[情報処理安全確保支援士]スイッチとVLAN[対策講座・例題付き]

2022年8月15日

セキュリティ

今回は情報処理安全確保支援士で問われるスイッチとVLANについて学習します。

ラク
ラク
スイッチと言えばアレしか思い浮かばねぇ・・・!!
トモル
トモル
出たよゲームオタク

スイッチとVLAN

VLANとスイッチ

それでは、スイッチとVLANについて確認していきましょう。

スイッチについて

スイッチは、LANに接続される各ホストの集線装置として設置され、各ホストが発信するパケットのヘッダ情報(主にMACアドレス)に基づいて、適切な接続ポートにパケットを高速送信することで正しい接続先につなぐ役割を果たす装置です。

キュー
キュー
スクランブル交差点の交通整理みたいなもんやな

ブリッヂとの違い

スイッチと似たような仕組みとして、ネットワークセグメントを繋ぐブリッジがあります。具体的な違いは以下の通りです。

POINT
  • 処理方式:ブリッジはソフトウェアを用いて、スイッチはASICと呼ばれるハードウェアを用いる
  • 1台当たりのポート数:ブリッジは数ポートであり、スイッチは数十~数百もありうる
  • フレーム転送方式:ブリッジはストアアンドフォアード方式であり、スイッチはカットアンドスルー方式・フラグメントフリー方式もある
キュー
キュー
それぞれのフレーム転送方式も抑えとこ!
フレーム転送方式 説明 強み 弱み
ストアアンドフォワード方式 フレームを最初に読み込み、チェックを行ってから転送する方式 信頼性が高い 転送速度が遅い
カットアンドスルー方式 まずはフレームの先頭6バイトを読み込み、チェックを行わずに転送する方式 転送速度が速い エラーチェックがないため、信頼性が低い
フラグメントフリー方式 フレームの先頭64バイトを読み込み、衝突して壊れたフレーム(Runtフレーム)を取り除いて転送する方式 ・衝突して壊れたフレームを取り除ける
・信頼性と転送速度のバランスが取れている		 ・壊れたフレーム以外はチェックされない
・処理速度はカットアンドスルー方式より遅い

スイッチの必要性

一般的なバス型LANにおいては、各ホストが1本のケーブルを共同利用していることが多いです。

もしスイッチを導入していないLANでは、接続されたホストが発信するフレームがあて先になくてもLAN上を流れてしまうため、トラフィックが増大するデメリットや通信データが盗聴されるリスクが高まります。

これらの問題点を解決するために、LANを論理的に小さなグループにわけ、実際のあて先に限定してフレームを転送する制御が必要であり、この技術がスイッチに該当します。

レイヤ3(L3)スイッチとは

レイヤ3スイッチは、スイッチにルーティング機能を追加したものです。

スイッチ技術が広く浸透する前は、ルータを用いて基幹ネットワークを構築していました。

しかし、トラフィックが増大するに伴ってルータに負荷が集まってしまい、結果ボトルネックトなってネットワーク全体のスループットが低下するといった問題が発生していました。

また、ルータはソフトウェアによってパケット制御をしているため、ハードウェアでパケットを処理しているスイッチよりも処理速度が高速化しづらいといった問題点もあります。

これらの問題を解決するために、スイッチにルーティング機能を追加して処理を分散することで、ネットワーク全体のスループットを向上させようといった考えが生まれ、レイヤ3スイッチが登場しました。

レイヤ3スイッチはルータよりもはやい速度でルーティング処理が可能となります。

VLAN(Virtual LAN)について

VLAN

VLANとは、スイッチ(スイッチングハブ・レイヤ2スイッチ)に接続されたいくつかのホストをグループに分けることで、仮想的に作り出されたLANのことです。

物理的な接続とは関係なく、スイッチの設定を変更することで自由にグループを作成できるため、Virtual LANと呼ばれています。

ここでのグループは、MACアドレスで直接通信することが可能なホストの集まりで、ブロードキャストドメインとも呼ばれます。

VLANを構築することで、個々のVLANは個別のネットワークとして認識されるため、ブロードキャストフレームも送信されません。

したがって、同一のスイッチに接続されていても、異なるVLANであれば全く別のネットワークとなります。

VLANの間でフレームをやり取りするためには、ルータやレイヤ3スイッチを介さなければなりません。

VLANの構成

VLANを構築する方式を確認していきましょう。

ポートベースVLAN

ポートベースVLANは、スイッチのポート単位に物理的にVLANグループを設定する方式です。

接続するポートによってどのVLANに属するかが決まるため、最も簡単な方式です。

接続すれば誰でもVLANに参加できる可能性があるため、セキュリティ面で問題がある点は押さえておきましょう。

あわせて、接続するポートを変えるとVLANの設定も変える必要があるため、設定変更時に手間が発生する点も押さえておかなければいけません。

アドレスベースVLAN

アドレスベースVLANは、スイッチに接続される各機器に付されたアドレスでVLANグループを設定する方式です。

ノードを識別するためのアドレス情報として、MACアドレスIPアドレスが使われます。

IPアドレスを用いてVLANを構築する場合、レイヤ3スイッチを使用しないといけない点も押さえておきましょう。

アドレスベースVLAN方式では、スイッチのポートとVLANグループの間に関連性がないため、柔軟にネットワークを構築できる点が強みです。

ポリシベースVLAN

ポリシベースVLANでは、ユーザがVLANを構築するポリシを決定し、それに沿ってVLANを構築する方式です。

通信プロトコルごとにVLANを構築するプロトコルベースVLANや、サブネットごとに構築するサブネットベースVLANがあります。

タグVLAN

タグVLAN方式は、パケット内の拡張タグに指定された情報によってVLANを構築する方式で、複数のスイッチにまたがったVLANを構築できます。

タグVLAN方式では、タグ付きのフレームを認識できるスイッチで統一しなければなりません。

スポンサーリンク

スイッチとVLAN・例題

実際に例題を解いて問題に慣れていきましょう。

問題1

VLAN機能をもった1台のレイヤ3スイッチに複数のPCを接続している。スイッチのポートをグループ化して複数のセグメントに分けると,セグメントを分けない場合に比べて,どのようなセキュリティ上の効果が得られるか。(H.27/秋)

ア スイッチが,PCから送出されるICMPパケットを全て遮断するので,PC間のマルウェア感染のリスクを低減できる。
イ スイッチが,PCからのブロードキャストパケットの到達範囲を制限するので,アドレス情報の不要な流出のリスクを低減できる。
ウ スイッチが,PCのMACアドレスから接続可否を判別するので,PCの不正接続のリスクを低減できる。
エ スイッチが,物理ポートごとに,決まったIPアドレスのPC接続だけを許可するので,PCの不正接続のリスクを低減できる。

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問1の正解を表示

問1の解説を表示
VLAN(Virtual LAN)は、スイッチに接続された端末に関して仮想的にグループ化する機能のことです。

VLANにはセグメントの分割を基準にして、いくつかの方式があります。

POINT
  • ポートベースVLAN:スイッチの接続ポート単位でグルーピング
  • アドレスベースVLAN:MACアドレスやIPアドレスを基準にグルーピング
  • ポリシベースVLAN:IP・IPX・AppleTalkなどのネットワークプロトコルごとにグルーピング
  • タグVLAN:パケット内の拡張タグに指定された情報によってグルーピング

通常であれば同じ構成上に接続されているPCは同じブロードキャストドメインに属しますが、VLANを用いれば異なるセグメントとして扱われるため、直接の通信はできません。

このVLANの仕組みによってブロードキャストパケットの到達範囲は同じVLAN内のみに限定され、内部の情報が異なるVLANへ不要な情報が流出することを防げます。

それぞれの選択肢を見てみましょう。

ア スイッチが,PCから送出されるICMPパケットを全て遮断するので,PC間のマルウェア感染のリスクを低減できる。
→ICMPパケットはネットワーク層で動作します。したがって誤りです。

イ スイッチが,PCからのブロードキャストパケットの到達範囲を制限するので,アドレス情報の不要な流出のリスクを低減できる。
→説明の通りです。したがって正解です。

ウ スイッチが,PCのMACアドレスから接続可否を判別するので,PCの不正接続のリスクを低減できる。
→アドレスベースVLANにおけるセキュリティ効果です。したがって誤りです。

エ スイッチが,物理ポートごとに,決まったIPアドレスのPC接続だけを許可するので,PCの不正接続のリスクを低減できる。
→アドレスベースVLANにおけるセキュリティ効果です。したがって誤りです。

問題2

レイヤ2スイッチや無線LANアクセスポイントで接続を許可する仕組みはどれか。(H.21/秋)

ア DHCP
イ Webシングルサインオン
ウ 認証VLAN
エ パーソナルファイアウォール

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問2の正解を表示

問2の解説を表示
認証VLANは、VLANの方式の1つです。

ネットワークの接続前にMACアドレス認証・IDとパスワードでの認証・IEEE 802.1xなどでユーザを認証し、ユーザごとにVLANへ振り分けて端末のグルーピングを行います。

このグルーピングによって接続ポート単位やアドレス単位など、本来グルーピングができない無線アクセスポイントへの接続でもVLANに対応させることが可能です。

それぞれの選択肢を見ていきましょう

ア DHCP
→DHCPはTCP/IPネットワークで、ネットワークに接続するノードへのIPアドレスの割り当てをアドレスプールから自動的に行うプロトコルです。したがって誤りです。

イ Webシングルサインオン
→Webシングルサインオンは、ユーザ認証を1回受ければ許可された複数のWebサイトへのアクセスについて認証する技術です。したがって誤りです。

ウ 認証VLAN
→正解です。

エ パーソナルファイアウォール
→パーソナルファイアウォールは、個々の端末にインストールして利用するファイアウォールです。したがって誤りです。

スイッチとVLAN・まとめ

スイッチとVLANは正しく設定することで、仮想単位で端末のグルーピングができます。

適切に設定することで便利かつセキュリティの面で強固にできます。

トモル
トモル
設定次第でそんな便利になるんだね~
キュー
キュー
逆に設定を間違えるとセキュリティガバガバになるから、その点は注意せんとな!

次回はクラウドコンピューティングについて学習します。

しかくのいろは
[情報処理安全確保支援士]クラウドコンピューティング[対策講座・例題付き]
https://www.sikaku-no-iroha.co.jp/it-qualification/sc/cloud-computing-sc
情報処理安全確保支援士で問われる、クラウドコンピューティングについて解説します。各用語や概要は午後試験でも問われるのでしっかりと学習しておきましょう。

本気で支援士を狙うなら・・・
支援士ゼミがおすすめです!
  • ベテラン講師による手厚いサポート
  • モチベーションを保てるセキュリティコラムが満載!
  • マンツーマン形式で個別相談もできる!

スポンサーリンク







独学講義,情報処理安全確保支援士試験

Posted by 佐野 孝矩