情報セキュリティ対策の強化【情報処理安全確保支援士試験平成30年度秋期午後1 問2 No.1】

情報処理安全確保支援士試験平成30年度秋期午後1 問2 No.1

問2　セキュリティインシデント対応に関する次の記述を読んで、設問1〜4に答えよ。

　G社は、従業員数1,200名の製造業者であり、本社と四つの工場がある。工場には、無線LANアクセスポイント（以下、APという）を導入している。本社及び各工場には、レイヤ3スイッチ（以下、L3SWという）及び、ネットワークセキュリティモニタリング（以下、NSMという）のセンサが設置されている。NSMセンサには、シグネチャ型のIDS機能に加えて、ネットワークフロー情報（以下、NF情報という）を記録する機能がある。NF情報は、流れている全てのパケットについて、ヘッダ情報を参照し、”コネクション開始日時、送信元IPアドレス、宛先IPアドレス、送信元ポート、宛先ポート、プロトコル、コネクションステータス、コネクション時間、送信バイト数、受信バイト数”をコネクション単位でレコード化したものである。NF情報は、NSMセンサから管理ネットワークを通じてNSM管理サーバに送信され、統合管理されている。G社のネットワーク構成を図1に示す。

　L3SWには、スイッチの特定の物理ポートを流れるパケットを、ミラーポートという別の物理ポートにミラーリングする機能があり、ネットワーク障害発生時にパケットを取得する用途でも使われている。L3SWでは、FWに接続している1Gビット/秒（以下、ビット/秒をbpsという）の物理ポートを流れるインとアウトのパケットを、NSMセンサに接続している10Gbpsのミラーポートにミラーリングしている。ミラーポートに流れる通信量は、全二重1Gbpsの1ポートの送受信をミラーリングする場合、最大（a：2G）bpsとなる。L3SW及びL2SWは、VLANをサポートしている機器であるが、G社ではVLANの設定はしていない。VLANを設定する場合、L3SWでは、IEEE802.1Qの（b：VLANタグ）を付与した状態でミラーリングできるので、障害が発生しているVLANを識別できる。ミラーポートを使用せずにパケットを取得する方法として、ネットワーク（c：タップ）を使用する方法もある。