ネットワークスペシャリスト試験 令和元年度 秋期 午後1 問2
【出典:ネットワークスペシャリスト試験 令和元年度 秋期 午後1 問2(一部、加工あり)】
Webシステムの構成変更に関する次の記述を読んで、設問1〜3に答えよ。
A社は、中堅の菓子メーカであり、自社で製造する商品を、店舗とオンラインショップで販売している。オンラインショップの利用者は、Webブラウザを使ってWebシステムにアクセスする。A社のオンラインショップを構成する、現行のWebシステムを図1に示す。
A社では、Webシステムのアクセス数の増加に対応するために、Webサーバの増設と負荷分散装置(以下、LBという)の導入を決めた。また、昨今、Webアプリケーションプログラム(以下、WebAPという)の脆弱性を悪用したサイバー攻撃が報告されていることから、WAF(Web Application Firewall)サービスの導入を検討することになった。そのための事前調査から設計までを情報システム部のUさんが担当することになった。
[WAFサービス導入の検討]
Uさんは、SaaS事業者のT社が提供するWAFサービスを調査した。T社によるWAFサービスの説明は、次のとおりである。
- WAFサービスは、利用者のWebブラウザとWebシステム間のHTTPS通信を中継する。利用者のWebブラウザは、WAFサービスにアクセスするためのIPアドレス(以下、IP-w1という)宛てにHTTPリクエストを送信する。
- WAFサービスは、HTTPS通信を復号してHTTPリクエストを検査する。そのために、A社は、現行と同じコモンネームのサーバ証明書と秘密鍵を、WAFサービスに提供する必要がある。
- WAFサービスは、WebAPへのサイバー攻撃が疑われる通信を検知し、Webシステムへのアクセスを制御する。
- WAFサービスは、アクセスを許可したHTTPリクエストの送信元IPアドレスを、HTTPヘッダのX-Forwardes-Forヘッダフィールド(以下、XFFヘッダという)に追加する。XFFヘッダの追加後に、HTTPリクエストの送信元IPアドレスを、HTTPレスポンスがWAFサービスに送られるようにするためのIPアドレス(以下、IP-w2という)に変更する。
- WAFサービスは、HTTPリクエストを再度HTTPSで暗号化して、WebシステムにアクセスするためのIPアドレスである199.α.β.2宛てに転送する。
- WAFサービスは、HTTPレスポンスを検査する。HTTPレスポンスに対する処理の説明は省略する。
Uさんは、Webブラウザから送信されるHTTPリクエストを、WAFサービス宛てに変える方法について、T社に確認した。T社からの回答は、次のとおりである。
- A社DNSサーバに、RDATAにIP-w1を設定したAレコードを登録する方式と、RDATAにT社WAFサービスのFQDNを設定したCNAMEレコードを登録する方式がある。
- T社は、IP-w1を変更する場合があるので、①CNAMEレコードを登録する方式を推奨している。
T社からの説明を踏まえて、Uさんが検討したA社DNSサーバのゾーンファイルを、図2に示す。
現行のWebAPでは、Webシステムへのアクセス時の送信元IPアドレスをアクセスログに記録している。Uさんは、送信元IPアドレスの代わりにXFFヘッダの情報を記録するように、WebAPの設定を変更することにした。
Uさんは、FWに設定しているWebシステムへのHTTPS通信に関するアクセス制御について、IP-w2を送信元とする通信だけを許可するように、設定を変更することにした。
下線①について、A社にとっての利点を45字以内で述べよ。:T社がIP-w1を変更しても、A社DNSサーバの変更作業が不要となる。
A社DNSサーバにおいて、「RDATAにIP-w1を設定したAレコードを登録する方式」の場合、T社がIP-w1を変更すると、A社DNSサーバのAレコードもそれに合わせて変更する必要があります。
一方、「RDATAにT社WAFサービスのFQDNを設定したCNAMEレコードを登録する方式」の場合、A社DNSサーバのIP-w1が直接記載されていないので、変更作業が不要になりそうです。
具体的にWebブラウザから送信されるHTTPリクエストを考えると、最初にWebブラウザから「shop.asha.com」の名前解決を行うDNSクエリがA社DNSサーバに送信されます。
A社DNSサーバでは、CNAMEレコードに従い、ドメイン名「waf-asha.tsha.net」をWebブラウザに応答します。
そして、Webブラウザはドメイン名「waf-asha.tsha.net」を管理するDNSサーバ(T社)にDNSクエリを送信します。
IP-w1が変更されても、T社DNSサーバで適切に変更されているため、A社DNSサーバの変更作業が不要となります。