基本情報技術者試験「ネットワークセグメンテーション」の問題
I社の工場では、製造を制御する制御系機器と、従業員が使う事務系PCが同一のネットワークに混在している。事務系PCがマルウェアに感染した場合でも、製造を止めないため制御系への影響を抑えたい。ネットワーク構成上の対策として最も適切なものはどれか。
ア制御系と事務系を別セグメントへ切り分け、両者をまたぐ通信を限定された用途だけに許可する。
イ両者を同一セグメントに残したまま、各機器のOSを最新へ更新し脆弱性の総数を減らす。
ウ制御系機器の管理画面のログインパスワードを長く複雑な文字列へ変更する。
エ事務系PCのデータを日次で複製し、感染後に業務データを取り戻せるようにする。
正解
ア.制御系と事務系を別セグメントへ切り分け、両者をまたぐ通信を限定された用途だけに許可する。
制御系と事務系を別セグメントへ切り分け、両者をまたぐ通信を限定用途だけに許可すると、事務系で起きた感染が制御系へ自由に横展開する経路が構成上ふさがれる。これにより製造の継続性を保ったまま被害を局所化できる。
?選択肢ごとの解説
ア ○制御系と事務系を別セグメントへ切り分け、両者をまたぐ通信を限定用途だけに許可すると、事務系で起きた感染が制御系へ自由に横展開する経路が構成上ふさがれる。これにより製造の継続性を保ったまま被害を局所化できる。
イ ×OS更新は各機器の脆弱性を減らすが、同一セグメントのままでは感染端末から制御系へ通信が届くため、横展開の経路を構成上は遮断できない。
ウ ×管理画面のパスワード強化は認証突破には有効でも、同一ネットワーク内での感染拡大そのものを止める分離策にはならない。
エ ×データの日次複製は事務系データの復旧策であり、制御系への感染波及を防いで製造を止めない目的には直接寄与しない。
✎くわしく
ネットワークセグメンテーションは『信頼レベルや用途の異なる領域を分け、相互通信を制御して被害を局所化する』設計手法である。特に可用性が最重要な制御系(OT)は事務系(IT)から分離し、境界で通信を絞るIT/OT分離が定石である。
✓本番での押さえどころ
試験のコツ
『感染を他領域へ広げない/重要系を守る』はセグメント分割+通信最小化。端末単体の強化では横展開を止められない。
覚え方
セグメント分割は『火災区画(防火扉)』。一区画が燃えても扉で仕切り、他へ燃え移らせない。
よくある誤り
OS更新やパスワード強化といった端末単体の強化を選びがちだが、同一セグメントに同居している限り横展開は止まらない。分離が要である。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0093