【ネットワークスペシャリスト試験 令和4年度 春期 午後1 問1 No.2】

ネットワークスペシャリスト試験 令和4年度 春期 午後1 問1

【出典:ネットワークスペシャリスト試験 令和4年度 春期 午後1 問1(一部、加工あり)】

[ネットワークの更改方針]
 A社では、USBメモリ紛失によるデータ漏えいの防止、測定データのリアルタイムの可視化、及び過去の測定データの蓄積のために、USBメモリの利用を廃止し、工場と事務所をネットワークで接続することにした。A社技術部のBさんが指示された内容を次に示す。
(a)データヒストリアンにあるログデータをPCにファイル送信できるようにする。またPCにダウンロードしたソフトウェア更新ファイルを操作端末にファイル送信できるようにする。
(b)測定データの統計処理を行い時系列グラフとして可視化するサーバと、長期間の測定データを加工せずそのまま蓄積するサーバをOAセグメントに設置する。
(c)セキュリティ維持のために、工場の制御セグメント及び管理セグメントと、事務所のOAセグメントとの間はルーティングを行わない。
 Bさんは、工場のネットワークを設計したベンダに実現方式を相談した。指示(a)と(c)については、ファイル転送アプライアンス(以下、FTAという)がベンダから提案された。指示(b)と(c)については、ネットワークパケットブローカ(以下、NPBという)、可視化サーバ、キャプチャサーバがベンダから提案された。
 Bさんがベンダから提案を受けた、A社ネットワークの構成を、図2に示す。

[管理セグメントとOAセグメント間のファイルの受渡し]
 FTAは、分離された二つのネットワークでルーティングすることなくファイルの受渡しができるアプライアンスである。ファイルの送信者は、①FTAにWebブラウザを使ってログインし、受信者を指定してファイルをアップロードする。ファイルの受信者は、FTAにWebブラウザを使ってログインし、自信が受信者として指定されたファイルだけをダウンロードできる。
 FTAの機能を使い、ファイルの受渡しの際に上長承認手続を必須にする。上長への承認依頼、受信者へのファイルアップロード通知は、FTAが自動的にメールを送信して通知する。承認は設定された上長だけが行うことができる。
 Bさんが検討したFTAの利用時の流れを、表1に示す。

②指示(c)のとおり、FTAには静的経路や経路制御プロトコルの設定は行わない③FTAは、認証及び認可に必要な情報について、既存のサーバを参照する
 Bさんは、ベンダからFTAを借りて想定どおりに動作することを確認した。

下線①について、利用者の認証を既存のサーバで一元的に管理する場合、どのサーバから認証情報を取得するのが良いか。図2中の字句を用いて答えよ。:LDAPサーバ

ファイルの送信者は、①FTAにWebブラウザを使ってログインし、受信者を指定してファイルをアップロードする。
 利用者の認証を既存のサーバで一元的に管理するとは、FTAでの利用者の認証も他のサーバなどと同じ認証情報を利用するということです。
 他のサーバでの認証については、前の問題文で「社員のメールボックスをもつ内部メールサーバと、プロキシサーバは、ユーザ認証のためにLDAPサーバを参照する。」とあるようにLDAPサーバから認証情報を取得しています。
 したがって、FTAにおいてもLDAPサーバから認証情報を取得します。

下線②について、FTAにアクセスできるのはどのセグメントか。図2中の字句を用いて全て答えよ。:管理セグメント、OAセグメント

②指示(c)のとおり、FTAには静的経路や経路制御プロトコルの設定は行わない
(c)セキュリティ維持のために、工場の制御セグメント及び管理セグメントと、事務所のOAセグメントとの間はルーティングを行わない。
 ネットワークの更改により工場と事務所がネットワークで接続されることになりましたが、セキュリティの観点から通信を限定する手法としてセグメント間のルーティングを行わない方法が取られています。
 FTAにアクセスできるセグメントが問われているので、まずは物理的な接続構成を確認すると、図2(ベンダが提案したA社ネットワークの構成(抜粋))からFTAは管理セグメントとOAセグメントに接続しています。
 そして、FTAと通信する機器については、表1(FTAの利用時の流れ)から、PC、操作端末、内部メールサーバが挙げられており、それらは管理セグメントとOAセグメントであることがわかります。
 以上から、FTAにアクセスできるセグメントは管理セグメントとOAセグメントであり、それ以外のセグメントからはアクセスできないようになっているようです。

下線③について、FTAにおいて認証と認可はそれぞれ何をするために使われるか。違いが分かるようにそれぞれ25字以内で述べよ。:(認証)FTAの利用者が本人であることを確認するため、(認可)操作ごとの実行権限を有するかを確認するため

③FTAは、認証及び認可に必要な情報について、既存のサーバを参照する
 認証と認可については、以下のとおりです。

  • 認証(Authentication):対象の正当性や真正性を確かめることで、本人確認やデータ改ざんされていないかを確認するメッセージ認証などが該当する。
  • 認可(Authorizatiom):認証済みの利用者に対し、アクセス権の設定などを参照して本人に与えられた適切な権限による操作を許可すること。

 FTAにおける認証は、FTAの利用者が本人であることを確かめるために使われます。
 これはLDAPサーバ(→問題文では既存のサーバと表される)の「ユーザ名」と「パスワード」を参照して行われます。
 FTAにおける認可は、利用者の権限として、例えばファイルのアップロードやダウンロードができる一般社員なのか、「承認は設定された上長だけが行うことができる。」とあるように承認の権限をもった上長なのかなど、操作の実行権限を有するかを確認するために使われます。
 こちらもLDAPサーバで持つユーザごとの役割属性を参照して行われるものです。