【ネットワークスペシャリスト試験 令和4年度 春期 午後2 問1 No.1】
ネットワークスペシャリスト試験 令和4年度 春期 午後2 問1
【出典:ネットワークスペシャリスト試験 令和4年度 春期 午後2 問1(一部、加工あり)】
問1 テレワーク環境の導入に関する次の記述を読んで、設問1〜5に答えよ。
K社は、東京に本社を備える中堅の製造業者である。東京の本社のほかに、大阪の支社、及び関東圏内のデータセンタがある。このたびK社では、テレワーク環境を導入し、K社社員が自宅などをテレワーク拠点として、個人所有のPC(以下、個人PCという)を利用して業務を行う方針を立てた。また、業務の重要性から、ネットワークの冗長化を行うことにした。これらの要件に対応するために、情報システム部のP主任が任命された。K社の現行のネットワーク及び導入予定の機器を図1に示す。
[現行のネットワーク構成]
図1の概要を次に示す。
- 本社、支社、データセンタはM社の広域イーサネットで接続されている。
- サーバセグメントに設置された業務サーバに、社内のPCからアクセスして各種業務を行っている。
- FWは、社内からインターネットへのアクセスのためにアドレス変換(NAPT)を行っている。
- FWでDMZを構成し、DMZにはグローバルIPアドレスが割り当てられている。
- DMZ以外の社内の全てのセグメントは、プライベートIPアドレスが割り当てられている。
- 経路制御の方式は、OSPFが用いられている。
- 本社のネットワークアドレスには、172.16.1.0/24を割り当てている。
- 支社のネットワークアドレスには、172.16.2.0/24を割り当てている。
- データセンタのネットワークアドレスには、172.17.0.0/16を割り当てている。
[テレワーク環境導入方針]
P主任は、テレワーク環境構築に当たって、導入方針を次のように定め、技術検討を進めることにした。
- テレワーク拠点の個人PCには業務上のデータを一切置かない運用とするために、仮想デスクトップ基盤(以下、VDIという)の技術を採用する。
- データセンタのテレワークサーバセグメントにVDIサーバを導入する。VDIサーバでは、個人ごとの仮想化されたPC(以下、仮想PCという)を稼働させ、個人PCから遠隔で仮想PCを利用可能にする。
- 個人PCには、仮想PCの画面を操作するソフトウェア(以下、VDIクライアントという)を導入する。
- 仮想PCから、業務サーバへアクセスして業務を行う。社内のPCからは直接業務サーバへアクセスできるので、社内のPCから仮想PCは利用しない。
- DMZにSSL-VPN装置を導入して、テレワーク拠点の個人PCからデータセンタのテレワークサーバセグメントへのアクセスを実現する。
- 情報セキュリティの観点から、SSL-VPNアクセスのための認証は、個人ごとに事前に発行したクライアント証明書を用いて行う。
- SSL-VPN装置は、個人PCからの接続時の認証に応じて適切な仮想PCを特定する。そして、個人PCからその仮想PCへのVDIの通信を中継する。このような機能をもつSSL-VPN装置を選定する。
- テレワークを行う利用者は最大200人とする。
[SSL-VPN技術調査とテレワーク環境への適用]
P主任は、テレワーク拠点からインターネットを介した車内へのアクセスを想定して、SSL-VPNの技術について調査を行い、結果を次のようにまとめた。
- SSL-VPNは、TLSプロトコルを利用したVPN技術である。
- TLSプロトコルは、HTTPS(HTTP over TLS)通信で用いられる暗号化プロトコルであり、インターネットのような公開ネットワーク上などで安全な通信を可能にする。
- TLSプロトコルのセキュリティ機能は、暗号化、通信相手の認証、及び(ア)である。
- SSL-VPNは、リバースプロキシ方式、ポートフォワーディング方式、(イ)方式の3方式がある。
- リバースプロキシ方式のSSL-VPNは、インターネットからアクセスできない社内のWebアプリケーションへのアクセスを可能にする。
- ポートフォワーディング方式のSSL-VPNは、社内のノードに対してTCP又はUDPの任意の(ウ)へのアクセスを可能にする。
- (イ)方式のSSL-VPNは、動的にポート番号が変わるアプリケーションプログラムでも社内のノードへのアクセスを可能にする。
- リバースプロキシ方式以外のSSL-VPNを利用するためには、SSL-VPN接続を開始するテレワーク拠点のPCに、SSL-VPN接続を行うためのクライアントソフトウェアモジュール(以下、SSL-VPNクライアントという)が必要である。
- TLSプロトコルは、複数のバージョンが存在するが、TLS1.3はTLS1.2よりも安全性が高められている。一例を挙げると、TLS1.3ではAEAD(Authenticated Encryption with Associated Data)暗号利用モードの利用が必須となっており、①セキュリティに関する二つの処理が同時に行われる。
- TLSプロトコルで用いられる電子証明書の形式は、X.509によって定められている。
- 認証局(以下、CAという)によって発行された電子証明書には、②証明対象を識別する情報、有効期限、(エ)鍵、シリアル番号、CAのデジタル署名といった情報が含まれる。
P主任は、SSL-VPNの技術調査結果を踏まえ、テレワーク環境への適用を次のとおり定めた。
- SSL-VPNクライアント、クライアント証明書、及びVDIクライアントを、あらかじめ個人PCに導入する。
- SSL-VPN装置へのアクセスポートは、TCPの443番ポートとする。
- SSL-VPN装置で利用するTLSプロトコルのバージョンは、TLS1.3を用い、それ以外のバージョンが使われないようにする。
- 仮想PCへのアクセスのプロトコルはRDPとし、TCPの3389番ポートを利用する。
- SSL-VPN装置がRDPだけで利用されることを踏まえ、SSL-VPNの接続方式は(オ)方式とする。
ア:改ざん検知
「TLSプロトコルのセキュリティ機能は、暗号化、通信相手の認証、及び(ア)である。」
TLSでは、最初にクライアントとサーバ間でのTLSハンドシェイクにより、セキュリティに関して以下の機能を実現します。
- 暗号化:共通鍵暗号方式による暗号化通信を行う。暗号方式にはAESなどがある。
- 認証:証明書によりサーバ認証、クライアント認証を行う。
- 改ざん検知:パケットにハッシュ値を付加することで改ざん検知を行う。
知識問題ですが、解らない場合は、セキュリティの3要素「機密性」「完全性」「可用性」の観点で捉えるといいかもしれません。
「機密性」は暗号化や認証に該当するので、残りの「完全性」「可用性」について考えます。
「完全性」はデータの正確さ及び完全さの特性ですので、通信途中で改ざんされていることを検知する機能になります。
イ:L2フォワーディング
「SSL-VPNは、リバースプロキシ方式、ポートフォワーディング方式、(イ)方式の3方式がある。」
知識問題で、SSL-VPNは、リバースプロキシ方式、ポートフォワーディング方式、L2フォワーディング方式の3方式があることを覚えましょう。
- リバースプロキシ方式:クライアントからSSL-VPN装置にHTTPS(ポート番号:443)でアクセスし、認証が許可されると、社内のWebアプリケーション(ポート番号:80又は443)にアクセスできる。
- ポートフォワーディング方式:SSL-VPNクライアントとSSL-VPN装置間でHTTPS(ポート番号:443)で通信経路を確立したのち、その中で各種アプリケーションにアクセスできる。
- L2フォワーディング方式:SSL-VPNクライアントとSSL-VPN装置間でトンネルを確立し、その中でレイヤ2の通信を行う。SSL-VPNクライアントには仮想IPアドレスが割り振られる。
ウ:ポート
「ポートフォワーディング方式のSSL-VPNは、社内のノードに対してTCP又はUDPの任意の(ウ)へのアクセスを可能にする。」
前問のとおり、ポートフォワーディング方式ではTCP又はUDPの任意のポートへのアクセスを可能にします。
下線①について、同時に行われる二つのセキュリティ処理を答えよ。:暗号化、メッセージ認証
「一例を挙げると、TLS1.3ではAEAD(Authenticated Encryption with Associated Data)暗号利用モードの利用が必須となっており、①セキュリティに関する二つの処理が同時に行われる。」
AEADの和訳「認証付き暗号」から想像つくかもしれません。
認証についてはクライアントやサーバの認証ではなく、メッセージが改ざんされていないことを検証するメッセージ認証になります。
下線②について、電子証明書において識別用情報を示すフィールドは何か。フィールド名を答えよ。:Subject、エ:公開
「認証局(以下、CAという)によって発行された電子証明書には、②証明対象を識別する情報、有効期限、(エ)鍵、シリアル番号、CAのデジタル署名といった情報が含まれる。」
直前の記述「TLSプロトコルで用いられる電子証明書の形式は、X.509によって定められている。」にある、X.509について確認しましょう。
X.509は電子証明書のITU-T規格で、主なフィールドには以下のようなものがあります。
- serialNumber(シリアル番号):CA内で識別するための番号
- issure(発行者):証明書を発行したCA
- validity(有効期限):証明書の有効期限
- subject(主体者):公開鍵を識別する情報。subjectフィールド中のCN(Common Name)が証明対象を識別する情報となる。
- subjectAltName(別名):主体者の別名
- subjectPublicKeyInfo(公開鍵):主体者の公開鍵
オ:ポートフォワーディング
「SSL-VPN装置がRDPだけで利用されることを踏まえ、SSL-VPNの接続方式は(オ)方式とする。」
リバースプロキシ方式、ポートフォワーディング方式、L2フォワーディング方式の中から、今回採用する方式を確認します。
RDP(ポート番号:TCP 3389番)を利用することから、ポートフォワーディング方式かL2フォワーディング方式になります。
RDPだけで利用されることから、L2フォワーディング方式までは不要であり、ポートフォワーディング方式が最適でしょう。