情報処理安全確保支援士試験 令和3年度 春期 午後1 問3
【出典:情報処理安全確保支援士試験 令和3年度 春期 午後1 問3(一部、加工あり)】
[対策2]
次は、対策2についてのD君、C主任及びB部長の会話である。
D君:1か月間起動していないPCを自動的に起動して、セキュリティパッチが適用されるようにすれば図3のようなセキュリティインシデントを防ぐことができます。良い仕組みはありませんか。
C主任:当社のPCは、WoLに対応しています。WoLとは、WoLに対応したPCに対し、特定の起動パケットを送信すると、当該PCが起動するという仕組みです。PCを利用者LANに接続しておけば、資産管理サーバから起動パケットを送信することによって、PCを自動的に起動できます。
B部長:なるほど。では、WoLとセキュリティパッチ適用の動作検証を頼む。
D君は、WoLの動作検証を開始した。まず、検証LANに接続されたPC-XとPC-Yを用いて試すことにした。PC-Xは起動しておき、PC-Yはシャットダウンしておいた。その上で、PC-XからPC-Yに対し、(b)に続けて、起動したいPCの(c)を16回繰り返したデータを含む起動パケットを送信し、PC-Yが起動することを確認した。その後、資産管理サーバからPC-Yの起動を試みたが、起動しなかった。C主任に相談したところ、②L3SWの設定を変更する必要があるという助言を受けた。D君は、L3SWの設定を変更し、資産管理サーバからPC-Yを起動できることを確認した。続いて、資産管理サーバから利用者LANに接続されたPCを起動できることを確認し、セキュリティパッチが適用されることも確認した。
b:FF:FF:FF:FF:FF:FF、c:MACアドレス
「その上で、PC-XからPC-Yに対し、(b)に続けて、起動したいPCの(c)を16回繰り返したデータを含む起動パケットを送信し、PC-Yが起動することを確認した。」
WoLの動作については、問題文に説明されているところがないため知識問題となります。
WoLによるPCの起動方式としては、起動パケットとしてマジックパケットと呼ばれる特殊なイーサネットフレームを用います。
マジックパケットは、ブロードキャストアドレス「FF:FF:FF:FF:FF:FF」に続けて、起動したいPCのMACアドレスを16回続けたデータで構成されます。
下線②に示す設定変更の内容を、30字以内で具体的に述べよ。:起動パケットを他のセグメントに転送するように変更する。
「その後、資産管理サーバからPC-Yの起動を試みたが、起動しなかった。C主任に相談したところ、②L3SWの設定を変更する必要があるという助言を受けた。」
検証LAN内でのPC-XからPC-YへのWoL動作はできましたが、資産管理サーバからPC-YへのWoL動作はできていません。
マジックパケットはブロードキャストアドレスを含むフレームであることから、同一LANであるかどうかが関連しているようです。
資産管理サーバは図1(G社のシステム構成(概要))によると内部システムLANに所属しており、PC-Yの検証LANとはL3SWを介して通信することになります。
L3SWではブロードキャストアドレスをLAN間で通信させないので、WoLのマジックパケット(起動パケット)を他のLAN(セグメント)に転送するように変更する必要があります。