基本情報技術者 2015年 秋期 午前(科目A) 問41
問題文
ネットワーク障害の原因を調べるために、ミラーポートを用意して、LANアナライザを使用できるようにしておくときに留意することはどれか。
選択肢
ア:LANアナライザがパケットを破棄してしまうので、測定中は測定対象外のコンピュータの利用を制限しておく必要がある。
イ:LANアナライザはネットワークを通過するパケットを表示できるので、盗聴などに悪用されないように注意する必要がある。(正解)
ウ:障害発生に備えて、ネットワーク利用者に対してLANアナライザの保管場所と使用方法を周知しておく必要がある。
エ:測定に当たって、LANケーブルを一時的に切断する必要があるので、ネットワーク利用者に対して測定日を事前に知らせておく必要がある。
ミラーポートを用いたLANアナライザ運用での留意点【午前2 解説】
要点まとめ
- 結論→ミラーポートで取得するパケットは平文や認証情報など機微情報を含むため、盗聴悪用を防ぐ運用管理とアクセス制御が必須です。
- 根拠→ミラーポート(SPAN/RSPAN)はネットワークを通過する全トラフィックのコピーを生成し、解析側で復元・解析が可能であるため情報漏洩リスクが高いです。
- 差がつくポイント→単に「測定する」だけでなく、誰がいつ見られるか、保存・削除・暗号化・監査ログまで含めた運用ルールを示せることが合格の差になります。
正解の理由
正解は イ です。ミラーポートはスイッチのトラフィックを複製して別ポートに流す機能であり、その複製されたパケットは平文のまま解析機器で表示できます。したがって、盗聴や不正解析に悪用されないように物理的・論理的なアクセス制御、監査、必要最小限の権限付与、暗号化(可能な箇所)などの注意が必要です。選択肢イはこの本質的リスクを直接述べているため正解となります。
よくある誤解
- ミラーポートはネットワークに影響を与える(パケットを破棄する)と思い込みやすいが、通常は受動的にトラフィックを複製するため通信の中断は起きません。
- LANアナライザの保管場所や使用方法を利用者全員に周知する必要があると考えがちだが、実務上は管理者・担当者に限定して周知・教育を行うことが現実的で効果的です。
- 測定のために物理的にケーブルを切断する必要があるという誤解(選択肢エ)。ミラーリングは切断不要で行えるのが通常です。
解法ステップ
- 問題文のキーワードを確認:「ミラーポート」「LANアナライザ」「留意すること」。
- ミラーポートの機能を思い出す:トラフィックの複製(受動的)、通信経路の切断は不要。
- 各選択肢を機能と安全性の観点で照合:機能的に起こり得ること・セキュリティ上の懸念を判断。
- 「盗聴に悪用される」という選択肢がミラーポートのリスクを的確に表しているので正答とする。
選択肢別の誤答解説
- ア: LANアナライザがパケットを破棄してしまうので、測定中は測定対象外のコンピュータの利用を制限しておく必要がある。
→ 誤り。ミラーポートはパケットを複製する仕組みであり、通常は本線のパケットを破棄しません。測定機器側がキャプチャしきれない場合にログ欠落は起こり得ますが、「測定対象外の利用制限」は本質的対策ではありません。 - イ: LANアナライザはネットワークを通過するパケットを表示できるので、盗聴などに悪用されないように注意する必要がある。
→ 正解。ミラーポートで複製されたパケットには認証情報や個人情報が含まれる場合があり、適切なアクセス制御や監査が必要です。 - ウ: 障害発生に備えて、ネットワーク利用者に対してLANアナライザの保管場所と使用方法を周知しておく必要がある。
→ 誤り。管理者・運用担当者に対する周知や手順整備は必要ですが、利用者全員に保管場所を公開するのは不必要かつリスクを高めます。 - エ: 測定に当たって、LANケーブルを一時的に切断する必要があるので、ネットワーク利用者に対して測定日を事前に知らせておく必要がある。
→ 誤り。ミラーポートを使ったキャプチャはケーブルの切断を伴わないのが一般的であり、事前通知は必須ではありません(影響がある場合は別途通知)。
補足コラム
- ミラーポートの具体名:スイッチではSPAN(Switched Port Analyzer)やRSPAN(Remote SPAN)が一般的です。SPANは同一スイッチ内でポートを複製、RSPANはVLANを使ってリモート転送します。
- 運用上の対策例:ミラーポートの使用は最小化(時間・対象IPフィルタ)、解析端末のログ・アクセス監査、有資格者のみ実施、キャプチャデータの暗号化と保管期限の明確化など。
- コマンド例(Cisco スイッチでの簡易SPAN設定):
# 例: source Gi1/0/1, destination Gi1/0/10 monitor session 1 source interface Gi1/0/1 monitor session 1 destination interface Gi1/0/10
- キャプチャ例(tcpdumpで特定ホストのみ取得):
sudo tcpdump -i eth0 host 192.0.2.10 -w capture.pcap # 必要最小限のフィルタを使いデータ量とプライバシーリスクを低減
FAQ
Q1: ミラーポートで捕らえたパケットはどこまで見えるのですか?
A1: レイヤ2/3/4のヘッダからアプリケーション層の平文まで、暗号化されていないトラフィックは解析可能です。HTTPS等で暗号化されていれば中身は読めませんが、メタデータは残ります。
A1: レイヤ2/3/4のヘッダからアプリケーション層の平文まで、暗号化されていないトラフィックは解析可能です。HTTPS等で暗号化されていれば中身は読めませんが、メタデータは残ります。
Q2: ミラーポートは常時オンにしておいても問題ないですか?
A2: 常時オンは推奨されません。不要な期間のデータ収集は情報漏洩リスクを高めるため、必要時のみ有効化しログを残すのが良い運用です。
A2: 常時オンは推奨されません。不要な期間のデータ収集は情報漏洩リスクを高めるため、必要時のみ有効化しログを残すのが良い運用です。
Q3: 盗聴対策として何が有効ですか?
A3: アクセス制御と監査、キャプチャデータの暗号化、保存期間短縮、解析端末の物理的保護とネットワーク分離が有効です。
A3: アクセス制御と監査、キャプチャデータの暗号化、保存期間短縮、解析端末の物理的保護とネットワーク分離が有効です。
Q4: 利用者への事前通知は不要ですか?
A4: 技術的には通知は必須ではありませんが、社内ポリシーや法令、プライバシー方針に応じて適切な通知や同意が必要な場合があります。
A4: 技術的には通知は必須ではありませんが、社内ポリシーや法令、プライバシー方針に応じて適切な通知や同意が必要な場合があります。
関連キーワード: ミラーポート、LANアナライザ、パケットキャプチャ、盗聴対策、SPAN、RSPAN、tcpdump、Wireshark、プライバシー、ネットワーク監視
\ せっかくなら /
基本情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!