【ネットワークスペシャリスト試験 令和4年度 春期 午後2 問1 No.1】

ネットワークスペシャリスト試験 令和4年度 春期 午後2 問1

【出典:ネットワークスペシャリスト試験 令和4年度 春期 午後2 問1(一部、加工あり)】

問1 テレワーク環境の導入に関する次の記述を読んで、設問1〜5に答えよ。

 K社は、東京に本社を備える中堅の製造業者である。東京の本社のほかに、大阪の支社、及び関東圏内のデータセンタがある。このたびK社では、テレワーク環境を導入し、K社社員が自宅などをテレワーク拠点として、個人所有のPC(以下、個人PCという)を利用して業務を行う方針を立てた。また、業務の重要性から、ネットワークの冗長化を行うことにした。これらの要件に対応するために、情報システム部のP主任が任命された。K社の現行のネットワーク及び導入予定の機器を図1に示す。

[現行のネットワーク構成]
 図1の概要を次に示す。

  • 本社、支社、データセンタはM社の広域イーサネットで接続されている。
  • サーバセグメントに設置された業務サーバに、社内のPCからアクセスして各種業務を行っている。
  • FWは、社内からインターネットへのアクセスのためにアドレス変換(NAPT)を行っている。
  • FWでDMZを構成し、DMZにはグローバルIPアドレスが割り当てられている。
  • DMZ以外の社内の全てのセグメントは、プライベートIPアドレスが割り当てられている。
  • 経路制御の方式は、OSPFが用いられている。
  • 本社のネットワークアドレスには、172.16.1.0/24を割り当てている。
  • 支社のネットワークアドレスには、172.16.2.0/24を割り当てている。
  • データセンタのネットワークアドレスには、172.17.0.0/16を割り当てている。


[テレワーク環境導入方針]
 P主任は、テレワーク環境構築に当たって、導入方針を次のように定め、技術検討を進めることにした。

  • テレワーク拠点の個人PCには業務上のデータを一切置かない運用とするために、仮想デスクトップ基盤(以下、VDIという)の技術を採用する。
  • データセンタのテレワークサーバセグメントにVDIサーバを導入する。VDIサーバでは、個人ごとの仮想化されたPC(以下、仮想PCという)を稼働させ、個人PCから遠隔で仮想PCを利用可能にする。
  • 個人PCには、仮想PCの画面を操作するソフトウェア(以下、VDIクライアントという)を導入する。
  • 仮想PCから、業務サーバへアクセスして業務を行う。社内のPCからは直接業務サーバへアクセスできるので、社内のPCから仮想PCは利用しない。
  • DMZにSSL-VPN装置を導入して、テレワーク拠点の個人PCからデータセンタのテレワークサーバセグメントへのアクセスを実現する。
  • 情報セキュリティの観点から、SSL-VPNアクセスのための認証は、個人ごとに事前に発行したクライアント証明書を用いて行う。
  • SSL-VPN装置は、個人PCからの接続時の認証に応じて適切な仮想PCを特定する。そして、個人PCからその仮想PCへのVDIの通信を中継する。このような機能をもつSSL-VPN装置を選定する。
  • テレワークを行う利用者は最大200人とする。


[SSL-VPN技術調査とテレワーク環境への適用]
 P主任は、テレワーク拠点からインターネットを介した車内へのアクセスを想定して、SSL-VPNの技術について調査を行い、結果を次のようにまとめた。

  • SSL-VPNは、TLSプロトコルを利用したVPN技術である。
  • TLSプロトコルは、HTTPS(HTTP over TLS)通信で用いられる暗号化プロトコルであり、インターネットのような公開ネットワーク上などで安全な通信を可能にする。
  • TLSプロトコルのセキュリティ機能は、暗号化、通信相手の認証、及び()である。
  • SSL-VPNは、リバースプロキシ方式、ポートフォワーディング方式、()方式の3方式がある。
  • リバースプロキシ方式のSSL-VPNは、インターネットからアクセスできない社内のWebアプリケーションへのアクセスを可能にする。
  • ポートフォワーディング方式のSSL-VPNは、社内のノードに対してTCP又はUDPの任意の()へのアクセスを可能にする。
  • )方式のSSL-VPNは、動的にポート番号が変わるアプリケーションプログラムでも社内のノードへのアクセスを可能にする。
  • リバースプロキシ方式以外のSSL-VPNを利用するためには、SSL-VPN接続を開始するテレワーク拠点のPCに、SSL-VPN接続を行うためのクライアントソフトウェアモジュール(以下、SSL-VPNクライアントという)が必要である。
  • TLSプロトコルは、複数のバージョンが存在するが、TLS1.3はTLS1.2よりも安全性が高められている。一例を挙げると、TLS1.3ではAEAD(Authenticated Encryption with Associated Data)暗号利用モードの利用が必須となっており、①セキュリティに関する二つの処理が同時に行われる
  • TLSプロトコルで用いられる電子証明書の形式は、X.509によって定められている。
  • 認証局(以下、CAという)によって発行された電子証明書には、②証明対象を識別する情報、有効期限、()鍵、シリアル番号、CAのデジタル署名といった情報が含まれる。


 P主任は、SSL-VPNの技術調査結果を踏まえ、テレワーク環境への適用を次のとおり定めた。

  • SSL-VPNクライアント、クライアント証明書、及びVDIクライアントを、あらかじめ個人PCに導入する。
  • SSL-VPN装置へのアクセスポートは、TCPの443番ポートとする。
  • SSL-VPN装置で利用するTLSプロトコルのバージョンは、TLS1.3を用い、それ以外のバージョンが使われないようにする。
  • 仮想PCへのアクセスのプロトコルはRDPとし、TCPの3389番ポートを利用する。
  • SSL-VPN装置がRDPだけで利用されることを踏まえ、SSL-VPNの接続方式は()方式とする。

ア:改ざん検知

TLSプロトコルのセキュリティ機能は、暗号化、通信相手の認証、及び()である。
 TLSでは、最初にクライアントとサーバ間でのTLSハンドシェイクにより、セキュリティに関して以下の機能を実現します。

  • 暗号化:共通鍵暗号方式による暗号化通信を行う。暗号方式にはAESなどがある。
  • 認証:証明書によりサーバ認証、クライアント認証を行う。
  • 改ざん検知:パケットにハッシュ値を付加することで改ざん検知を行う。


 知識問題ですが、解らない場合は、セキュリティの3要素「機密性」「完全性」「可用性」の観点で捉えるといいかもしれません。
 「機密性」は暗号化や認証に該当するので、残りの「完全性」「可用性」について考えます。
 「完全性」はデータの正確さ及び完全さの特性ですので、通信途中で改ざんされていることを検知する機能になります。

イ:L2フォワーディング

SSL-VPNは、リバースプロキシ方式、ポートフォワーディング方式、()方式の3方式がある。
 知識問題で、SSL-VPNは、リバースプロキシ方式、ポートフォワーディング方式、L2フォワーディング方式の3方式があることを覚えましょう。

  • リバースプロキシ方式:クライアントからSSL-VPN装置にHTTPS(ポート番号:443)でアクセスし、認証が許可されると、社内のWebアプリケーション(ポート番号:80又は443)にアクセスできる。
  • ポートフォワーディング方式:SSL-VPNクライアントとSSL-VPN装置間でHTTPS(ポート番号:443)で通信経路を確立したのち、その中で各種アプリケーションにアクセスできる。
  • L2フォワーディング方式:SSL-VPNクライアントとSSL-VPN装置間でトンネルを確立し、その中でレイヤ2の通信を行う。SSL-VPNクライアントには仮想IPアドレスが割り振られる。

ウ:ポート

ポートフォワーディング方式のSSL-VPNは、社内のノードに対してTCP又はUDPの任意の()へのアクセスを可能にする。
 前問のとおり、ポートフォワーディング方式ではTCP又はUDPの任意のポートへのアクセスを可能にします。

下線①について、同時に行われる二つのセキュリティ処理を答えよ。:暗号化、メッセージ認証

一例を挙げると、TLS1.3ではAEAD(Authenticated Encryption with Associated Data)暗号利用モードの利用が必須となっており、①セキュリティに関する二つの処理が同時に行われる
 AEADの和訳「認証付き暗号」から想像つくかもしれません。
 認証についてはクライアントやサーバの認証ではなく、メッセージが改ざんされていないことを検証するメッセージ認証になります。

下線②について、電子証明書において識別用情報を示すフィールドは何か。フィールド名を答えよ。:Subject、エ:公開

認証局(以下、CAという)によって発行された電子証明書には、②証明対象を識別する情報、有効期限、()鍵、シリアル番号、CAのデジタル署名といった情報が含まれる。
 直前の記述「TLSプロトコルで用いられる電子証明書の形式は、X.509によって定められている。」にある、X.509について確認しましょう。
 X.509は電子証明書のITU-T規格で、主なフィールドには以下のようなものがあります。

  • serialNumber(シリアル番号):CA内で識別するための番号
  • issure(発行者):証明書を発行したCA
  • validity(有効期限):証明書の有効期限
  • subject(主体者):公開鍵を識別する情報。subjectフィールド中のCN(Common Name)が証明対象を識別する情報となる。
  • subjectAltName(別名):主体者の別名
  • subjectPublicKeyInfo(公開鍵):主体者の公開鍵

オ:ポートフォワーディング

SSL-VPN装置がRDPだけで利用されることを踏まえ、SSL-VPNの接続方式は()方式とする。

 リバースプロキシ方式、ポートフォワーディング方式、L2フォワーディング方式の中から、今回採用する方式を確認します。
 RDP(ポート番号:TCP 3389番)を利用することから、ポートフォワーディング方式かL2フォワーディング方式になります。
 RDPだけで利用されることから、L2フォワーディング方式までは不要であり、ポートフォワーディング方式が最適でしょう。