AP過去問 令和6年度秋期 午前 問45
問45(問題文)
VLAN機能をもった1台のレイヤー3スイッチに40台のPCを接続している。スイッチをグループ化して複数のセグメントに分けたとき、スイッチのポートをセグメントに分けない場合に比べて得られるセキュリティ上の効果の一つはどれか。
ア スイッチが、PCから送出されるICMPパケットを同一セグメント内も含め、全て遮断するので、PC間のマルウェア感染のリスクを低減できる。
イ スイッチが、PCからブロードキャストパケットの到達範囲を制限するので、アドレス情報の不要な流出のリスクを低減できる。
ウ スイッチが、PCのMACアドレスから接続可否を判別するので、PCの不正接続のリスクを低減できる。
エ スイッチが物理ポートごとに、決まったIPアドレスをもつPCの接続だけを許可するので、PCの不正接続のリスクを低減できる。
回答・解説
VLAN(Virtual LAN)を利用してスイッチのポートをセグメントに分けると、ネットワークが複数の論理的なサブネットに分割されます。これにより、以下のようなセキュリティ上の効果が得られます。
アは間違いです。ICMPパケットを全て遮断してPC間のマルウェア感染リスクを低減。これはICMP(Internet Control Message Protocol)パケットを遮断することでセキュリティを高めるという説明です。間違いの理由: VLANの機能はネットワークの論理分割であり、特定のプロトコル(ICMP)を遮断する役割はありません。ICMPの遮断はスイッチやファイアウォールのフィルタリング設定によるもので、VLANそのものとは無関係です。
イは正しいです。ブロードキャストパケットの到達範囲を制限してリスクを低減。VLANはブロードキャストドメイン(ブロードキャストが届く範囲)を分割します。正解の理由: VLANによってセグメントが分割されることで、ブロードキャストパケットの到達範囲が制限されます。この結果、ネットワーク上の不要な情報(アドレス情報やトラフィック)が他のセグメントに漏れるリスクを低減できます。
ウは間違いです。MACアドレスで接続可否を判別して不正接続を低減。これはスイッチがPCのMACアドレスを基に接続可否を判定するという説明です。間違いの理由: VLANには、MACアドレスベースで接続可否を判断する機能はありません。それはポートセキュリティ機能などの役割です。
エは間違いです。ポートごとに特定のIPアドレスのPC接続を許可。これは物理ポートとIPアドレスを固定することでセキュリティを高めるという説明です。間違いの理由: VLANそのものには、ポートとIPアドレスの紐付けや接続制限の機能はありません。このような制御は、DHCPスヌーピングやIPソースガードといった別の機能で行います。
したがって
イ
が答えです。