹部PCに特定IPセグメントを動的割当」かつ「アクセス制御」が必要と読み取る。
- フリーアドレス制で席が変わるため、ポート固定のスタティックVLANは不適。
- IDSは侵入検知であり、アクセス制御には使えないと判断。
- IPマスカレードはNAT技術であり、アクセス制御の目的に合わない。
- 認証VLANはユーザ認証に基づき動的にVLAN割当が可能で、要件に合致する。
選択肢別の誤答解説
- ア: IDS
侵入検知システムであり、アクセス制御やIP割当の機能はありません。 - イ: IPマスカレード
NATの一種であり、IPアドレスの変換を行うだけでアクセス制御には不向きです。 - ウ: スタティックVLAN
ポート単位でVLANを固定割当するため、席が変わるフリーアドレス制には対応できません。 - エ: 認証VLAN
ユーザ認証に基づき動的にVLANを割り当て、IPセグメントを制御できるため正解です。
補足コラム
認証VLANはIEEE 802.1X認証を利用し、ユーザや端末の認証結果に応じてネットワークスイッチがVLANを動的に割り当てます。これにより、物理的な接続場所に依存せずにアクセス制御が可能となり、フリーアドレス制やBYOD環境でのセキュリティ強化に有効です。
FAQ
Q: 認証VLANとスタティックVLANの違いは何ですか?
A: スタティックVLANは物理ポートに固定割当し、認証VLANはユーザ認証に基づき動的にVLANを割り当てます。
A: スタティックVLANは物理ポートに固定割当し、認証VLANはユーザ認証に基づき動的にVLANを割り当てます。
Q: IPマスカレードはアクセス制御に使えますか?
A: IPマスカレードはNAT技術であり、アクセス制御の目的には適しません。
A: IPマスカレードはNAT技術であり、アクセス制御の目的には適しません。
関連キーワード: 認証VLAN, 802.1X認証、フリーアドレス制、VLAN動的割当、アクセス制御、ネットワークセキュリティ
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!