情報処理技術者試験ナビ

当サイトは準備中です。

NW H22秋 午後Ⅰ 問3

◀️ 前へ次へ ▶️

 ネットワーク構成の見直しに関する次の記述を読んで,設問 1〜3 に答えよ。

 F社は,中堅の輸入食品卸売会社であり,5年前から営業支援システムを運用している。F社における現在の営業支援システムのネットワーク構成を,図1に示す。

f:id:honmurapeo:20180506093951p:plain

 F社の営業部員は,社内では自席のPCを使い,社外ではモバイル端末を使って,営業支援システムにアクセスする。
 営業支援システムが提供している主なサービスは,次のとおりである。

(1)案件管理サービス

 営業部員がWeb画面のメニューから,活動中の営業内容をDBに登録し,随時更新することで進歩状況を管理する,対話型のサービスである。自席のPCからは,社内のネットワークを通じてWebサーバにアクセスするが,モバイル端末からはSSLを実装したRPサーバを経由して,Webサーバにアクセスする。

(2)商品検索サービス

 Web画面のメニューから,F社で取り扱っている多種多様な商品を検索できる照会サービスである。営業部員だけでなくF社の顧客を含めた一般の利用者も,インターネットに接続されたPCなどの端末を使って,RPサーバを経由してアクセスすることができる。

 

現在のネットワーク構成の問題点
 最近になって,営業部員から情報システム部に対して,“外出先からアクセスしたとき,Webサーバのレスポンスが以前より悪くなった”とのクレームが寄せられた。そこで,FWのアクセスログを確認したところ,インターネットからのアクセスが2〜3か月前から増大していることが判明した。営業部員数や業務量は以前と変わらず,一般の利用者からのアクセスが急増するような新商品の発売もなかったので,情報システム部では,原因は不正なアクセスではないかと考え,ピーク時間帯における30分間のFWのアクセスログを分析し,表に示すあて先ポート別分析レポートをまとめた。

f:id:honmurapeo:20180506094003p:plain

 分析レポートの内容を確認したところ,3か月前のレポートと比較して,正常なアクセスに加えて,インターネットの特定のグローバルIPアドレスからの不正と思われるアクセスが大量に記録されていた。このことによって,RPサーバの負荷が増大し,レスポンス悪化の原因となっていることが分かった。これを受け,情報システム部は,営業支援システムのセキュリティ向上のためのプロジェクトを立ち上げ,担当にはH君が任命された。
 H君が営業支援システムのネットワーク構成を確認した結果,現在のFWには不正なアクセスに対する高度な検知機能がないことを確認した。また,FWは1台だけの構成となっており,故障が発生した場合の代替機がないことも確認した。そこでH君は,FWの機能に詳しいベンダE社のG氏に助言を求めた。
 次は,FWの機能向上に関するH君とG氏の会話である。

H 君:不要なポートをブロックするなど,パケットのTCPヘッダを参照して不正侵入を防ぐFWの機能を利用していましたが,今回のような攻撃は防御できていません。不正侵入を確実に防ぐには,どのような仕組みが必要でしようか。

G 氏:現在の構成では,FWで通過が許可されているパケットを使った不正侵入は防御できないので,より高度な機能をもった侵入検知システム(以下,IDSという)が必要です。IDSには,監視対象のネットワークに設置するネットワーク型IDSと,監視対象のWebサーバなどにインストールする   ア   型IDSの2種類があります。また,侵入検知の仕組みとして,不正なパケットに関する一定のルールやパターンを使う   イ   型と,平常時のしきい値を超えるアクセスがあった場合に不正と見なすアノマリ型(異常検知型)の2種類があります。アノマリ型の場合,しきい値を高く設定したときだけでなく,①しきい値の設定が低すぎたときにも弊害が発生するので,注意が必要です。

H 君:なるほど。適切な設定が重要ですね。更に必要な対策はありますか。

G 氏:Webサーバへのアクセスを通じて不正なSQLが実行される   ウ   や,Webフォームに不正なスクリプトを埋め込んで送る   エ   など,TCPへッダのチェックやしきい値の設定では識別できないようなWebサーバへの攻撃にも対応できるIDSの導入をお勧めします。もちろん,FWの冗長化についても考慮が必要です。

H 君:分かりました。では,ネットワーク構成の具体的な見直しについて,早速検討を開始します。
 

見直し後のネットワーク構成
 G氏の助言を受け,H君は現在のFWを,IDSの機能をもった機種に置き換えることにした。また,FWの障害に備え,2台による構成にした。 見直し後のネットワーク構成を図2に示す。

f:id:honmurapeo:20180506094011p:plain

 新たに導入したFWは,通過パケットのTCPヘッダの   オ   をセッションログとして保管しておき,パケットの到着順序に矛盾がないか確認する。ステートフルパケットインスペクションの機能をもっている。ステートフルパケットインスペクションでは,LAN側から送信したパケットとWAN側から到着したパケットが矛盾した場合,パケットを遮断し,不正アクセスを防止する。さらに,このFWは,1台のFWが故障したときでも処理を中断させることなく,もう1台のFWで処理を継続させる。ステートフルフェールオーバの機能も備えている。
 ステートフルフェールオーバを利用するため,2台のFWをネットワークに接続し,更にFW同士をケーブルで接続した。通常は FW1 だけが機能しているが,管理情報を FW1 から FW2 に一定間隔で複製し,FW1 に障害が発生した場合には,それまで稼働していないFW2 が自動的に処理を引き継ぐ設定とした。この設定によって,②営業部員は,FWが切り替わったことを意識せずに営業支援システムを継続利用できるようになった。ただし,FW2 から FW1 に管理情報を自動的に複製していないので,FWを切り戻すときは,手動の作業を必要とする設定にした。したがって,この切り戻し時,営業部員は営業支援システムを継続利用できないことになる。
 F社では,H君の案に基づいてネットワーク構成を変更した後,テストのために FW1 をシャットダウンしたところ,設定どおり FW2 への切替えが自動的に行われ,営業支援システムは継続利用できることを確認した。その後,FWの切り戻しを行って,元の状態に復旧させた。復旧後も営業支援システムは順調に稼働し,ネットワーク構成の見直しは完了した。

 

設問1

 本文中の   ア    オ   に入れる適切な字句を答えよ。

アの解答例・解説
解答例

 ホスト

解説

 XXXXXXXX

イの解答例・解説
解答例

 シグネチャ

解説

 XXXXXXXX

ウの解答例・解説
解答例

 SQL インジェクション

解説

 XXXXXXXX

エの解答例・解説
解答例

 クロスサイトスクリプティング

解説

 XXXXXXXX

オの解答例・解説
解答例

 シーケンス番号

解説

 XXXXXXXX

 

 

設問2

 〔現在のネットワーク構成の問題点〕について,(1)〜(3)に答えよ。

(1)FW で防御できない不正と思われるアクセスとは何か。表を参考にして,20字以内で述べよ。
 

解答例・解説
解答例

 80 番ポートに対する DoS 攻撃

解説

 XXXXXXXX

 

(2)G 氏が指摘した,TCP ヘッダのチェックやしきい値の設定では識別できないような Web サーバへの攻撃に対応するために,侵入検知の際に着目すべきパケットの部分を,15 字以内で述べよ。
 

解答例・解説
解答例

 データ部分の内容

解説

 XXXXXXXX

 

(3)本文中の下線①について,発生する弊害を,40 字以内で具体的に述べよ。
 

解答例・解説
解答例

 不正な通信だけでなく適正な通信も異常として検知されてしまう。

解説

 XXXXXXXX

 

 

設問3

 〔見直し後のネットワーク構成〕について,(1)〜(3)に答えよ。

(1)FW の切替えが発生した場合に,FW1 からFW2 に引き継がれる情報を,OSI 基本参照モデルの第 3 層以下から二つ挙げ,それぞれ 10 字以内で答えよ。
 

解答例・解説
解答例
  • 仮想 IP アドレス
  • 仮想 MAC アドレス
解説

 XXXXXXXX

 

(2)本文中の下線②の実現に必要な管理情報を,45 字以内で具体的に述べよ。
 

解答例・解説
解答例

 切り替わる前の FW1 で保持していた,モバイル端末との接続のセッションログ 情報

解説

 XXXXXXXX

 

(3)実際にFWの故障による切替えが発生したとき,修理完了後に FW2 から FW2 に手動で切り戻す際に必要な運用上の留意点を,40 字以内で述べよ。
 

解答例・解説
解答例

 営業支援システムの利用を一時制限して,切り戻し作業を行う。

解説

 XXXXXXXX

 

 

IPA講評

出題趣旨

 DoS 攻撃やSQL インジェクションなど,インターネットからの攻撃から防御する仕組みとして, IDS などの侵入検知及び防御システムを実装したアプライアンス型ファイアウォールが注目を集め, 活用されている。
 また,ネットワークの冗長化技術の高度化によって,障害発生時にもセッション情報などを引き継ぎ, シームレスなネットワークの利用が可能となる,ステートフルフェールオーバを実装するファイア ウォールが増えてきている。不正侵入に強く,高いレベルの冗長化を実現するため,ネットワークエ ンジニアには,ファイアウォールに関する新しい関連知識・技術の必要性が高まっている。
 本問では,ネットワーク構成の見直しを題材に,実現方法の特徴や利点,構築上の留意事項などに ついて,基本的な知識と理解力を問う。

採点講評

 問3 では,ファイアウォールの更改を題材に,インターネットからの攻撃に対処する侵入検知システ ムと,ファイアウォールに障害が発生した場合でもシームレスなネットワークの利用を実現する,冗長 化技術について出題した。全体として,比較的平易な設問であったが,予想に比べて正答率は低かった。
 設問1 は,イの正答率が低かった。基本的な用語については基礎知識として習得してほしい。
 設問2(1)は,表から不正侵入のパターンを見いだす,実務に沿った設問としたが,単に問題文から 抜き出している解答が多かった。設問の記述によく注意して,正答を導くことに注意してほしい。
 設問2(3)では,しきい値の高低とアクセス数の多少を混同している解答が多かった。また,しきい 値を高く設定したときと低く設定したときを,全く逆に捉えている解答も散見された。
 設問3(3)は,比較的正答率が高かった。それまでの技術的な内容から視点を変えて,ネットワーク を切り替えるときのシステム全体の運用まで含めた,より実践的な知識が重要であることを理解して ほしい。