プロキシ(フォワード・リバース・認証)【ネットワークスペシャリスト試験 平成30年度 秋期 午後1 問1 No.1】

ネットワークスペシャリスト試験 平成30年度 秋期 午後1 問1 No.1

【出典:ネットワークスペシャリスト試験 平成30年度 秋期 午前1 問1(一部、加工あり)】

問1 SaaSの導入に関する次の記述を読んで、設問1~3に答えよ。

 F社は、本社と四つの営業所を拠点として事業を展開している中堅商社である。本社を中心としたハブアンドスポーク構成のIPsec VPNを使って、本社と営業所を接続している。営業所からインターネットへの通信は、全て本社を経由させている。現在F社で利用しているグループウェア機能は、電子メール、スケジューラ、ファイル共有などである。このうち電子メールは社外との連絡にも利用している。
 このたびF社では、グループウェアサーバの老朽化に伴い、グループウェアサーバを廃止し、グループウェア機能をもつG社SaaSを導入することにした。また、G社SaaSの導入に合わせたセキュリティ対策を講じることにした。

【F社の現行ネットワーク構成とG社SaaS導入に合わせたセキュリテイ対策】
 F社の現行ネットワーク構成を、図1に示す。

  • プロキシサーバ及びグループウェアサーバは、本社DMZに設置されている。
  • L3SWでは、次のように静的経路設定を行なっている。
    • デフォルトルートのネクストホップをFWに設定している。
    • 各営業所への経路のネクストホップを本社のIPsecルータに設定している。
  • 社内PCからインターネットへは、Webアクセスだけが許可されており、プロキシサーバを経由して通信を行なっている。

 一般に、プロキシは(ア:フォワード)プロキシと(イ:リバース)プロキシがある。F社のプロキシのように(ア:フォワード)プロキシは、社内に対して、アクセス先URLのログ情報や、外部サーバのコンテンツをキャッシュして使用帯域を削減する目的で用いられる。一方、(イ:リバース)プロキシは、外部から公開サーバのオリジナルコンテンツに直接アクセスさせないことによる改ざん防止、キャッシュによる応答速度の向上、及び複数のサーバでの負荷分散を行う目的で用いられる。
 G社SaaSの導入に合わせて、インターネットへのWebアクセスについてのセキュリテイ対策を検討した。検討結果を次に示す。

  • G社SaaSとの通信は、HTTPSによって暗号化する。
  • 出張先のPCから直接G社SaaSを利用できるようにするために、G社SaaSでは送信元IPアドレスの制限を行わない。
  • G社SaaS導入に合わせてセキュリティ強化を行うために、プロキシサーバで次のログを取得する。
    • アクセス先URLと利用者ID
    • G社SaaSのファイルアップロード/ダウンロードのログと利用者ID
  • 社内PCからインターネットへのWebアクセスでは①プロキシサーバにおいて認証を行う

ア:フォワードイ:リバース

 プロキシに関して理解できていれば簡単ですね。逆にわからなければこの問題で覚えてしまいましょう。

  • フォワードプロキシ:社内に対して、アクセス先URLのログ情報や、外部サーバのコンテンツをキャッシュして使用帯域を削減する目的で用いられる。
  • リバースプロキシ:外部から公開サーバのオリジナルコンテンツに直接アクセスさせないことによる改ざん防止、キャッシュによる応答速度の向上、及び複数のサーバでの負荷分散を行う目的で用いられる。

①について、プロキシサーバで認証を行うことによってアクセスログに付加できる情報を答えよ。:利用者ID

 SaaS導入前後での、プロキシサーバにおけるアクセスログの情報を比較すればいいでしょう。
 認証を行う前は、本文に「F社のプロキシのようにフォワードプロキシは、社内に対して、アクセス先URLのログ情報や、・・・」とあります。
 認証を行うと、本文に「アクセス先URLと利用者ID」「G社SaaSのファイルアップロード/ダウンロードのログと利用者ID」とあります。
 したがって、付加できる情報としては「利用者ID」と「G社SaaSのファイルアップロード/ダウンロードのログ」になりますが、認証を行うことで付加できる情報は「利用者ID」になります。
 なお、認証時には利用者IDとパスワードを入力すると思われますが、パスワードについては一般的にアクセスログへの記録は行われません。