【情報処理安全確保支援士試験 令和3年度 春期 午後1 問3 No.2】
情報処理安全確保支援士試験 令和3年度 春期 午後1 問3
【出典:情報処理安全確保支援士試験 令和3年度 春期 午後1 問3(一部、加工あり)】
[同業他社の事例]
ある日、情シ部のC主任は、同業他社のH社で発生したセキュリティインシデントの解説記事を見付けた。解説記事の要約を図3に示す。
心配になったC主任はログを調査した。その結果、1か月以上起動していないPCが30台あることが分かった。それらのPCをこのまま数か月起動しないでおくと、PC-Hと同様の問題が発生する可能性があった。図3の内容及びG社の状況を情シ部のB部長に相談した上で、必要な対策を図4のようにまとめ、情シ部のD君とともにそれぞれを具体化することにした。
[対策1]
C主任は、対策1については、L2SWのミラーポートに接続するタイプのパケット収集装置を導入し、J社のJサービスを利用して通信内容を分析すればよいと考えた。Jサービスは、インターネットVPN経由でパケット収集装置から必要なパケット情報を取得し、その内容からセキュリティ侵害を検知するサービスである。
C主任は、1台のパケット収集装置を、①マルウェア感染がDMZ又はどのLANで起きてもマルウェアからインターネットへの通信が通過することになるL2SWに接続することに決めた。
下線①のL2SWを、図1中のL2SW1〜L2SW4から選び、答えよ。:L2SW1
「C主任は、1台のパケット収集装置を、①マルウェア感染がDMZ又はどのLANで起きてもマルウェアからインターネットへの通信が通過することになるL2SWに接続することに決めた。」
マルウェア(に感染した機器)からインターネットへの通信が通過するL2SWを探していきます。
図1(G社のシステム構成(概要))を見るとインターネットへの出入口にFWがあり、このFWで通信を制御しているようです。
表1(G社の機器及びソフトウェアの概要(抜粋))からFWの概要を確認すると、「インターネットとの通信を許可しているのはDMZだけである。」とあることから、全ての機器がDMZ経由でインターネットと通信していることが分かります。
したがって、DMZにあるL2SW1にパケット収集装置を接続すればいいことになります。