サイトアイコン やさしいネットワークとセキュリティ

【ネットワークスペシャリスト試験 令和4年度 春期 午後1 問1 No.1】

ネットワークスペシャリスト試験 令和4年度 春期 午後1 問1

【出典:ネットワークスペシャリスト試験 令和4年度 春期 午後1 問1(一部、加工あり)】

問1 ネットワークの更改に関する次の記述を読んで、設問1〜3に答えよ。

[現状のネットワーク]
 A社は、精密機械部品を製造する中小企業であり、敷地内に事務所と工場がある。事務所には電子メール(以下、メールという)送受信やビジネス資料作成などのためのOAセグメントと、社外との通信を行うDMZが設置されている。工場には工作機械やセンサを制御するための制御セグメントと、制御サーバと操作端末のアクセスログ(以下、ログデータという)や制御セグメントからの測定データを管理するための管理セグメントが設置されている。
 センサや工作機械を制御するコントローラの通信は制御セグメントに閉じた設計としているので、事務所と工場の間は、ネットワークで接続されていない。また制御セグメントと管理セグメントの間には、制御サーバが設置されているがルーティングは行わない。
 操作端末は、制御サーバを介してコントローラに対し設定値やコマンドを送出する。コントローラは、常に測定データを制御サーバに送信する。制御サーバは、収集した測定データを、1日1回データヒストリアンに送る。データヒストリアンは、ログデータ及び測定データを蓄積する。
 A社ネットワークの構成を、図1に示す。

 ログデータの転送は、イベント通知を転送する標準規格(RFC 5424)の(a)プロコトルを利用している。データヒストリアンに蓄積された測定データとログデータは、ファイル共有プロトコルで操作端末に共有され、社員がUSBメモリを用いてOAセグメント内のPCに1週間に1回複製する。
 制御サーバ、操作端末及びデータヒストリアンのソフトウェア更新は、必要の都度、OAセグメントのPCでインターネットからダウンロードしたソフトウェア更新ファイルを、USBメモリを用いて操作端末に複製した上で実施される。
 A社の社員は、PCでメールの閲覧やインターネットアクセスを行う。OAセグメントからインターネットへの通信はDMZ経由としており、DMZには社外とのメールを中継する外部メールサーバと、OAセグメントからインターネットへのWeb通信を中継するプロキシサーバがある。DMZにはグローバルIPアドレスが、OAセグメントにはプライベートIPアドレスがそれぞれ用いられている。
 社員のメールボックスをもつ内部メールサーバと、プロキシサーバは、ユーザ認証のためにLDAPサーバを参照する。プロキシサーバのユーザ認証にはBase64でエンコードするBasic認証と、MD5やSHA-256でハッシュ化する(b)認証方式があるが、A社では後者の方式を採用している。また、プロキシサーバは、HTTPの(c)メソッドでトンネリング通信を提供し、トンネリング通信に利用する通信ポートを443に限定する。

a:Syslog

ログデータの転送は、イベント通知を転送する標準規格(RFC 5424)の(a)プロコトルを利用している。
 ログデータの転送に使われるプロトコルはSyslogになります。
 ログデータを発信する機器やソフトウェアをSyslogクライアント、ログを受信して記録するシステムをSyslogサーバやSyslogデーモン(Syslogd)といいます。
 問題文の場合、コントローラや制御サーバがSyslogクライアントとして、ハードウェアやソフトウェアの動作状況などをSyslogプロトコルで発信し、Syslogサーバであるデータヒストリアンがこれを受信して時系列に保存します。
 Syslogメッセージは最大1024バイトのテキスト形式で、TCPまたはUDP(どちらもポート番号514)で伝送します。

b:ダイジェスト

プロキシサーバのユーザ認証にはBase64でエンコードするBasic認証と、MD5やSHA-256でハッシュ化する(b)認証方式があるが、A社では後者の方式を採用している。
 認証方式には以下の2つの方式があります。

c:CONNECT

また、プロキシサーバは、HTTPの(c)メソッドでトンネリング通信を提供し、トンネリング通信に利用する通信ポートを443に限定する。
 プロキシサーバはPCとWebサーバの通信を仲介するものですが、HTTPS通信の場合にはPCとWebサーバ間が暗号化されているためプロキシサーバが仲介することが不可能です。
 HTTPS通信の場合には、PCがHTTTPのCONNECTメソッドを利用してプロキシサーバに暗号化通信をそのまま透過させるよう依頼する仕組みが提供されていて、これで実現した通信をトンネリング通信と言います。
 ただし、トンネリング通信はHTTPS(ポート443)以外の通信にも適用可能ですので、プロキシサーバなどで意図しない通信が可能となりセキュリティリスクを高めてしまいます。
 したがって問題文のように、トンネリングに使用する通信ポートを443に限定するなどしたほうが安全です。

外部からアクセスできるサーバをFWによって独立したDMZに設置すると、OAセグメントに設置するのに比べて、どのようなセキュリティリスクが軽減されるか。40字以内で答えよ。:社外からサーバに侵入されたときにOAセグメントの機器に侵入されるリスク

 外部からアクセスできるサーバについては、不正アクセスなどで乗っ取られたりする可能性があり、そこを踏み台にして他の機器へ攻撃することが想定できます。
 サーバがOAセグメントに設置された場合には、侵入されたサーバからOAセグメント内の他の機器への侵入が容易です。
 一方、サーバがDMZに設置された場合には、DMZからOAセグメントへの通信はFW経由となるため、不正な通信は遮断されることになります。
 したがって、外部からアクセスできるサーバをDMZに設置することで軽減されるセキュリティリスクは、OAセグメントの機器に侵入されるリスクとなります。

モバイルバージョンを終了