応用情報技術者試験 令和5年春 午前問45 解説付き過去問
問題
次に示すような組織の業務環境において、特定のIPセグメントのIPアドレスを幹部のPCに動的に割り当て、一部のサーバへのアクセスをそのIPセグメントからだけ許可することによって、幹部のPCだけが当該サーバにアクセスできるようにしたい。
利用するセキュリティ技術として、適切なものはどれか。
[組織の業務環境]
[組織の業務環境]
- 業務ではサーバにアクセスする。 サーバは、組織の内部ネットワークからだけアクセスできる。
- 幹部及び一般従業員は同一フロアで業務を行っており、日によって席が異なるフリーアドレス制を取っている。
- 各席には有線LANポートが設置されており、PCを接続して組織の内部ネットワークに接続する。
- ネットワークスイッチ1台に全てのPCとサーバが接続される。
正解
解説
この問題は、ユーザの接続場所や端末に関わらず、特定のユーザ(幹部)に対して特定のIPアドレス帯を動的に割り当て、アクセス制御を行うためのセキュリティ技術に関する知識を問うものです。
- フリーアドレス制の環境における課題
幹部と一般従業員が同じフロアで日々異なる席を使うフリーアドレス制の環境では、物理的な接続ポートによるユーザ識別や制御が困難です。
したがって、PCがどのポートから接続されたかに依存せず、ユーザごとにネットワークアクセスを制御できる仕組みが必要です。 - 認証VLANの特徴と適用
認証VLAN(IEEE 802.1X)では、PCをLANに接続した際にユーザ認証を行い、認証結果に基づいてアクセス可能なVLAN(仮想LAN)を割り当てます。
これにより、幹部がどの席から接続しても、認証後に自動的に幹部用VLANに接続され、特定のIPセグメントからの通信が実現できます。
この仕組みによって、幹部専用のサーバに対し、幹部用VLAN経由でのみアクセスを許可するといった柔軟なアクセス制御が可能になります。 - 他の選択肢との比較
IDSは不正アクセスの検知を目的としたシステムであり、アクセス制御には直接関与しません。
IPマスカレードはプライベートIPをグローバルIPに変換するNAT技術であり、本問の要件とは無関係です。
スタティックVLANはポート固定でVLANを割り当てる方式であり、ユーザが日々席を移動する本問の環境には適していません。
したがって、幹部のPCに対して動的に特定のIPセグメントを割り当ててアクセス制御を実現するためには、認証VLANが適切です。