サイトアイコン やさしいネットワークとセキュリティ

【ネットワークスペシャリスト試験 令和元年度 秋期 午後1 問2 No.1】

ネットワークスペシャリスト試験 令和元年度 秋期 午後1 問2

【出典:ネットワークスペシャリスト試験 令和元年度 秋期 午後1 問2(一部、加工あり)】

Webシステムの構成変更に関する次の記述を読んで、設問1〜3に答えよ。

 A社は、中堅の菓子メーカであり、自社で製造する商品を、店舗とオンラインショップで販売している。オンラインショップの利用者は、Webブラウザを使ってWebシステムにアクセスする。A社のオンラインショップを構成する、現行のWebシステムを図1に示す。

 A社では、Webシステムのアクセス数の増加に対応するために、Webサーバの増設と負荷分散装置(以下、LBという)の導入を決めた。また、昨今、Webアプリケーションプログラム(以下、WebAPという)の脆弱性を悪用したサイバー攻撃が報告されていることから、WAF(Web Application Firewall)サービスの導入を検討することになった。そのための事前調査から設計までを情報システム部のUさんが担当することになった。

[WAFサービス導入の検討]
 Uさんは、SaaS事業者のT社が提供するWAFサービスを調査した。T社によるWAFサービスの説明は、次のとおりである。


 Uさんは、Webブラウザから送信されるHTTPリクエストを、WAFサービス宛てに変える方法について、T社に確認した。T社からの回答は、次のとおりである。


 T社からの説明を踏まえて、Uさんが検討したA社DNSサーバのゾーンファイルを、図2に示す。


 現行のWebAPでは、Webシステムへのアクセス時の送信元IPアドレスをアクセスログに記録している。Uさんは、送信元IPアドレスの代わりにXFFヘッダの情報を記録するように、WebAPの設定を変更することにした。
 Uさんは、FWに設定しているWebシステムへのHTTPS通信に関するアクセス制御について、IP-w2を送信元とする通信だけを許可するように、設定を変更することにした。

下線①について、A社にとっての利点を45字以内で述べよ。:T社がIP-w1を変更しても、A社DNSサーバの変更作業が不要となる。

 A社DNSサーバにおいて、「RDATAにIP-w1を設定したAレコードを登録する方式」の場合、T社がIP-w1を変更すると、A社DNSサーバのAレコードもそれに合わせて変更する必要があります。
 一方、「RDATAにT社WAFサービスのFQDNを設定したCNAMEレコードを登録する方式」の場合、A社DNSサーバのIP-w1が直接記載されていないので、変更作業が不要になりそうです。
 具体的にWebブラウザから送信されるHTTPリクエストを考えると、最初にWebブラウザから「shop.asha.com」の名前解決を行うDNSクエリがA社DNSサーバに送信されます。
 A社DNSサーバでは、CNAMEレコードに従い、ドメイン名「waf-asha.tsha.net」をWebブラウザに応答します。
 そして、Webブラウザはドメイン名「waf-asha.tsha.net」を管理するDNSサーバ(T社)にDNSクエリを送信します。
 IP-w1が変更されても、T社DNSサーバで適切に変更されているため、A社DNSサーバの変更作業が不要となります。

モバイルバージョンを終了