平成26年秋 基本情報技術者試験 午後 問1
問1 ネットワークセキュリティに関する次の記述を読んで、設問1〜4に答えよ。
A社は、社内に設置したWebサーバ上に、自社の製品を紹介するWebサイトを構築し、運営している。A社は、このWebサイトで会員登録を受け付け、登録された会員に対してメールマガジンを発行している。
A社のネットワーク構成を、図1に示す。
会員登録の流れは次のとおりである。
(1)登録希望者は、インターネットを介し、Webサーバが管理する入会申込用WebページにHTTP over SSL/TLS(以下、HTTPSという)でアクセスし、メールアドレスを入力する。
(2)Webサーバは、登録希望者ごとに、登録希望者専用の会員情報入力用Webページを生成し、そのURLを記載した電子メール(以下、メールという)を、入力されたメールアドレス宛てに送信する。
(3)登録希望者は、(2)で送信されたメールに記載されたURLが示すWebページにHTTPSでアクセスして、氏名や職業などの会員情報(メールアドレスは含まない)を入力する。
(4)Webサーバは、(1)のメールアドレスと(3)の会員情報を、会員管理サーバ上で稼働しているデータベース(以下、会員情報DBという)に登録する。
(5)Webサーバは、会員登録完了を知らせるメールを、(1)のメールアドレス宛てに送信する。
会員登録の際、登録希望者が最初にアクセスする入会申込用Webページでは、登録希望者のメールアドレスだけを入力させ、会員情報の入力は別途行わせる方式を採っている。このように2段階の手順を踏む主な目的は →他人のメールアドレスや間違ったメールアドレスが登録されないようにする。
登録時に確認用に2回メールアドレスを入力させるより、2段階の手順を踏む方式のほうが、次のステップに進めないという点で確実な方式です。また、情報入力後に仮登録メールを送信し、メール本文のURLをクリックさせることで本登録が完了するという方式も同様な効果があります。
尚、Webサーバに対する2回のアクセスはどちらもHTTPSで暗号化されているので、この方式は盗聴のリスク対策を目的とするものではありません。
メールマガジン発行の流れは次のとおりである。
(1)メールマガジン担当者は、業務用PCのWebブラウザから、メールマガジン送信サーバのメールマガジン入力用WebページにHTTPでアクセスし、メールマガジンの本文を入力する。
(2)メールマガジン送信サーバは、会員情報DBから全ての会員のメールアドレスを取得し、取得したメールアドレス宛てにメールでメールマガジンを送信する。なお、メールは、メールサーバで稼働しているメール転送サービスを介して送信する。また、本問では、URLやメールアドレスなどの名前解決については、考慮しなくてよいこととする。
ルータは、動的なパケットフィルタリング型のファイアウォール機能を搭載していて、設定で許可したパケットだけを通過させる。
設定は、送信元、送信先、通信ポートの順に、”,”で区切って記述する。これは、送信元から送信先の通信ポート宛てのパケットの通過を許可することを意味する。許可されたパケットに対する応答パケットの通過も許可される。
送信元及び送信先には、IPアドレス又はネットワークインタフェースを指定する。IPアドレスを指定したときに許可の対象となるパケットは、送信元又は送信先のIPアドレスが、指定されたIPアドレスであるパケットである。ネットワークインタフェースを指定したときに許可の対象となるパケットは、そのネットワークインタフェースから入ってくるパケット(送信元として指定したとき)、又は出ていくパケット(送信先として指定したとき)である。
通信ポートには、各サービスがパケットを待ち受けるポート番号を指定する。A社の各サーバ上で稼働している各サービスが使用するプロトコルと待受けポート番号を、表1に示す。
現在のルータの設定を、図2に示す。
1行目の設定で、インターネットからWebサーバにHTTPでアクセスすることを許可し、2行目の設定で、インターネットから入ってくるメールを、メールサーバに転送することを許可している。
a:203.0.113.2,443
送信元が「if0:インターネット」である通信のうち、既に設定されているものとしては、1行目の「インターネットからWebサーバへのHTTP通信」、2行目の「インターネットからメールサーバへのSMTP通信」があります。
これ以外の通信としては、会員登録の手順である「インターネットからWebサーバへのHTTPS通信」になります。
b:192.168.0.3,4194
送信元が「203.0.113.2:Webサーバ」である通信は、「インターネットへのHTTP、HTTPSの応答」、「会員管理サーバへの会員情報DB登録(独自プロトコル)」です。
(なお、Webサーバが会員登録希望者向けにメール送信する記述がありますが、実際はメールサーバと連携して発信していると思われます)
「インターネットへのHTTP、HTTPSの応答」については、「許可されたパケットに対する応答パケットの通過も許可される」とあり、設定する必要はありません。
したがって、残る「会員管理サーバへの会員情報DB登録(独自プロトコル)」の設定が該当します。
A社は、Webサーバのメンテナンスを外部委託し、委託先内の特定のPCから、インターネットを介して、Webサーバを操作できるようにした。そのために、Webサーバ上に待受けポート番号22でSSHサービスを稼働させ、ルータの設定に”(c:198.51.100.2,203.0.113.2,22
)”の行を追加した。
なお、このPCから送信されたパケットがルータに到着したとき、このパケットの送信元IPアドレスは、198.51.100.2となっている。
c:198.51.100.2,203.0.113.2,22
送信元に委託先のPC、送信先にWebサーバ、通信ポートにSSH:22を設定します。
SSHサービスがクライアントを認証する方式には、パスワード認証方式と公開鍵認証方式がある。A社は公開鍵認証方式を採用した。
公開鍵認証方式では、秘密鍵で作成した署名が、対応する公開鍵で検証できることを利用して、次のようにクライアントを認証する。
(1)クライアントは、秘密鍵を使って作成した署名と、その秘密鍵に対応する公開鍵をサーバに送る。
(2)サーバは、(1)の公開鍵がサーバに登録されていることを確認し、公開鍵で(1)の署名を検証する。
(3)検証に成功すれば、クライアントがサーバに登録されている公開鍵に対応する秘密鍵をもっていることが証明されるので、サーバは、クライアントを認証する。
このように、公開鍵認証方式では、クライアントがサーバのSSHサービスを利用する際に、パスワードや(d:秘密鍵)をネットワーク上に渡す必要がない。
【出典:基本情報技術者試験 平成26年度秋期午後問1(一部、加工あり)】
d:秘密鍵
クライアントからサーバには、秘密鍵で作成した署名と公開鍵を送信することになります。これらは盗聴されたとしても、パスワードや秘密鍵は含まれていないのでセキュリティ上の問題はありません。