問題

間9 検疫ネットワークに関する次の記述を読んで、設問1~3に答えよ。

 W社は、食品の製造と販売を営む中堅の会社である。W社には営業部と製造部があり、それぞれの部の各社員にノートPC(以下、PCという)が1台ずつ配布されている。社員は、配布されたPCをW社社内ネットワーク(以下、社内ネットワークという)に接続して利用している。社内ネットワークでは、情報セキュリティ強化のための施策の一環として、IEEE 802.1x方式による認証VLANを用いた検疫ネットワークシステム(以下、検疫システムという)を導入している。

 検疫システムは、セキュリティ対策の検査を行い、セキュリティ対策が不十分な端末を社内ネットワークに接続させず、隔離したり、必要なセキュリティ対策を施したりする機能をもつ。

 社内ネットワークの構成は、図のとおりである。各種サーバ、レイヤ2スイッチ(L2SW)、レイヤ3スイッチ(L3SW)、ファイアウォール(FW)、ルータなどから構成される。設定されたVLAN一覧を表1に、サーバ一覧を表2に、ディレクトリサーバ上に格納されているユーザ情報(一部)を表3にそれぞれ示す。

[認証と検疫の処理の流れ]

(1)所属VLANが設定されていない営業部工リアや製造部工リアのPCは、それぞれのエリア内のL2SWの空きポートに接続されると、L2SWやL3SWを介して、(  a  )サーバと限定的に通信し、端末認証を受ける。

 PCから送られたユーザ名などの認証情報を(  a  )サーバが受信すると、(  a  )サーバは、ユーザ情報を(  b  )サーバに問い合わせ、ユーザ認証を行う。

 ユーザ認証が(  c  )したPCは、引き続き、VLANが設定されないままとなる。

(2)ユーザ認証が(  d  )したPCの所属VLANを、検疫エリアに配置されたサーバと同じく(  e  )に設定して、そのPCを隔離する。ここでは、所属VLANは、L2SWのポートごとに一つだけ設定される。

(3)PCでは、検疫サーバによって、セキュリティパッチが適用されているかどうか、ウイルスワクチンのパターンファイルが最新かどうか、スクリーンセーバなどの各種設定状況が適切かどうかを調べる検査が行われる。この検査が不合格となったPCは、検査が合格となるまで、この(  e  )に隔離され、検疫サーバによって、必要なセキュリティパッチの適用や各種設定の変更が強制的に行われる。さらにウイルス対策サーバによって、ウイルスチェックが行われる。

(4)検査が合格となったPCは、(  b  )サーバに登録された所属VLAN IDに従い、検疫システムによって、所属するVLANが割り当てられる。

 例えば、ユーザ名がCCCの場合、(  f  )サーバと同じVLANである(  g  )が割り当てられる。

(5)所属するVLANを割り当てられたPCが、(  h  )サーバにIPアドレスを要求すると、(  h  )サーバは、VLAN IDに応じたIPアドレスを動的に割り当てる。

 IPアドレスが割り当てられたPCは、社内ネットワークを利用することができる。