ホーム > 情報処理安全確保支援士試験 > 2019年 春期
情報処理安全確保支援士試験 2019年 春期 午前2 問12
VLAN 機能をもった1台のレイヤ3スイッチに複数のPCを接続している。スイッチのポートをグループ化して複数のセグメントに分けると, スイッチのポートをセグメントに分けない場合に比べて,どのようなセキュリティ上の効果が得られるか。
ア:スイッチが, PCから送出される ICMP パケットを全て遮断するので, PC間のマルウェア感染のリスクを低減できる。
イ:スイッチが, PCからのブロードキャストパケットの到達範囲を制限するので, アドレス情報の不要な流出のリスクを低減できる。(正解)
ウ:スイッチが,PCの MAC アドレスから接続可否を判別するので,PCの不正接続のリスクを低減できる。
エ:スイッチが, 物理ポートごとに, 決まった IP アドレスをもつPCの接続だけを許可するので, PCの不正接続のリスクを低減できる。
解説
VLAN機能をもったレイヤ3スイッチのセキュリティ効果【午前2 解説】
要点まとめ
- 結論:VLANはブロードキャストドメインを分割し、不要な情報の流出リスクを低減します。
- 根拠:VLANによりスイッチのポートをグループ化し、ブロードキャストパケットの到達範囲を限定できるためです。
- 差がつくポイント:VLANは物理的に同じネットワークでも論理的に分割し、セグメント間の通信制御が可能な点を理解しましょう。
正解の理由
選択肢イは「スイッチがPCからのブロードキャストパケットの到達範囲を制限するので、アドレス情報の不要な流出のリスクを低減できる」と述べています。VLANはネットワークを複数の論理セグメントに分割し、各VLAN内でのみブロードキャストが届くため、他のVLANにブロードキャストパケットが流れません。これにより、不要な情報が他のセグメントに漏れるリスクを減らし、セキュリティを向上させます。
よくある誤解
VLANはパケットの遮断やMACアドレスによる接続制御を行うものではなく、あくまでネットワークの論理的分割による通信範囲の制限が主な機能です。
解法ステップ
- VLANの基本機能を理解する(論理的なネットワーク分割)。
- ブロードキャストドメインの概念を確認する。
- VLANによるブロードキャストパケットの到達範囲制限を把握する。
- 選択肢の内容とVLANの機能を照らし合わせる。
- ブロードキャスト制限によるセキュリティ効果を示す選択肢を選ぶ。
選択肢別の誤答解説
- ア: ICMPパケットを全て遮断する機能はVLANにはなく、スイッチが自動的にマルウェア感染リスクを低減するわけではありません。
- イ: 正解。VLANはブロードキャストパケットの範囲を限定し、情報漏洩リスクを減らします。
- ウ: MACアドレスによる接続可否判別はポートセキュリティの機能であり、VLANの基本機能ではありません。
- エ: 物理ポートごとにIPアドレスを割り当てて接続制御する機能はVLANの機能外で、別のアクセス制御技術が必要です。
補足コラム
VLANはVirtual LANの略で、物理的には同じスイッチに接続されていても、論理的に異なるネットワークとして扱う技術です。これにより、ネットワークの管理性やセキュリティが向上し、不要なトラフィックの削減やアクセス制御が容易になります。レイヤ3スイッチではVLAN間ルーティングも可能で、より柔軟なネットワーク設計が可能です。
FAQ
Q: VLANはどの層の技術ですか?
A: VLANはOSI参照モデルのレイヤ2(データリンク層)で動作し、ブロードキャストドメインを分割します。
A: VLANはOSI参照モデルのレイヤ2(データリンク層)で動作し、ブロードキャストドメインを分割します。
Q: VLANで通信できるのはどのような場合ですか?
A: 同じVLANに属するポート間でのみ直接通信が可能で、異なるVLAN間はルータやレイヤ3スイッチのルーティングが必要です。
A: 同じVLANに属するポート間でのみ直接通信が可能で、異なるVLAN間はルータやレイヤ3スイッチのルーティングが必要です。
関連キーワード: VLAN, ブロードキャストドメイン, レイヤ3スイッチ, ネットワークセグメント, セキュリティ, ポートセキュリティ