【ネットワークスペシャリスト試験 令和4年度 春期 午後2 問1 No.1】

ネットワークスペシャリスト試験 令和4年度 春期 午後2 問1

【出典：ネットワークスペシャリスト試験 令和4年度 春期 午後2 問1（一部、加工あり）】

問1 テレワーク環境の導入に関する次の記述を読んで、設問1〜5に答えよ。

 K社は、東京に本社を備える中堅の製造業者である。東京の本社のほかに、大阪の支社、及び関東圏内のデータセンタがある。このたびK社では、テレワーク環境を導入し、K社社員が自宅などをテレワーク拠点として、個人所有のPC（以下、個人PCという）を利用して業務を行う方針を立てた。また、業務の重要性から、ネットワークの冗長化を行うことにした。これらの要件に対応するために、情報システム部のP主任が任命された。K社の現行のネットワーク及び導入予定の機器を図1に示す。

[現行のネットワーク構成]
 図1の概要を次に示す。

• 本社、支社、データセンタはM社の広域イーサネットで接続されている。
• サーバセグメントに設置された業務サーバに、社内のPCからアクセスして各種業務を行っている。
• FWは、社内からインターネットへのアクセスのためにアドレス変換（NAPT）を行っている。
• FWでDMZを構成し、DMZにはグローバルIPアドレスが割り当てられている。
• DMZ以外の社内の全てのセグメントは、プライベートIPアドレスが割り当てられている。
• 経路制御の方式は、OSPFが用いられている。
• 本社のネットワークアドレスには、172.16.1.0/24を割り当てている。
• 支社のネットワークアドレスには、172.16.2.0/24を割り当てている。
• データセンタのネットワークアドレスには、172.17.0.0/16を割り当てている。

[テレワーク環境導入方針]
 P主任は、テレワーク環境構築に当たって、導入方針を次のように定め、技術検討を進めることにした。

• テレワーク拠点の個人PCには業務上のデータを一切置かない運用とするために、仮想デスクトップ基盤（以下、VDIという）の技術を採用する。
• データセンタのテレワークサーバセグメントにVDIサーバを導入する。VDIサーバでは、個人ごとの仮想化されたPC（以下、仮想PCという）を稼働させ、個人PCから遠隔で仮想PCを利用可能にする。
• 個人PCには、仮想PCの画面を操作するソフトウェア（以下、VDIクライアントという）を導入する。
• 仮想PCから、業務サーバへアクセスして業務を行う。社内のPCからは直接業務サーバへアクセスできるので、社内のPCから仮想PCは利用しない。
• DMZにSSL-VPN装置を導入して、テレワーク拠点の個人PCからデータセンタのテレワークサーバセグメントへのアクセスを実現する。
• 情報セキュリティの観点から、SSL-VPNアクセスのための認証は、個人ごとに事前に発行したクライアント証明書を用いて行う。
• SSL-VPN装置は、個人PCからの接続時の認証に応じて適切な仮想PCを特定する。そして、個人PCからその仮想PCへのVDIの通信を中継する。このような機能をもつSSL-VPN装置を選定する。
• テレワークを行う利用者は最大200人とする。

[SSL-VPN技術調査とテレワーク環境への適用]
 P主任は、テレワーク拠点からインターネットを介した車内へのアクセスを想定して、SSL-VPNの技術について調査を行い、結果を次のようにまとめた。

• SSL-VPNは、TLSプロトコルを利用したVPN技術である。
• TLSプロトコルは、HTTPS（HTTP over TLS）通信で用いられる暗号化プロトコルであり、インターネットのような公開ネットワーク上などで安全な通信を可能にする。
• TLSプロトコルのセキュリティ機能は、暗号化、通信相手の認証、及び（ア）である。
• SSL-VPNは、リバースプロキシ方式、ポートフォワーディング方式、（イ）方式の3方式がある。
• リバースプロキシ方式のSSL-VPNは、インターネットからアクセスできない社内のWebアプリケーションへのアクセスを可能にする。
• ポートフォワーディング方式のSSL-VPNは、社内のノードに対してTCP又はUDPの任意の（ウ）へのアクセスを可能にする。
• （イ）方式のSSL-VPNは、動的にポート番号が変わるアプリケーションプログラムでも社内のノードへのアクセスを可能にする。
• リバースプロキシ方式以外のSSL-VPNを利用するためには、SSL-VPN接続を開始するテレワーク拠点のPCに、SSL-VPN接続を行うためのクライアントソフトウェアモジュール（以下、SSL-VPNクライアントという）が必要である。
• TLSプロトコルは、複数のバージョンが存在するが、TLS1.3はTLS1.2よりも安全性が高められている。一例を挙げると、TLS1.3ではAEAD（Authenticated Encryption with Associated Data）暗号利用モードの利用が必須となっており、①セキュリティに関する二つの処理が同時に行われる。
• TLSプロトコルで用いられる電子証明書の形式は、X.509によって定められている。
• 認証局（以下、CAという）によって発行された電子証明書には、②証明対象を識別する情報、有効期限、（エ）鍵、シリアル番号、CAのデジタル署名といった情報が含まれる。

 P主任は、SSL-VPNの技術調査結果を踏まえ、テレワーク環境への適用を次のとおり定めた。

• SSL-VPNクライアント、クライアント証明書、及びVDIクライアントを、あらかじめ個人PCに導入する。
• SSL-VPN装置へのアクセスポートは、TCPの443番ポートとする。
• SSL-VPN装置で利用するTLSプロトコルのバージョンは、TLS1.3を用い、それ以外のバージョンが使われないようにする。
• 仮想PCへのアクセスのプロトコルはRDPとし、TCPの3389番ポートを利用する。
• SSL-VPN装置がRDPだけで利用されることを踏まえ、SSL-VPNの接続方式は（オ）方式とする。

ア：改ざん検知

「TLSプロトコルのセキュリティ機能は、暗号化、通信相手の認証、及び（ア）である。」
 TLSでは、最初にクライアントとサーバ間でのTLSハンドシェイクにより、セキュリティに関して以下の機能を実現します。

• 暗号化：共通鍵暗号方式による暗号化通信を行う。暗号方式にはAESなどがある。
• 認証：証明書によりサーバ認証、クライアント認証を行う。
• 改ざん検知：パケットにハッシュ値を付加することで改ざん検知を行う。

 知識問題ですが、解らない場合は、セキュリティの3要素「機密性」「完全性」「可用性」の観点で捉えるといいかもしれません。
 「機密性」は暗号化や認証に該当するので、残りの「完全性」「可用性」について考えます。
 「完全性」はデータの正確さ及び完全さの特性ですので、通信途中で改ざんされていることを検知する機能になります。

イ：L2フォワーディング

「SSL-VPNは、リバースプロキシ方式、ポートフォワーディング方式、（イ）方式の3方式がある。」
 知識問題で、SSL-VPNは、リバースプロキシ方式、ポートフォワーディング方式、L2フォワーディング方式の3方式があることを覚えましょう。

• リバースプロキシ方式：クライアントからSSL-VPN装置にHTTPS（ポート番号：443）でアクセスし、認証が許可されると、社内のWebアプリケーション（ポート番号：80又は443）にアクセスできる。
• ポートフォワーディング方式：SSL-VPNクライアントとSSL-VPN装置間でHTTPS（ポート番号：443）で通信経路を確立したのち、その中で各種アプリケーションにアクセスできる。
• L2フォワーディング方式：SSL-VPNクライアントとSSL-VPN装置間でトンネルを確立し、その中でレイヤ2の通信を行う。SSL-VPNクライアントには仮想IPアドレスが割り振られる。

ウ：ポート

「ポートフォワーディング方式のSSL-VPNは、社内のノードに対してTCP又はUDPの任意の（ウ）へのアクセスを可能にする。」
 前問のとおり、ポートフォワーディング方式ではTCP又はUDPの任意のポートへのアクセスを可能にします。

下線①について、同時に行われる二つのセキュリティ処理を答えよ。：暗号化、メッセージ認証

「一例を挙げると、TLS1.3ではAEAD（Authenticated Encryption with Associated Data）暗号利用モードの利用が必須となっており、①セキュリティに関する二つの処理が同時に行われる。」
 AEADの和訳「認証付き暗号」から想像つくかもしれません。
 認証についてはクライアントやサーバの認証ではなく、メッセージが改ざんされていないことを検証するメッセージ認証になります。

下線②について、電子証明書において識別用情報を示すフィールドは何か。フィールド名を答えよ。：Subject、エ：公開

「認証局（以下、CAという）によって発行された電子証明書には、②証明対象を識別する情報、有効期限、（エ）鍵、シリアル番号、CAのデジタル署名といった情報が含まれる。」
 直前の記述「TLSプロトコルで用いられる電子証明書の形式は、X.509によって定められている。」にある、X.509について確認しましょう。
 X.509は電子証明書のITU-T規格で、主なフィールドには以下のようなものがあります。

• serialNumber（シリアル番号）：CA内で識別するための番号
• issure（発行者）：証明書を発行したCA
• validity（有効期限）：証明書の有効期限
• subject（主体者）：公開鍵を識別する情報。subjectフィールド中のCN（Common Name）が証明対象を識別する情報となる。
• subjectAltName（別名）：主体者の別名
• subjectPublicKeyInfo（公開鍵）：主体者の公開鍵

オ：ポートフォワーディング

「SSL-VPN装置がRDPだけで利用されることを踏まえ、SSL-VPNの接続方式は（オ）方式とする。」

 リバースプロキシ方式、ポートフォワーディング方式、L2フォワーディング方式の中から、今回採用する方式を確認します。
 RDP（ポート番号：TCP 3389番）を利用することから、ポートフォワーディング方式かL2フォワーディング方式になります。
 RDPだけで利用されることから、L2フォワーディング方式までは不要であり、ポートフォワーディング方式が最適でしょう。