情報セキュリティ

基本情報技術者試験ネットワークセグメンテーション」の問題

情報セキュリティ情報セキュリティ難易度:normal
I社の工場では、製造を制御する制御系機器と、従業員が使う事務系PCが同一のネットワークに混在している。事務系PCがマルウェアに感染した場合でも、製造を止めないため制御系への影響を抑えたい。ネットワーク構成上の対策として最も適切なものはどれか。
制御系と事務系を別セグメントへ切り分け、両者をまたぐ通信を限定された用途だけに許可する。
両者を同一セグメントに残したまま、各機器のOSを最新へ更新し脆弱性の総数を減らす。
制御系機器の管理画面のログインパスワードを長く複雑な文字列へ変更する。
事務系PCのデータを日次で複製し、感染後に業務データを取り戻せるようにする。
正解
制御系と事務系を別セグメントへ切り分け、両者をまたぐ通信を限定された用途だけに許可する。

制御系と事務系を別セグメントへ切り分け、両者をまたぐ通信を限定用途だけに許可すると、事務系で起きた感染が制御系へ自由に横展開する経路が構成上ふさがれる。これにより製造の継続性を保ったまま被害を局所化できる。

?選択肢ごとの解説

ア ○制御系と事務系を別セグメントへ切り分け、両者をまたぐ通信を限定用途だけに許可すると、事務系で起きた感染が制御系へ自由に横展開する経路が構成上ふさがれる。これにより製造の継続性を保ったまま被害を局所化できる。
イ ×OS更新は各機器の脆弱性を減らすが、同一セグメントのままでは感染端末から制御系へ通信が届くため、横展開の経路を構成上は遮断できない。
ウ ×管理画面のパスワード強化は認証突破には有効でも、同一ネットワーク内での感染拡大そのものを止める分離策にはならない。
エ ×データの日次複製は事務系データの復旧策であり、制御系への感染波及を防いで製造を止めない目的には直接寄与しない。

くわしく

ネットワークセグメンテーションは『信頼レベルや用途の異なる領域を分け、相互通信を制御して被害を局所化する』設計手法である。特に可用性が最重要な制御系(OT)は事務系(IT)から分離し、境界で通信を絞るIT/OT分離が定石である。

本番での押さえどころ

試験のコツ

『感染を他領域へ広げない/重要系を守る』はセグメント分割+通信最小化。端末単体の強化では横展開を止められない。

覚え方

セグメント分割は『火災区画(防火扉)』。一区画が燃えても扉で仕切り、他へ燃え移らせない。

よくある誤り

OS更新やパスワード強化といった端末単体の強化を選びがちだが、同一セグメントに同居している限り横展開は止まらない。分離が要である。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0093

【基本情報技術者試験】ネットワークセグメンテーションの問題 — 解答・解説|ukamiru 過去問