応用情報技術者試験 令和6年秋 午前問45 解説付き過去問
問題
VLAN機能をもった1台のレイヤー3スイッチに40台のPCを接続している。
スイッチのポートをグループ化して複数のセグメントに分けたとき、スイッチのポートをセグメントに分けない場合に比べて得られるセキュリティ上の効果の一つはどれか。
正解
解説
VLAN(Virtual LAN)は、スイッチのポートを論理的にグループ化し、異なるセグメントとして通信を分離する技術である。VLANを使用することで、異なるVLANに属する端末同士は直接通信できなくなるため、セキュリティ面でのメリットがある。
各選択肢について説明する。
各選択肢について説明する。
- スイッチが、PCから送出されるICMPパケットを同一セグメント内も含め、全て遮断するので、PC間のマルウェア感染のリスクを低減できる
ICMP(Internet Control Message Protocol)は、ネットワーク診断やエラーメッセージの通知に用いられるプロトコルであり、VLANの設定によってすべてのICMPパケットが遮断されるわけではない。そのため、この記述は誤りである。 - スイッチが、PCからのブロードキャストパケットの到達範囲を制限するので、アドレス情報の不要な流出のリスクを低減できる
VLANを設定すると、各VLAN内のブロードキャストトラフィックは他のVLANには到達しなくなる。これにより、アドレス情報が不要に広がるリスクを低減できる。これはVLANによる主なセキュリティ上の利点であり、正しい記述である。 - スイッチが、PCのMACアドレスから接続可否を判別するので、PCの不正接続のリスクを低減できる
VLAN自体には、PCのMACアドレスを識別して接続を制限する機能はない。MACアドレスによる接続制限は、ポートセキュリティ機能などの別の技術によって実現されるものであるため、この記述は誤りである。 - スイッチが、物理ポートごとに、決まったIPアドレスをもつPCの接続だけを許可するので、PCの不正接続のリスクを低減できる
VLANはポート単位で設定できるが、IPアドレスによる接続制限機能はVLANの標準的な機能ではない。IPアドレスに基づいた制限は、ファイアウォールやアクセス制御リスト(ACL)を用いることで実現するため、この記述は誤りである。