ITパスポート 2014年 秋期 問54
問題文
セキュリティに問題があるPCを社内ネットワークなどに接続させないことを目的とした仕組みであり、外出先で使用したPCを会社に持ち帰った際に、ウイルスに感染していないことなどを確認するために利用するものはどれか。
選択肢
ア:DMZ
イ:IDS
ウ:検疫ネットワーク(正解)
エ:ファイアウォール
🔒 解説は解答すると表示されます
セキュリティに問題があるPCを社内ネットワークに接続させない仕組み【ITパスポート 解説】
正解の理由
設問は「外出先で使用したPCを会社に持ち帰った際に、ウイルスに感染していないことなどを確認するために利用するもの」を問うています。これは、感染や設定不備の疑いがある端末を社内ネットワークから一時的に隔離し、チェック・修復したうえで内部ネットワークへ接続を許可する仕組みです。この目的に最も合致するのは ウ(検疫ネットワーク)です。
ここで用語の簡単な説明を先にします。
- DMZ(Demilitarized Zone:非武装地帯)— 外部公開するサーバを置くために内部ネットワークとインターネットの間に設ける分離領域。公開サービスの安全確保が目的です。
- IDS(Intrusion Detection System:侵入検知システム)— ネットワークやホストの通信やログを監視し、不審な侵入や攻撃を「検知」して通知する仕組みです(自動で遮断するものはIDSではなくIPSという場合があります)。
- 検疫ネットワーク(quarantine network)— 感染や設定不備が疑われる端末を一時的に隔離し、ウイルス定義の更新やセキュリティチェックを行う専用のネットワークです。
- ファイアウォール(firewall:防火壁)— ネットワーク境界で通信の許可/不許可をルールに基づいて制御する装置や機能です。
検疫ネットワークは「接続を一時的に許可するが、内部資源へは直接アクセスさせずに健康診断(ウイルス検査やパッチ確認など)を行う」ための専用領域であり、設問の用途にぴったり合います。
解法ステップ
- 問題文のキーワードを探す:「外出先で使用したPC」「ウイルスに感染していないことを確認」「社内ネットワークに接続させない」。
- 各選択肢の役割を簡単に照らし合わせる。
- 公開サーバ用か?(DMZ) → 該当しない。
- 侵入を検知するものか?(IDS) → 検知はするが隔離・チェックを行う目的とは違う。
- 隔離して健康状態をチェックするものか?(検疫ネットワーク) → 条件に合致。
- 通信制御(ブロック)はするが健全性チェックは主目的ではないか?(ファイアウォール) → 該当しない。
- 最も目的に合致するものを選ぶ → ウ(検疫ネットワーク)。
選択肢別の誤答解説
-
ア: DMZ
DMZは外部公開サービス(Webサーバやメールサーバなど)を置くための領域で、外部と内部を分離して公開サービスの安全性を高めます。個別のクライアントPCを検査・隔離する仕組みではありません。 -
イ: IDS
IDSは侵入や攻撃を「検知」して管理者に通知するツールです。検疫のように疑わしい端末を自動で隔離して修復させるための専用環境ではありません(自動で遮断するのはIPS:Intrusion Prevention Systemの場合がある)。 -
ウ: 検疫ネットワーク
検疫ネットワークは、外出先から持ち込んだPCなどを一時的に隔離し、ウイルス定義の更新、スキャン、パッチ確認などを行ってから内部ネットワークへ接続させます。設問の目的に合致します。 -
エ: ファイアウォール
ファイアウォールは通信の許可・拒否を行うための装置や機能で、ネットワーク境界で不正アクセスを防ぎます。ただし、端末の「健康状態」を検査して隔離・修復する機能は基本的に持ちません。
よくある誤解
-
「ファイアウォールやIDSが検疫の代わりになる」
→ ファイアウォールは通信制御、IDSは検知が主目的で、端末のウイルス感染チェックや更新を行う検疫とは役割が異なります。 -
「DMZと検疫ネットワークは同じ」
→ 似て非なるものです。DMZは外部公開サービスの安全性確保、検疫は端末の健康チェックと隔離が目的です。 -
「検疫ネットワークはウイルスだけに関係する」
→ 検疫ではウイルス検査のほか、OSやソフトのパッチ適用状況、セキュリティ設定(パスワードやファイアウォール設定)なども確認します。
補足コラム
検疫ネットワークは単独で動くものではなく、実運用では「ネットワークアクセス制御(NAC:Network Access Control)」という仕組みと組み合わせて使われます。NACは端末がネットワークに接続する際に端末の状態(ウイルス定義の有無、OSパッチの適用状況、アンチウイルスの稼働)をチェックし、合格すれば内部ネットワークへ、未合格なら検疫ネットワークへ誘導する仕組みです。
また、近年はBYOD(Bring Your Own Device:個人所有端末の業務利用)やリモートワークの普及で、検疫やNACの重要性が増しています。場合によっては、検疫側で自動的に定義ファイルを更新したり、指示に従って修復ツールを配布することもあります。
FAQ
Q1: 検疫ネットワークに置かれたPCは何ができる?
A1: 基本的にインターネットアクセスや更新サーバへのアクセス、管理者が許可した限定的な通信のみ可能にして、ウイルススキャンやパッチ適用を行います。内部の機密リソースへはアクセスできません。
A1: 基本的にインターネットアクセスや更新サーバへのアクセス、管理者が許可した限定的な通信のみ可能にして、ウイルススキャンやパッチ適用を行います。内部の機密リソースへはアクセスできません。
Q2: IDSやファイアウォールは全く役に立たないのですか?
A2: いいえ。ファイアウォールは境界防御、IDSは攻撃の検知と通知で重要な役割を持ちます。検疫はそれらと補完関係にあり、総合的な防御を構築することが大切です。
A2: いいえ。ファイアウォールは境界防御、IDSは攻撃の検知と通知で重要な役割を持ちます。検疫はそれらと補完関係にあり、総合的な防御を構築することが大切です。
Q3: 検疫ネットワークは自動で修復してくれますか?
A3: 実装によります。多くのシステムでは自動でウイルス定義を更新したり、修復ツールを配布して自動復旧を試みますが、管理者の介入が必要になる場合もあります。
A3: 実装によります。多くのシステムでは自動でウイルス定義を更新したり、修復ツールを配布して自動復旧を試みますが、管理者の介入が必要になる場合もあります。
関連キーワード: 検疫ネットワーク、検疫、NAC(Network Access Control)、クライアント検疫、隔離ネットワーク、BYOD、エンドポイントセキュリティ、DMZ、IDS、ファイアウォール、パッチ管理、ウイルス対策

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

