目次
問題文
VLAN機能をもった1台のレイヤー3スイッチに40台のPCを接続している。スイッチのポートをグループ化して複数のセグメントに分けたとき,スイッチのポートをセグメントに分けない場合に比べて得られるセキュリティ上の効果の一つはどれか。
ア スイッチが,PCから送出されるICMPパケットを同一セグメント内も含め,全て遮断するので,PC間のマルウェア感染のリスクを低減できる。
イ スイッチが,PCからのブロードキャストパケットの到達範囲を制限するので,アドレス情報の不要な流出のリスクを低減できる。
ウ スイッチが,PCのMACアドレスから接続可否を判別するので,PCの不正接続のリスクを低減できる。
エ スイッチが,物理ポートごとに,決まったIPアドレスをもつPCの接続だけを許可するので,PCの不正接続のリスクを低減できる。
解説
解答
イ
この問題は VLANを使うことによるセキュリティ効果 を問う内容です。
ア:ICMPパケットを全て遮断する
VLANを構成しても、ICMPパケットそのものを遮断する機能はありません。
VLANはネットワークの論理的な分割に関する仕組みであり、プロトコル単位での通信遮断はファイアウォールやACL(アクセス制御リスト)の役割です。
したがってこれは誤りです。
イ:ブロードキャストパケットの到達範囲を制限する
これが正解です。
VLANを設定すると、同じスイッチ内でも 異なるVLANに属する端末同士はレイヤ2レベルでは通信できません。
特に、ARPやDHCPなどのブロードキャストがセグメントをまたいで届かなくなるため、アドレス情報や通信内容が不必要に広がるのを防げます。
結果として、情報漏えいやマルウェア感染の広がりを抑える効果が得られます。
ウ:MACアドレスで接続可否を判別する
これは ポートセキュリティ機能 の説明です。
VLANにはこのような認証機能はありません。
VLANはあくまで論理的なネットワーク分割であり、端末の正当性チェックは別機能です。
エ:ポートごとに特定のIPアドレスだけを許可する
これは IPアドレスとポートの静的割り当て の説明に近く、DHCPスヌーピングや802.1X認証など別の仕組みで実現します。
VLAN単独ではこのような制御は行いません。
