【ネットワークスペシャリスト試験 令和6年度 春期 午後1 問3 設問3】ローカルブレイクアウト-WPAD

ネットワークスペシャリスト試験 令和6年度 春期 午後1 問3

【出典:ネットワークスペシャリスト試験 令和6年度 春期 午後1 問3(一部、加工あり)】

問3 ローカルブレイクアウトによる負荷軽減に関する次の記述を読んで、設問に答えよ。

 A社は、従業員300人の建築デザイン会社である。東京本社のほか、大阪、名古屋、仙台、福岡の4か所の支社を構えている。本社には100名、各支社には50名の従業員が勤務している。
 A社は、インターネット上のC社のSaaS(以下、C社SaaSという)を積極的に利用する方針にしている。A社情報システム部ネットワーク担当のBさんは、C社SaaS宛ての通信がHTTPSであることから、ネットワークの負荷軽減を目的に、各支社のPCからC社SaaS宛ての通信を、本社のプロキシサーバを利用せず直接インターネット経由で接続して利用できるようにする、ローカルブレイクアウトについて検討することにした。

[現在のA社のネットワーク構成]
 現在のA社のネットワーク構成を図1に示す。


 現在のA社のネットワーク構成の概要を次に示す。

  • 本社及び各支社はIPsec VPN機能をもつUTMでインターネットに接続している。
  • プロキシサーバは、従業員が利用するPCのHTTP通信、HTTPS通信をそれぞれ中継する。プロキシサーバではセキュリティ対策として各種ログを取得している。
  • DMZや内部ネットワークではプライベートIPアドレスを利用している。
  • PCには、DHCPを利用してIPアドレスの割当てを行っている。
  • PCが利用するサーバは、全て本社のDMZに設置されている。
  • A社からインターネット向けの通信については、本社のUTMでNAPTによるIPアドレスとポート番号の変換をしている。


[現在のA社のVPN構成]
 A社は、UTMのIPsec VPN機能を利用して、本社をハブ、各支社をスポークとする()型のVPNを構成している。本社と各支社との間のVPNは、IP in IPトンネリング(以下、IP-IPという)でカプセル化し、さらにIPsecを利用して暗号化することでIP-IP over IPsecインタフェースを構成し、2拠点間をトンネル接続している。①本社のUTMと支社のUTMのペアではIPsecで暗号化するために同じ鍵を共有している。②この鍵はペアごとに異なる値が設定されている。
③IPsecの通信モードには、トランスポートモードとトンネルモードがあるが、A社のVPNではトランスポートモードを利用している
 A社のVPNを構成するIPパケット構造を図2に示す。


 VPNを構成するために、本社と各支社のUTMには固定のグローバルIPアドレスを割り当てている。④IP-IP over IPsecインタフェースでは、IP Unnumbered設定が行われている。また、⑤IP-IP over IPsecインタフェースでは、中継するTCPパケットのIPフラグメントを防止するための設定が行われている。

[プロキシサーバを利用した制御]
 BさんがUTMについて調べたところ、追加ライセンスを購入することでプロキシサーバ(以下、UTMプロキシサーバという)として利用できることが分かった。
 Bさんは、ネットワークの負荷軽減のために、各支社のPCからC社SaaS宛ての通信は、各支社のUTMプロキシサーバをプロキシサーバとして指定することで直接インターネットに向けることを考えた。また、各支社のPCからその他インターネット宛ての通信は、通信相手を特定できないことから、各種ログを取得するために、これまでどおり本社のプロキシサーバをプロキシサーバとして指定することを考えた。各社のPCから、C社SaaS宛てとその他インターネット宛ての通信の流れを図3に示す。


 Bさんは、各支社のPCが利用するプロキシサーバを制御するためにプロキシ自動設定(以下、PACという)ファイルとWebプロキシ自動検出(以下、WPADという)の導入を検討することにした。

[PACファイル導入検討]
 BさんはPACファイルの作成方法について調査した。PACファイルはJavaScriptで記述する。PACファイルに記述するFindProxyForURL関数の第1引数であるurlにはアクセス先のURLが、第2引数であるhostにはアクセス先のURLから取得したホスト名が渡される。これらの引数に渡された値を様々な関数を用いて条件分けし、利用するプロキシサーバを決定する。FindProxyForURL関数の戻り値が”DIRECT”ならば、プロキシサーバを利用せず直接通信を行う。戻り値が”PROXY host:port”ならば、指定されたプロキシサーバ(host)のポート番号(port)を利用する。
 テスト用に大阪支社のUTMを想定したPACファイルを作成した。Bさんが作成した大阪支社のUTMのPACファイルを図4に示す。


 Bさんは、テスト用のPCとテスト用のUTMプロキシサーバを用意し、作成したPACファイルを利用することで、テスト用のPCからC社SaaS宛ての通信が、期待どおりに本社のプロキシサーバを利用せずに、テスト用のUTMプロキシサーバを利用することを確認した。⑥Bさんは各支社のPACファイルを作成した

[WPAD導入検討]
 WPADは、()や()の機能を利用して、PACファイルの場所を配布するプロトコルである。PCやWebブラウザのWebプロキシ自動検出が有効になっていると、()サーバや()サーバと通信を行い、アプリケーションレイヤープロトコルの一つである()を利用して()サーバからPACファイルのダウンロードを試みる。
 WPADの利用には、PCやWebブラウザのWebプロキシ自動検出を有効にするだけでよく、簡便である一方、悪意のある()サーバや()サーバがあると⑦PCやWebブラウザが脅威にさらされる可能性も指摘されている。Bさんは、WPADは利用しないことにし、PCやWebブラウザのWebプロキシ自動検出を無効にすることにした。PCやWebブラウザにはPACファイルの()を直接設定する。

 Bさんが検討した対応案が承認され、情報システム部はプロジェクトを開始した。

いよいよ「ローカルブレイクアウト」をテーマにした令和6年度春期午後1問3の解説も最終回です。これまでに設問1で「IPsec VPN」、設問2で「PACファイル」について学んできました。

最終回となる今回は【設問3】で問われた「WPAD(Web Proxy Auto-Discovery Protocol)」に焦点を当てます。PACファイルをPCに配布するための便利な仕組みですが、そこにはセキュリティ上の大きな落とし穴も潜んでいます。

出題趣旨にもあるように、プロキシサーバの構成・運用は実務の重要テーマです。WPADの利便性とリスクを正しく理解し、設問の背景にあるセキュリティ設計思想を学び取りましょう!

WPAD導入検討 – 自動化の光と影

前回解説したように、A社のBさんはPACファイルを使って、アクセス先に応じた柔軟なプロキシ制御を実現しようとしています。しかし、ここで一つ課題が残ります。

「全従業員のPC一台一台に、手動でPACファイルの設定をするのは大変だ…」

そこで登場するのが、WPAD(Web Proxy Auto-Discovery Protocol)です。WPADは、その名の通りPCが自動的にプロキシ設定(PACファイルの場所)を見つけ出すための仕組みです。これを導入すれば、管理者の手間を大幅に削減できます。

しかし、Bさんはこの便利なWPADの利用を見送ることにしました。その理由こそが、今回の設問の核心です。

【設問3】WPAD導入検討

(1) 空欄(イ)~(オ)に入る字句は?

【解答】 (イ) DHCP (ウ) DNS (エ) HTTP (オ) URL

この問題は、WPADの動作シーケンスと、最終的にBさんが選択した設定方法を正しく理解しているかを問うています。

(イ) (ウ) (エ) – WPADの仕組み

本文の「WPADは、(イ) や (ウ)の機能を利用して、PACファイルの場所を配布するプロトコルである」という記述から、WPADの動作フローを追ってみましょう。

PCのブラウザで「設定を自動的に検出する」が有効になっていると、以下の順序でPACファイルの場所を探しに行きます。

  1. STEP1: (イ) DHCPサーバに問い合わせ
    PCはまず、ネットワーク設定情報をもらっているDHCPサーバに対して、「オプションコード252」という特別な情報を使って「PACファイルのURLを教えてください」と問い合わせます。DHCPサーバ側でこのURLが設定されていれば、PCはPACファイルの場所を知ることができます。
  2. STEP2: (ウ) DNSサーバに問い合わせ
    DHCPで解決できなかった場合、PCは次にDNSサーバに頼ります。PCは自身が所属するドメイン名(例: osaka.a-sha.jp)の先頭に「wpad」を付け足した、「wpad.osaka.a-sha.jp」というホスト名のIPアドレスを問い合わせます。DNSサーバがこの名前解決に成功すれば、そのIPアドレスがPACファイルを配布するサーバだと分かります。
  3. STEP3: (エ) HTTPでダウンロード
    DHCPかDNSによってPACファイルの場所(URL)が判明したら、PCはそのサーバに対してHTTPプロトコルを使い、PACファイルのダウンロードを試みます。

この一連の流れから、(イ)にはDHCP、(ウ)にはDNS、(エ)にはHTTPが入ることが分かります。

(オ) – WPADを使わない場合の設定

BさんはWPADの利用をやめ、「PCやWebブラウザにはPACファイルの(オ)を直接設定する」ことにしました。

採点講評で「正答率が低かった」と指摘されたのが、この(オ)です。

PCのプロキシ設定画面を思い浮かべてみてください。「自動構成スクリプトを使用する」という項目があり、その入力欄にPACファイルの場所を指定します。ここに入力するのは、C:\Users\… のようなローカルファイルのパスではなく、http://server-name/proxy.pac のような形式です。

この形式は、ファイルの場所を指し示す「URL(Uniform Resource Locator)」そのものです。したがって、(オ)の答えはURLとなります。

(2) WPADに潜む脅威とは?

【解答】 不正なプロキシサーバに中継される。

本文の下線⑦「PCやWebブラウザが脅威にさらされる可能性も指摘されている」について、具体的にどのような脅威があるかを答える問題です。

WPADの仕組みを思い出してください。PCはDHCPサーバやDNSサーバを「信頼して」、PACファイルの場所を教えてもらいます。ここにセキュリティ上の弱点があります。

もし、攻撃者が社内ネットワークに侵入し、悪意のあるDHCPサーバやDNSサーバを設置したらどうなるでしょうか?

  1. PCがWPADの問い合わせを行うと、偽のDHCP/DNSサーバが応答し、攻撃者が用意した偽のPACファイルのURLをPCに教えます。
  2. PCはそれを信じて、攻撃者のサーバから悪意のあるPACファイルをダウンロードしてしまいます。
  3. そのPACファイルには、「全ての通信を、攻撃者が設置した不正なプロキシサーバ経由で行いなさい」という指示が書かれています。
  4. 結果として、そのPCからのWeb通信(ID、パスワード、クレジットカード情報、社内秘情報など)は全て攻撃者に筒抜けとなり、盗聴や改ざんの被害に遭ってしまいます。

このように、WPADを悪用されると、ユーザーが気づかないうちに通信が「不正なプロキシサーバに中継される」という脅威にさらされるのです。Bさんはこのリスクを重く見て、利便性よりも安全性を優先し、WPADを利用しないという判断を下しました。

まとめ

今回の【設問3】を通じて、以下の重要なポイントを学びました。

  • WPADの仕組み: DHCPとDNSという基本的なプロトコルを利用して、PACファイルのURLをPCに自動配布する仕組みである。
  • WPADの脅威: 悪意のあるDHCP/DNSサーバに応答されると、通信が不正なプロキシに誘導され、中間者攻撃を受けるリスクがある。
  • セキュリティと利便性のトレードオフ: Bさんの判断のように、利便性が高い技術でも、セキュリティリスクを評価し、導入を見送るという判断は実務において非常に重要である。
  • 手動設定: WPADを使わない場合、PACファイルの場所を示すURLをPCに直接設定する必要がある。

これにて、令和6年度春期午後1問3の解説は終了です。IPsec VPNによる拠点間接続、ローカルブレイクアウト、そしてそれを実現するためのPACファイルとWPAD。クラウド利用が当たり前になった現代のネットワークエンジニアに必須の知識が詰まった良問でした。

一つ一つの技術を深く理解し、それらがどのように連携し、どのようなメリットやリスクがあるのかを体系的に学ぶことが、合格への鍵となります。頑張ってください!