サイトアイコン やさしいネットワークとセキュリティ

テレワーク導入におけるファイアウォール設定・VPN・VDI【基本情報技術者試験 令和元年度 秋期 午後 問1】

基本情報技術者試験 令和元年度 秋期 午後 問1

問1 テレワークの導入に関する次の記述を読んで、設問1〜3に答えよ。

 ソフトウェア開発会社であるA社では、従業員が働き方を柔軟に選択できるように、場所や時間の制約を受けずに働く勤務形態であるテレワークを導入することにした。

 A社には、事務業務だけが行えるPC(以下、事務PCという)と、事務業務及びソフトウェア開発業務が行えるPC(以下、開発PCという)がある。開発部の従業員は開発PCを使用し、開発部以外の従業員は事務PCを使用している。

 A社には、事務室、開発室及びサーバ室があり、各部屋のネットワークはファイアウォール(以下、A社FWという)を介して接続されている。A社のネットワーク構成を、図1に示す。

 事務室には、事務PCだけが設置されている。開発室には開発PCだけが設置されており、開発部の従業員だけが入退室できる。サーバ室には、プロキシサーバ1台と、ソフトウェア開発業務に必要なソースコード管理、バグ管理、テストなどに利用するサーバ(以下、開発サーバという)が複数台設置されている。

 A社FWでは、開発室のネットワークだけから開発サーバにHTTP over TLS(以下、HTTPSという)又はSSHでアクセスできるように通信を制限している。また、A社ネットワークからのインターネットのWebサイト閲覧は、事務PC及び開発PCだけからプロキシサーバを経由してできるように通信を制限している。

 テレワークで働く従業員は、データを保存できないシンクライアント端末をA社から支給され、遠隔からインターネットを経由してA社のネットワークに接続し、業務を行う。そのために、安全にA社のネットワークに接続するVPN、及び仮想マシンの画面を転送して遠隔から操作できるようにする画面転送型の仮想デスクトップ環境(以下、VDIという)の導入を検討した。テレワーク導入後のA社のネットワーク構成案を、図2に示す。

【A社が検討したテレワークによる業務の開始までの流れ】

(1)利用者は、シンクライアント端末のVPNクライアントを起動して、VPNサーバに接続する。

(2)VPNサーバは、VPNクライアントが提示するクライアント証明書を検証する。検証に成功した場合、処理を継続する。

(3)VPNサーバは、利用者を認証する。認証が成功した場合、VPNクライアントに対して、192.168.16.0/24の範囲で使用されていないIPアドレスを一つ選択して割り当てる。

(4)VPNクライアントは、(3)で割り当てられたIPアドレスを使用して、VPNサーバ経由でA社のネットワークに接続する。

(5)利用者は、シンクライアント端末のVDIクライアントを起動して、VDIサーバに接続する。

(6)VDIサーバは、VPNサーバで認証された利用者が開発部以外の従業員であれば事務業務だけが行える仮想マシン(以下、事務VMという)を、開発部の従業員であれば事務業務及びソフトウェア開発業務が行える仮想マシン(以下、開発VMという)を割り当てる。また、VDIサーバは、事務VMには192.168.64.0/24、開発VMには192.168.65.0/24の範囲で使用されていないIPアドレスを一つ選択して割り当てる。

(7)利用者は、仮想マシンにログインして業務を開始する。VDIクライアントと仮想マシンとの間では、画面データ、並びにキーボード及びマウスの操作データだけが送受信される。

 テレワーク導入後のA社FWに設定するパケットフィルタリングのルール案を、表1に示す。

 ところが、表1のルール案ではルール番号7の条件に誤りがあり、(a:事務VMから開発サーバにアクセスできる)ことが分かった。そこで、開発サーバに対するアクセスを正しく制限するために、ルール番号7の条件について、送信元を(b:192.168.65.0/24)に変更した。

設問1 本文中の( )に入れる適切な答えを、解答群の中から選べ。

aに関する解答群

ア 開発PCから開発サーバにアクセスできない

イ 開発VMから開発サーバにアクセスできない

ウ 事務PCから開発サーバにアクセスできる

エ 事務VMから開発サーバにアクセスできる

エ 事務VMから開発サーバにアクセスできる

表1のルール番号7の条件を確認します。

上記より、このルールは事務VMと開発VMから開発サーバへ、HTTPS、SSHでのアクセスを許可するというものです。

また、同じようなルールでルール番号6があり、こちらは送信元:192.168.1.0/24(開発室)から開発サーバへ、HTTPS、SSHでのアクセスを許可するというものです。

問題文を見ると、「開発室には開発PCだけが設置されており、開発部の従業員だけが入退室できる。」、「A社FWでは、開発室のネットワークだけから開発サーバにHTTP over TLS(以下、HTTPSという)又はSSHでアクセスできるように通信を制限している。」とあります。

これらの内容から、開発サーバへのアクセスは開発部の従業員のみに制限されていることが分かります。

これに対し、ルール7の設定で事務VMからも開発サーバへアクセスできてしまうことになります。

事務VMは開発部以外の従業員が利用できてしまうため、これを修正する必要があります。

bに関する解答群

ア 192.168.0.0/24 イ 192.168.1.0/24 ウ 192.168.16.0/24

エ 192.168.64.0/24 オ 192.168.65.0/24 カ 192.168.128.0/20

キ 192.168.128.0/24 ク 203.0.113.0/24 ケ インターネット

オ 192.168.65.0/24

前問のとおり、開発サーバへのアクセスは開発部の従業員のみに制限するため、ルール7の送信元に開発VM(192.168.65.0/24)を指定すればいいことになります。

設問2 シンクライアント端末から開発サーバにアクセスするときの接続経路として適切な答えを、解答群の中から選べ。

解答群

ア シンクライアント端末→VDIサーバ→VPNサーバ→開発PC→開発サーバ

イ シンクライアント端末→VDIサーバ→VPNサーバ→開発VM→開発サーバ

ウ シンクライアント端末→VDIサーバ→開発VM→開発PC→開発サーバ

エ シンクライアント端末→VPNサーバ→VDIサーバ→開発PC→開発サーバ

オ シンクライアント端末→VPNサーバ→VDIサーバ→開発VM→開発サーバ

カ シンクライアント端末→VPNサーバ→開発PC→開発VM→開発サーバ

オ シンクライアント端末→VPNサーバ→VDIサーバ→開発VM→開発サーバ

問題文のテレワーク業務開始までの流れから、開発部の従業員が開発サーバにアクセスする場合の流れを確認します。

  1. (1)利用者は、シンクライアント端末のVPNクライアントを起動して、VPNサーバに接続する。
  2. (2)〜(4)VPNサーバ内の処理、VPNクライアントがVPNサーバ経由で接続する準備
  3. (5)利用者は、シンクライアント端末のVDIクライアントを起動して、VDIサーバに接続する。
  4. (6)VDIサーバ内の処理、利用者が開発VMを利用できる準備
  5. (7)利用者は、開発VMにログインして、開発サーバにアクセスする。

設問3 A社がテレワークの検討を進める過程で、”常に同一の業務環境を使用できるように、テレワークで働くときだけでなく、事務PC及び開発PCからも仮想マシンを使用したい”との要望が挙がった。検討した結果、この要望に応えてもセキュリティ上のリスクは変わらないと判断した。また、A社のネットワーク内からアクセスするのでVPNで接続する必要はなく、利用者認証をVPNサーバではなくVDIサーバで行えばよいことを確認した。

 この要望に応えるとき、表1のルール案に必要な変更として適切な答えを、解答群の中から選べ。ここで、表1のルール番号7の送信元には、設問1で選択した適切な答えが設定されているものとする。

解答群

ア 変更する必要はない。

イ ルール番号3と4の間に、送信元を192.168.0.0./23、宛先を192.168.64.0/20、サービスをVDI、及び動作を許可とするルールを新たに挿入する必要がある。

ウ ルール番号3と4の間に、送信元を192.168.64.0./23、宛先を192.168.0.0/23、サービスをVDI、及び動作を許可とするルールを新たに挿入する必要がある。

エ ルール番号3と4の間に、送信元をインターネット、宛先を192.168.64.0/20、サービスをVDI、及び動作を許可とするルールを新たに挿入する必要がある。

【出典:基本情報技術者試験 令和元年度 春期 午後 問1(一部、加工あり)】

 イ ルール番号3と4の間に、送信元を192.168.0.0./23、宛先を192.168.64.0/20、サービスをVDI、及び動作を許可とするルールを新たに挿入する必要がある。

現状、テレワークで仮想マシンにアクセスするルールは、ルール3の送信元:192.168.16.0/24(シンクライアント(VPNクライアント))、宛先:192.168.64.0/20(VDIサーバ)、サービス:VDIで定義されています。

これと同様に、送信元を事務PC及び開発PCにしたルールを追加すればよさそうです。

前の設問であったように、事務PC及び開発PCは192.168.0.0/23で表せますので、これを送信元にして、ルール3の後に追加すればいいでしょう。

モバイルバージョンを終了