情報セキュリティ対策の強化【情報処理安全確保支援士試験 平成30年度 秋期 午後1 問2 No.1】
情報処理安全確保支援士試験 平成30年度 秋期 午後1 問2 No.1
【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後1問2】
問2 セキュリティインシデント対応に関する次の記述を読んで、設問1〜4に答えよ。
G社は、従業員数1,200名の製造業者であり、本社と四つの工場がある。工場には、無線LANアクセスポイント (以下、APという)を導入している。本社及び各工場には、レイヤ3スイッチ(以下、L3SWという)及び、ネットワークセキュリティモニタリング(以下、NSMという)のセンサが設置されている。NSMセンサには、シグネチャ型のIDS機能に加えて、ネットワークフロー情報(以下、NF情報という)を記録する機能がある。NF情報は、流れている全てのパケットについて、ヘッダ情報を参照し、”コネクション開始日時、送信元IPアドレス、宛先IPアドレス、送信元ポート、宛先ポート、プロトコル、コネクションステータス、コネクション時間、送信バイト数、受信バイト数”をコネクション単位でレコード化したものである。NF情報は、NSMセンサから管理ネットワークを通じてNSM管理サーバに送信され、統合管理されている。G社のネットワーク構成を図1に示す。
L3SWには、スイッチの特定の物理ポートを流れるパケットを、ミラーポートという別の物理ポートにミラーリングする機能があり、ネットワーク障害発生時にパケットを取得する用途でも使われている。L3SWでは、FWに接続している1Gビット/秒(以下、ビット/秒をbpsという)の物理ポートを流れるインとアウトのパケットを、NSMセンサに接続している10Gbpsのミラーポートにミラーリングしている。ミラーポートに流れる通信量は、全二重1Gbpsの1ポートの送受信をミラーリングする場合、最大(a:2G)bpsとなる。L3SW及びL2SWは、VLANをサポートしている機器であるが、G社ではVLANの設定はしていない。VLANを設定する場合、L3SWでは、IEEE802.1Qの(b:VLANタグ)を付与した状態でミラーリングできるので、障害が発生しているVLANを識別できる。ミラーポートを使用せずにパケットを取得する方法として、ネットワーク(c:タップ)を使用する方法もある。
a:2G
全二重1Gbpsとは、送信、受信それぞれで同時に1Gbpsで行える通信方式です。したがって、ミラーポートに流れる最大通信量は送受信の合計の2Gbpsとなります。
b:VLANタグ
IEEE802.1Qでは、各VLANにIDを割り当て、これをフレーム内に格納して識別するVLANタギングを規定しています。格納されるVLAN-IDをVLANタグといいます。
c:タップ
ネットワークタップとは、物理的にネットワークに導入してパケットを取り出すための専用装置です。