情報処理技術者試験ナビ

当サイトは準備中です。

NW H28秋 午後Ⅰ 問2

◀️ 前へ次へ ▶️

 モバイルネットワークの検討に関する次の記述を読んで,設問1〜4に答えよ。

 E社は,中堅の運送業者である。E社では,営業活動の効率向上を目的として,販売管理システム(以下,システムという)を導入することにした。システムでは顧客宅を訪問した営業員が,支給されたタブレット端末とモバイルWi-Fiルータを用いて,サービス紹介などのプレゼンテーション,見積書の作成,及び車両・作業員の手配を行えるようにする。

モバイルネットワークの検討
 システムの導入に当たり,社内プロジェクトチームが発足し,O君がモバイルネットワークについて検討することになった。O君が考えたモバイルネットワーク構成案を,図1に示す。

f:id:honmurapeo:20180512233539p:plain

 モバイルネットワーク構成案の概要は,次のとおりである。

  • タブレット端末とモバイルWi-Fiルータの接続は,無線LANを用いる。
  • モバイルWi-Fiルータとインターネットの接続は,通信事業者のLTE回線を用いる。
  • VPNサーバ及びFWとインターネットの接続は,SW1,ルータを介して行う。
  • タブレット端末は,VPNサーバとVPN接続を行い,VPN接続後の名前解決は,内部DNSサーバを用いて行う。
  • タブレット端末から販売管理サーバ及びインターネット上のサーバへの通信は,VPN接続を通して,プロキシサーバ経由で行う。
  • タブレット端末から販売管理サーバへの通信には,HTTPSを用いる。
  • プロキシサーバ及び内部DNSサーバからインターネットへの通信は,FWを介して行う。
  • 販売管理サーバ,プロキシサーバ及び内部DNSサーバには,プライベートIPアドレスを割り当てる。

無線LAN接続の検討
 導入が検討されているモバイルWi-Fiルータでは,アクセスポイント保護のために次のセキュリティ対策機能が搭載されている。

  • SSIDの値を変更する機能
  • SSIDを隠ペいする○ステルス機能
  • MACアドレスフィルタリング機能

 ②ステルス機能とMACアドレスフィルタリング機能を用いたセキュリテイ対策だけでは不十分なので,無線LAN通信の暗号化を行う。導入が検討されているタブレット端末及びモバイルWi-Fiルータは,WEP,WPA及びWPA2に対応しており,このうちのWPA2を採用する。WPA2は,無線LANの暗号化アルゴリズムとして■が初めて採用された方式である。認証方式には,あらかじめタブレット端末とモバイルWi-Fiルータに同じパスフレーズを設定する口認証を用いる。このパスフレーズは一定以上の長さで十分に複雑な文字列とし,SSIDと同様に,モバイルWi-Fiルータごとに異なる値を設定する。
 タブレット端末が無線LANに接続すると,モバイルWi-Fiルータは,DHCPによってプライベートIPアドレスの配布を行う。③このプライベートIPアドレスは他のネットワークと重複しないように設計する。

LTE回線を用いたインターネット接続の検討
 モバイルWi-Fiルータには,通信事業者が契約者を識別する情報が記録されているが挿入されている。モバイルWi-Fiルータには,利用者IDやパスワードといった認証情報に加えて,LTE回線からインターネットのようなネットワークへのゲートウェイの指定を意味する,■の情報を設定する。
 モバイルWi-Fiルータは,電源投入時に自動的にインターネット接続を開始し,グローバルIPアドレスが割り当てられる。タブレット端末がインターネット上のサーバと通信を行う際に,モバイルWi-Fiルータでは■によるIPアドレスとポト番号の変換処理が行われる。
 タブレット端末が,インターネットに接続できるようになると,営業員が業務に必要のないWeb閲覧を行うなど,不適切な利用が行われる可能性がある。その対策として,通信可能な接続先IPアドレスを制限するLTE回線のオプションサービスを利用し,モバイルWi-Fiルータからの通信が可能な範囲を,VPNサーバとその名前解決に用いる外部DNSサーバに限定する。

VPN の接続検討
 導入が検討されているタブレット端末には,L2TPoverIPsecを用いたVPN接続機能が搭載されており,これを利用する。E社データセンタのVPNサーバには,グローバルIPアドレスを割り当てる。
 VPNサーバへの不正アクセスを防止するためのセキュリティ対策を行う。例えば,利用者ID,固定パスワードを用いて利用者認証を行う場合,これらが漏えいすると,直ちにインターネットから不正アクセスが可能となり,危険である。その対策として,ハードウェアトークンを利用する。ハードウェアトークンでは,一定時間ごとに変化する数字が表示されるので,これをワンタイムパスワードとして利用する。
 タブレット端末がVPN接続を行うと,VPNサーバは,タブレット端末に対して図1中のネットワークセグメント(E)からプライベートIPアドレスを割り当てる。
 訪問した顧客宅での利用が前提となるタブレット端末,モバイルWi-Fiルータ及びハードウェアトークンは,紛失する可能性がある。@営業員が,これらを紛失した際には,直ちにモバイルネットワーク管理者に報告するという運用ルールを策定する。不正アクセスが行われた際の影響を最小限にとどめるために,@VPN接続で許可する通信を必要最小限に設定する。

プロキシサーバの検討
 プロキシサーバは,タブレット端末の通信ログを取得する目的で利用し,@プロキシサーバのログから各営業員を特定できるようにする。プロキシサーバは,HTTPプロキシとHTTPSプロキシの各機能をもつ。HTTPプロキシの場合,プロキシサーバは,タブレット端末からのリクエストを受け付け,その内容を基に新たにHTTPサーバへリクエストを開始する。一方,HTTPSプロキシの場合,プロキシサーバは,タブレット端末からの■要求によってHTTPsサーバへのTLSトンネルを中継し,その後のリクエストは,TLSトンネルの中をそのまま転送する。@HTTPSの場合はHTTPと比較して取得できるログの内容が限られるが,システム運用上問題はない。

 O君は,以上の検討結果をまとめて,プロジェクトに提案した。その結果,O君が考えたネットワーク構成案は,プロジェクトで採用され,システムが構築されることになった。

設問1

 〔XXX〕について,(1)〜()に答えよ。

(1)本文中及び表中の   ア    オ   に入れる適切な字句を答えよ。
 

アの解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

イの解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

ウの解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

エの解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

オの解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(2)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(3)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(4)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

 

設問2

 〔XXX〕について,(1)〜()に答えよ。

(1)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(2)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(3)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(4)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

 

設問3

 〔XXX〕について,(1)〜()に答えよ。

(1)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(2)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(3)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(4)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

 

設問4

 〔XXX〕について,(1)〜()に答えよ。

(1)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(2)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(3)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(4)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

 

IPA講評

出題趣旨

 近年,企業においてスマートフォンやタブレットといったモバイル端末の業務利用が進んでいる。モバイル 端末を用いた業務システムを設計する際には,業務要件を満たすとともに,セキュリティ脅威についても考慮 する必要がある。セキュリティ脅威に対する対策は,様々な方法を組み合わせる場合が多い。
 本問では,ある企業のモバイルネットワークを想定し,これを構成する無線 LAN 接続, LTE 回線を用いた インターネット接続, VPN 接続, プロキシサーバの各要素について,ネットワーク上のセキュリティ脅威を想定し,取るべき対策を考えられるか, 及び不正が行われた際の影響を最小限にする設計を考えられるかを問う。

採点講評

 問2では,業務システムを設計する際に, ネットワーク上のセキュリティ脅威を想定し, 取るべき対策を考えられるか,及び不正が行われた際の影響を,最小限にする設計を考えられるかについて出題した。全体とし て,正答率は低かった。
 設問2 (1)では, 誤って, 無線ネットワークの一覧に SSID が表示されないなど, ステルス機能によって無線LAN クライアント側にみられる効果を解答したものが散見された。(2)では,無線 LAN は電波を利用するため通信内容を容易に傍受されうることは理解できているものの, SSID や MAC アドレスは暗号化できないために容易に取得されうることを理解している解答は少なかった。無線LAN は広く普及した技術であり,ネットワーク技術者として正確に理解をし,身に付けてほしい。
 設問3 (2)は,正答率は低くなかったが,本文中に示されている条件を見落としたと思われる解答が散見され た。限られた時間の中ではあるが,本文や図表から,ネットワーク構成を正しく読み解けるようになってほしい。
 設問4は,(1)の正答率は低かった。プロキシを通すだけでなく,利用者認証による利用者情報を含めたログ 取得を行うことによって,セキュリティ脅威に対して業務システムをより堅年にできる点について理解を深め てほしい。また, (2)の正答率は, 比較的高かった。セキュリティ脅威を想定する上で,取得できるログの内容 が重要であることはよく理解されていることがうかがえた。