Webシステムの構成変更【応用情報技術者試験 平成30年度 春期 午後 問5(ネットワーク)】
応用情報技術者試験 平成30年度 春期 午後 問5(ネットワーク)
問5 Webシステムの構成変更に関する次の記述を読んで、設問1〜3に答えよ。
A社は、従業員が300名の情報機器卸売会社であり、250社の販売会社と販売代理店契約を結んでいる。A社では、DMZに設置したWebサーバで代理店向けのWebサイトを運営している。Webサイトでは、商品情報の閲覧、見積書作成、問合せ対応などを行う代理店支援システムを稼働させている。インターネット接続には、ISPのB社のサービスを利用している。A社の現在のネットワーク構成を図1に示す。
Webサイトは開設から3年が経過し、アクセス数が初年度の5倍に増加した。Webサイトの利用拡大に伴い、システム停止が商品販売に大きな影響を及ぼすようになった。そこで、A社では、Webシステムの処理能力、可用性及びセキュリティを高める目的で、Webシステムの構成変更を行うことを決めた。
情報システム部のM課長は、まず、Webシステムの処理能力と可用性の向上策の立案を、部下のN主任に指示した。
【Webシステムの処理能力と可用性の向上策の検討】
N主任は、Webサーバ及びDNSサーバそれぞれの処理能力と可用性を向上させる冗長化構成を検討した。
Webサーバの冗長化には、Webサーバを2台構成にし、DNSの機能であるDNS(a:ラウンドロビン)によって負荷分散する方式があるが、可用性向上策としては十分でない。そこで、負荷分散装置を利用してWebサーバを冗長化することにした。負荷分散装置自体は、アクティブ/スタンバイ方式で冗長化する。
a:ラウンドロビン
DNSでのWebサーバの負荷分散方式は、DNSラウンドロビンといいます。
同じホスト名に複数のAレコードを設定することで実現します。
- www IN A x.x.x.1
- www IN A x.x.x.2
- www IN A x.x.x.3
DNSではサーバの状態に関わらず単純に分配するため、可用性向上策にはならない。
A社のドメイン(example.co.jp)の情報(以下、ゾーン情報という)を管理するDNSサーバの冗長化は、B社が提供するDNSサービスを利用して実現する。A社のDNSサーバ(ns.example.co.jp)をマスタDNSサーバにし、B社のDNSサーバ(以下、B社DNSサーバという)(ns-asha.example1.ne.jp)をスレーブDNSサーバにする場合、A社又はB社が実施する作業を次に示す。
・A社のドメインを管理するDNSサーバとして、B社DNSサーバのFQDNと(b:IPアドレス)を、JPドメイン名の登録管理事業者に登録申請する。
b:IPアドレス
独自にDNSサーバを使用するには、ドメインの登録管理事業者(レジストラ)にFQDNとIPアドレスを登録申請する必要があります。
・A社のDNSサーバのゾーン情報にNSレコードを追加して、スレーブDNSサーバのFQDNを設定する。
・ゾーン情報の設定・変更作業を一度で済ませるために、A社のDNSサーバのゾーン情報を、(c:スレーブ)DNSサーバへ転送させるのに必要な情報を設定する。
c:スレーブ
ゾーン情報とは、名前解決するために必要な情報のことです。
DNSサーバをマスタ、スレーブのように複数で構成する場合には、定期的にゾーン情報を同期させる必要があります。
したがって、A社のDNSサーバのゾーン情報をスレーブDNSサーバへ転送させるための設定が必要です。
【Webシステム変更後の構成】
N主任が考えた、Webシステム変更後の構成を図2に、そのときの、マスタDNSサーバのゾーン情報の内容を図3に示す。
d:ns-asha.example1.ne.jp
NSレコードは、ドメインのゾーン情報を管理するDNSサーバのホスト名を設定するものです。
1行目にマスタDNSサーバである「ns.example.co.jp」が設定されています。
2行目にはスレーブDNSサーバである「ns-asha.example1.ne.jp」を設定します。
e:200.α.β.1
Aレコードは、ドメインのホスト名に対応するIPアドレスを設定するものです。
マスタDNSサーバのゾーン情報において、ドメインは「example.co.jp」であり、ホスト名に該当する「ns.example.co.jp」は、マスタDNSサーバになります。
マスタDNSサーバのIPアドレスは、「200.α.β.1」になります。
f:200.α.β.4
ホスト名の「w3」は、図1からWebサーバであり、変更後は負荷分散装置になります。
したがって、負荷分散装置のIPアドレスである「200.α.β.4」になります。
N主任が検討結果をM課長に報告したときの、2人の会話の一部を次に示す。
N主任:Webシステムを図2の構成に変更します。Webシステム変更後のマスタDNSサーバのゾーン情報の内容は、図3のとおりになります。図3の設定によって、Webサイトの利用者は、使用中のURLを変更せずに済みます。
M課長:分かった。この構成なら処理能力と可用性を高めることができるだろう。ところで、Webシステムのセキュリティを高めるために、WAF(Web Application Firewall)の導入も必要ではないかと考えているが、当社の体制ではWAFの運用は難しそうなので困っている。良い方法はないだろうか。
N主任:クラウド型WAFサービスが利用できるか調べてみます。
【クラウド型WAFサービスの利用】
N主任の調査の結果、B社が提供するクラウド型WAFサービスが利用可能なことが分かった。その際の利用者のWebサイトへのアクセス手順は、次のとおりになる。
・A社のWebサイトの利用者は、始めにWAFサービスのFQDNであるwaf-asha.example1.ne.jpにアクセスする。
・WAFサービスで通信パケットが検査される。
・パケットに問題がないとき、そのパケットがA社のWebサイトに転送される。
B社のWAFサービスを利用する場合、次の対応も必要になる。
・利用者にWAFサービスの存在を意識させることなくWAFサービスを利用するために、①図3中の4行目の後に、Webサイトのホスト名w3の別名を定義するレコードを追加する。さらに、WAFサービスが、検査後のパケットをA社のWebサイトに転送できるようにするために、②図3中の転送先を示す資源レコードを変更する。図3中に追加設定する資源レコードを図4に示す。
①によって、Webサイトの利用者が変更しなくてもよくなるものを、15字以内で答えよ。:Webサイト利用時のURL
ホスト名w3の別名を定義することで、「w3.example.co.jp」へのアクセスを自動的にWAFサービスに転送することが可能になります。
したがって、Webサイトの利用者ではアクセスするURLを変更する必要がありません。
②について、変更する行番号及び変更する必要のある資源レコードのフィールド名を、それぞれ答えよ。:(行番号)4、(フィールド名)owner
CNAMEを設定したホスト名は、競合が発生するため他のレコードと重複してはいけません。
したがって、行番号4のホスト名「w3」を変更する必要があります。
・③WAFサービスを経由せず、直接Webサイトにアクセスされるのを防止するためのアクセス制御を、A社のFWに設定する。
③について、アクセス制御の内容を、35字以内で述べよ。:WebサイトへのアクセスをWAFサービスだけから許可する。
WAFサービス以外からのアクセスを防止するということは、逆に、WAFサービスのみからのアクセスに限定すれば良いことになります。
N主任が調査結果をM課長に報告したときの、2人の会話の一部を次に示す。
N主任:B社のWAFサービスを利用すれば、運用の問題は発生しません。図3の変更、図4の追加設定などによって、WAFサービスが利用できます。
M課長:それは良いな。それでは、N主任の検討結果を基に、Webシステムの構成変更を行うことにしよう。
【出典:応用情報技術者試験 平成30年度 春期 午後 問5(一部、加工あり)】
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2018h30_1/2018h30h_ap_pm_qs.pdf