ホーム > 情報処理安全確保支援士試験 > 2015年秋期

情報処理安全確保支援士試験 2015年秋期午前2 問11

VLAN機能をもった1台のレイヤ3スイッチに複数のPCを接続している。スイッチのポートをグループ化して複数のセグメントに分けると,セグメントを分けない場合に比べて,どのようなセキュリティ上の効果が得られるか。

ア：スイッチが,PCから送出されるICMPパケットを全て遮断するので,PC間のマルウェア感染のリスクを低減できる。

イ：スイッチが,PCからのブロードキャストパケットの到達範囲を制限するので,アドレス情報の不要な流出のリスクを低減できる。（正解）

ウ：スイッチが,PCのMACアドレスから接続可否を判別するので,PCの不正接続のリスクを低減できる。

エ：スイッチが,物理ポートごとに,決まったIPアドレスのPC接続だけを許可するので,PCの不正接続のリスクを低減できる。

解説

VLAN機能をもったレイヤ3スイッチのセキュリティ効果【午前2 解説】

要点まとめ

結論：VLANでポートをグループ化しセグメント分割すると、ブロードキャストの到達範囲が制限され不要な情報流出リスクが減少します。
根拠：VLANは論理的にネットワークを分割し、同一VLAN内のみブロードキャストが届くため、他VLANへの不要なパケット拡散を防ぎます。
差がつくポイント：VLANはMACアドレスやIPアドレス単位の制御ではなく、ブロードキャストドメインの分割によりセキュリティを強化する点を理解しましょう。

正解の理由

選択肢イは「スイッチがPCからのブロードキャストパケットの到達範囲を制限するので、アドレス情報の不要な流出のリスクを低減できる」と述べています。VLANは物理的なスイッチ1台でも複数の論理的なネットワーク（セグメント）を作り、ブロードキャストドメインを分割します。これにより、同一VLAN内のPC間でのみブロードキャストが届き、他のVLANには届かないため、不要な情報が広がるリスクが減ります。したがって、セキュリティ上の効果として正しい説明です。

よくある誤解

VLANはMACアドレスやIPアドレス単位で接続制御を行うものではなく、あくまでブロードキャストドメインの分割機能です。これを混同すると誤った理解につながります。

解法ステップ

VLANの基本機能を確認する（論理的なネットワーク分割）。
VLANがブロードキャストドメインを分割し、パケットの到達範囲を制限することを理解する。
選択肢の内容がVLANの機能と合致しているかを検証する。
MACアドレスやIPアドレスによる接続制御はVLANの機能外であることを確認する。
ブロードキャストパケットの制限によるセキュリティ効果を示す選択肢を選ぶ。

選択肢別の誤答解説

ア: ICMPパケットを全て遮断する機能はVLANにはなく、スイッチが自動的にマルウェア感染リスクを低減するわけではありません。
イ: VLANによるブロードキャストドメインの分割で不要な情報流出リスクを低減できるため正解。
ウ: MACアドレスで接続可否を判別するのはポートセキュリティなど別機能であり、VLANの機能ではありません。
エ: 物理ポートごとにIPアドレスを固定して接続を許可する機能はVLANの機能外であり、通常は別のアクセス制御機能が必要です。

補足コラム

VLANはVirtual LANの略で、物理的に同じスイッチに接続されていても論理的に異なるネットワークとして扱えます。これにより、ネットワークの管理性向上だけでなく、セキュリティ面でもブロードキャストの範囲制限や不要な通信の遮断が可能です。さらに高度なセキュリティを求める場合は、ポートセキュリティや802.1X認証などの機能と組み合わせることが一般的です。

FAQ

Q: VLANはどのようにセキュリティを強化しますか？
A: VLANはブロードキャストドメインを分割し、不要なパケットの拡散を防ぐことで情報漏洩リスクを低減します。

Q: VLANでMACアドレス単位の接続制御はできますか？
A: いいえ。MACアドレス単位の制御はポートセキュリティなど別の機能であり、VLANの基本機能ではありません。

Q: VLANは物理的に別のスイッチが必要ですか？
A: いいえ。1台のレイヤ3スイッチでも複数のVLANを設定し、論理的にネットワークを分割できます。

関連キーワード: VLAN, ブロードキャストドメイン, レイヤ3スイッチ, ネットワークセグメント, ポートセキュリティ, 情報漏洩防止

← 前の問題へ次の問題へ →

情報処理安全確保支援士試験 2015年 秋期 午前2 問11

解説