情報処理技術者試験ナビ

当サイトは準備中です。

NW H25秋 午後Ⅰ 問1

◀️ 前へ次へ ▶️

 リモート接続ネットワークの検討に関する次の記述を読んで,設問1〜4に答えよ。

 A社は,従業員数100人のソフトウェア開発会社であり,開発の一部を関連会社であるB社に委託している。従来,B社の開発者は,仕様書を自社に持ち帰って作業を行っていたが,このたび,情報保護,品質管理及び進歩管理の強化のために,A社の開発システムを,インターネット経由でB社にも利用してもらうことにした。
 A社の情報システム部のM課長は,ネットワーク担当のN君に対し,ネットワーク構成とその運用を検討するように指示した。B社からの接続を可能にするためにN君が考えた。新ネットワークの構成を,図1に示す。

f:id:honmurapeo:20180509194958p:plain

 開発システムは,設計書やソフトウェアモジュールなどを管理する資産管理サーバ,及びテストを行うためのテスト環境サーバから構成されている。A社の情報システム部がまとめた,ネットワーク要件を次に示す。

  • B社の開発者は,B社の自席PCのブラウザからインターネット経由でA社の開発システムを利用する。
  • B社のネットワークの変更は,最小限に抑える。
  • A社のFWで,DMZと内部LANへは必要なパケットだけを通すようにする。
  • A社とB社間の通信は暗号化する。
  • サーバとPCは,ともに電子証明書を使った認証を行う。
  • サーバの電子証明書は,信頼できる機関から発行されたものを利用する。
  • B社のPCからのウイルスによる感染や情報漏えいを防止する。

リモート接続ネットワーク構成の検討
 N君はまず,現状のB社のネットワークを変更せず,既存のPCのブラウザから開発システムを利用するために,SSL-VPNを採用した。さらに,N君は,B社の開発者に,クライアント証明書を格納したUSBデバイス(以下,トークンという)を貸与することによって不正アクセス防止を図ることにした。
 SSL には,PD と SSL-VPN 装置間において,SSL セッションを確立させるためのハンドシェイクプロトコルが規定されている。ハンドシェイクプロトコルでは,  ア   メッセージによって暗号化アルゴリズムを決定し,公開鍵による電子証明書の確認後,共通鍵での暗号化と,メッセージ認証コードのチェックを行い,SSLセッションを確立する。
 次に,N君は,PCとSSL-VPN装置の通信にSSLトンネルを利用するポートフォワード方式を採用した。
 ポートフォワード方式の場合,PCからSSL-VPN装置に接続したときに認証が行われ,SSL-VPN装置からPCにJavaアプレットがダウンロードされ,SSLトンネルが確立される。また,Javaアプレットによって,PCのhostsファイルに,ループバックアドレスと開発システムの各サーバの宛先を対応させた定義が追加される。①ループバックアドレスの利用は,社内で使用中のプライベートアドレスを利用するよりも利点があり,127.0.0.1〜   イ   の範囲内で利用可能である。
 N君は,ループバックアドレス127.0.1.10を資産管理サーバの   ウ   に対応付けるように設計したので,Java アプレットは,“127.0.1.0 shisankanri.example.com” という定義をhostsファイルに追加し,事前に指定したボート番号で待ち受ける。
 N君が設計した,B社のPCから開発システムへの接続概念図を,図2に示す。

f:id:honmurapeo:20180509195008p:plain

 B社のPCでは,図2中で示した(a)において,Javaアプレットが事前に指定したボート番号で待ち受け,B社の開発者がPCのブラウザに表示されたメニューの中からアプリケーション名を選択することで,SSLトンネルを経由してSSL-VPN装置へアクセスしデータを送る。SSL-VPN装置では,図2中で示した(b)において,ソフトウェアモジュールがポートマッピングテーブルを参照して,待受けポートとプライベートアドレスに対応する転送先ポートへデータを送る。②この方式では,使用できないアプリケーションが発生するが,今回の開発システムでは問題がないことをN君は確認した。また,SSL-VPN装置のログアウト時に,Javaアプレットがhostsファイルを編集前の設定に戻すことも確認した。さらに,N君は,開発作業のピーク時に開発システムの利用頻度が増大することを考慮し,③SSL-VPN装置において,SSLセッションのキャッシュ時間を延ばす設定を行うことにした
 N君は,図1と図2を基に,FWの通信を許可する追加設定を,表1にまとめた。

f:id:honmurapeo:20180509195019p:plain

リモート接続ネットワークの運用の検討
 N君は,リモート接続ネットワークの運用の検討を行った。サーバ証明書の正当性は,証明書が,信頼できる認証機関である   エ   から発行されていることを,PC側で検証することで確認される。また,B社のPC側の利用者の正当性は,トークンに格納されたクライアント証明書で確認される。今回,A社では,独自にクライアント証明書を発行するとともに,クライアント証明書を管理する運用担当者を選定することにした。N君は,④クライアント証明書の管理に必要な情報を,運用担当者に自動的に通知する仕組みを作ることにした。さらに,N君は,B社内のPCからA社の開発システムを利用するときの,ウイルスによる感染や情報漏えいを防止する要件を満たすために,⑤SSL-VPN装置へのログイン時とログアウト時に,Javaアプレットがもつべき機能を調査し,問題がないことを確認した。
 リモート接続ネットワークの基本構成が了承され,構築作業が開始された。

設問1

 本文中の   ア    エ   に入れる適切な字句を答えよ。

アの解答例・解説
解答例

 HELLO

解説

 XXXXXXXX

イの解答例・解説
解答例

 127.255.255.254

解説

 XXXXXXXX

ウの解答例・解説
解答例

 FQDN

解説

 XXXXXXXX

エの解答例・解説
解答例

 第三者認証局

解説

 XXXXXXXX

 

 

設問2

 〔リモート接続ネットワーク構成の検討〕について,(1)〜(4)に答えよ。

(1)本文中の下線 ① について,ループバックアドレスを用いる利点を,セキュリティ面に着目して,20字以内で述べよ。
 

解答例・解説
解答例

 外部からの不正利用が発生しない。

解説

 XXXXXXXX

 

(2)本文中の下線 ② について,使用できないアプリケーションの通信の特徴を,図2に着目して,20字以内で述べよ。
 

解答例・解説
解答例

 サーバ側のポート番号が変化する。

解説

 XXXXXXXX

 

(3)本文と図2の内容を基に,PCのブラウザから資産管理サーバのAP1への接続に際し,Javaアプレットが受け付けるIPアドレスとボート番号を答えよ。また,そのときのJavaアプレットと資産管理サーバとの間で確立されるTCPコネクションを,図2中の名称を用いて二つ答えよ。
 

IP アドレスの解答例・解説
解答例

 127.0.1.10

解説

 XXXXXXXX

ポート番号の解答例・解説
解答例

 6310

解説

 XXXXXXXX

TCP コネクションの解答例・解説
解答例
  • Javaアプレット と SSL-VPN装置 間
  • SSL-VPN装置 と 資産管理サーバ 間
解説

 XXXXXXXX

 

(4)本文中の下線 ③ について,設定の目的を,“SSLセッション”という字句を用いて,30字以内で述べよ。
 

解答例・解説
解答例

 SSL セッション確立による負荷を,軽減させるため

解説

 XXXXXXXX

 

 

設問3

 表1中の   オ    ケ   に入れる適切な字句を答えよ。

オの解答例・解説
解答例

 202.y.63.10

解説

 XXXXXXXX

カの解答例・解説
解答例

 443

解説

 XXXXXXXX

キの解答例・解説
解答例

 202.y.63.11

解説

 XXXXXXXX

クの解答例・解説
解答例

 202.y.63.11

解説

 XXXXXXXX

ケの解答例・解説
解答例

 202.y.63.11

解説

 XXXXXXXX

 

 

設問4

 〔リモート接続ネットワークの運用の検討〕について,(1)〜(2)に答えよ。

(1)本文中の下線 ④ の情報を,20字以内で述べよ。
 

解答例・解説
解答例

 クライアント証明書の有効期限

解説

 XXXXXXXX

 

(2)本文中の下線 ⑤ の機能を,ログイン時とログアウト時のそれぞれについて,35字以内で具体的に述べよ。
 

ログイン時の解答例・解説
解答例

 ウイルス対策ソフトの定義ファイルの適用状態を確認する機能

解説

 XXXXXXXX

ログアウト時の解答例・解説
解答例

 PC からリモート接続時のキャッシュ情報や履歴情報を削除する機能

解説

 XXXXXXXX

 

 

IPA講評

出題趣旨

 近年,セキュリティを確保するために,公開鍵と秘密鍵によるやり取りの後に,お互いで取り決めた共通鍵 でデータの暗号化通信を行う,SSL がスタンダードになってきている。また,リモート接続のニーズが増大し てきており,セキュアなネットワークを実現するために,SSL-VPN などの活用の場がますます増えてきてい る。これは,企業において,ネットワークシステムの利用が事業活動に必須であるとともに,ネットワーク環 境での個人情報などの情報漏えいが,企業の存続を揺るがすほどのリスクをもっているからである。ネットワ ーク技術者にとって,様々な利用部門の要件に対して,セキュリティの最新技術も加味した,ネットワークシ ステムの設計・構築が重要な責務となっている。 本問では,リモート接続ネットワーク構成の検討において,SSL-VPN をテーマとして,SSL やポートフォワ ード方式,TCP コネクションなど,ネットワーク技術者としてもっておかなければならない基本的なポイント や基礎知識について問う。

採点講評

 問 1 では,リモート接続ネットワークの構成を題材とし,SSL-VPN をテーマとして,SSL やポートフォワー ド方式,TCP コネクションなどの基本的な基礎知識について出題した。全体として,正答率は高かった。 設問 1 は,SSL-VPN に関連した基本的な用語や知識を問うものである。アとイの正答率が低かった。シーケ ンスに関する重要な用語についても,把握しておいてほしい。 設問 2 は,(1)と(2)の正答率が低かったが,基本的な知識を習得していれば,本文をしっかり読むことで正 答を導くことができるはずである。SSL-VPN に関する知識は,単に暗記するだけでなく,きちんと理解し,身 に付けておいてほしい。 設問 4 は,全体として正答率が低かった。SSL-VPN におけるセキュリティに関する問題であるが,本文の要 件と状況設定を整理して読めば,正答を導くことができるはずである。 SSL-VPN は,日常で利用している技術なので,ネットワーク技術者は,セキュリティの最新技術動向も含め て,日頃からしっかり学習しておいてほしい。