テクニカルエンジニア(ネットワーク)平成10年午後I問5
社内ネットワークのセキュリティに関する次の記述を読んで、設問1~3に答えよ。
Q社は、従業員数が1,500名の中堅の自動車部品メーカである。Q社では、営業活動の
効率向上とスピードアップを図るために、図1の社内ネットワークシステムを構築し、
その上で営業支捜システムを稼働させた。
営業支援システムは、TCP/IPプロトコルを利用した顧客管理、営業活動報告、商談進
捗管理、交通費精算、及びSMTPとPOPを使用した電子メールなどのサブシステムから
構成されている。システム導入によって、社内での情報活用意識は更に高まり、システ
ム機能の拡大要望が強くなった。そこで、情報システム部のR君は、要望を基に拡大案
をまとめ、SI業者にシステムの提案を求めた。SI業者からの提案は次の内容であった。
[SI業者からの操業内容]
(1) リモートアクセス環境
本社及び各営業所にアクセスサーバを導入し、出先から公衆電話網経由で社内LAN
に接続してシステムを利用できるようにする。アクセスサーバは、ユーザID(以下、
IDという)とパスワードを用いたユーザ認証機能をもったものを選定した。アクセス
サーバでのユーザ認証は図2の手順で行われるので、アクセスサーバにはユーザ認証
のための個人情報を登録する必要がある。登録可能な個人情報の量は最大100人分で
あるが、本社及び各営業所に所属する営業員の数は100人に満たないことと、各営業
担当エリアを越えた活動はほとんど行われないことから、本社及び各営業所のアクセ
スサーバにはそれぞれ所属する社員だけの情報を登録する。アクセスサーバに登録
する個人情報は、IDと個人認証鍵(P')である。個人認証鍵は、利用者がパスワード
(P)を決定すると、あるアルゴリズムで生成されるものであり、PとP'は異なる。
また、利用者のパソコンがアクセスサーバに送倍する認証のための暗号化データは、
Pを暗号化鍵としてチャレンジコード(R)を暗号化したものであり P'を使って認
証する。
(2) インターネット接続環境
本社LANを図3の構成に拡張して、インターネット接続を行う。インターネットか
ら社内LANへの不正侵入を防ぐために、ファイアウォールを設置する。また、インタ
ーネットからのウイルス侵入を防ぐために、ウイルス防御サーバも設置する。ファイ
アウォールは、内部セグメントを隠ペいし外部からめ攻撃を防ぐとともに、社外に公
開するサーバを設置するための非武装セグメントをもち、外部からの攻撃に対して公
開サーバを守ることができる。今回、取引先への在庫情報公開のためのWWWサーバ
を非武装セグメントに新設する。また、内部セグメントには在庫情報をもつデータ
ベースサーバを新設する。WWWサーバからは、データベース連携処理を行うミドル
ウェアを利用して、リアルタイムに在庫情報の参照、検索が行えるようにする。メー
ルサーバは非武装セグメントに移動させる。また、今回新設するファイアウォール及
びウイルス防御サーバは、次の機能をもつ。
① 内部セグメントから非武装セグメント、非武装セグメントからインターネット、
及び内部セグメントからインターネットへの通信は、プロキシ(proxy)で中継する。
プロキシとは、ユーザが利用するクライアントのアプリケーションの代わりに、外
部ネットワークの目的サーバとの間で通信を行う機能のことで、プロキシの働きで
応答パケットを利用した不正侵入に対しての安全性が確保される。また、プロキシ
によって、内部セグメントのアドレスはファイアウォールのアドレスに変換される。
② インターネットから非武装セグメント、非武装セグメントから内部セグメント、
及びインターネットから内部セグメントヘの通信は、パケットフィルタリング機能
で制御する。
③ ウイルス防御サーバは、LAN上を流れるHTTP、FTP、SMTPのプロトコルで通
信するデータに対してウイルスチェックを行い、ウイルスの侵入を防止する機能を
もつ。
今回の構成では、図3に示すd、e、fのアドレスをもつサーバに対して、インター
ネットから直接接続できるように、公開アドレスを設定する。また、ファイアウォール
経由でインターネット接続を行うので、社内LANのアドレスは変更しない。ファイアウ
ォールヘは、内部セグメントから非武装セグメントの各サーバヘの通信、非武装セ
グメントの各サーバからインターネット経由の外部サーバへの通信、非武装セグメ
ントのWWWサーバとデータベースサーバ間の通信、内部セグメントからインターネット経由
の外部WWWサーバヘの通信、及びインターネットから非武装セグメントの各サーバヘ
の通信を可能にする設定を行う。
R君がSI業者からの提案内容を同僚の技術者と詳細に検討した結果、幾つかの問題点
を含んでいることが分かった。例えば、WWWサーバで利用予定のデータベース連携の
ためのミドルウェアは、データベースサーバとの通信のたびに、あて先ポート番号を変
化させてしまう。そのため、図3の構成では通信ができないことが分かった。また、イ
ンターネットからのウイルス侵入防止対策も十分でないことが判明した。
R君は、SI業者に問題点を指摘し、改善案の検討を依頼することにした。
設問1
インターネットのセキュリティに関する次の記述中の 【 ア 】~
【 オ 】に入れる適切な字句を答えよ。
インターネットを利用して情報交換を行う場合、様々なセキュリティ対策が必
要になる。例えば、インターネット上を流れるデータは第三者によって
【 ア 】される危険性があるので、情報の滴えいを防ぐためにはデータの暗
号化が必要になる。また、他人に【 イ 】て悪事を働く第三者の侵入を防ぐ
ためには、ユーザ認証が必要となる。
インターネットを利用して商取引を行うEC(エレクトロニックコマース)では、
契約内容の正当性の証明が必要になる。ECにおけるトラブル防止のための認証方
法に、【 ウ 】がある。【 ウ 】は、①第三者によって偽造できない。
②受取人によっても偽造できない。③【 ウ 】を行った本人が後でそれを
【 エ 】できない、などの機能をもつ。そのほか、コンピュータウイルス対
策も重要な課題である。ウイルス対策としては、防疫、感染の検出、【 オ 】
などがある。
設問2
リモートアクセスに関する次の問いに答えよ。
(1) 図2に示したアクセスサーバでの暗号方式は、何と呼ばれるか答えよ。
(2) この方式の場合、アクセスサーバではどのような処理を行ってユーザ認証を
行うか。25字以内で述べよ。
(3) SI業者の提案に従いアクセスサーバを導入した場合、想定できるユーザ管理
上の問題点を、35字以内で述べよ。
設問3
インターネット接続に関する次の問いに答えよ。
(1) 今回のファイアウォールへの設定で、表中の【 カ 】~【 コ 】に
入れる適切なアドレスを、図3のa~mから答えよ。
(2) 利用予定のミドルウェアは、通信データのあて先ポート番号を変化させてし
まうが、あて先ポート番号が変化した場合、ファイアウォール設定上どのよう
な問題が発生するか。30字以内で述べよ。
(3) (2)の問題を解決するためには、WWWサーバを内部セグメントに設置する方
法がある。この場合、内部セグメントのアドレス変更が必要になるが、どのよ
うな変更が必要になるか。20字以内で述べよ。
(4) 図3の場所にウイルス防御サーバを設置した場合、インターネットからのウ
イルス侵入が防げない通信がある。のような通信のデータにウイルスチェッ
クが行われないか。20字以内で述べよ。
Q社は、従業員数が1,500名の中堅の自動車部品メーカである。Q社では、営業活動の
効率向上とスピードアップを図るために、図1の社内ネットワークシステムを構築し、
その上で営業支捜システムを稼働させた。
営業支援システムは、TCP/IPプロトコルを利用した顧客管理、営業活動報告、商談進
捗管理、交通費精算、及びSMTPとPOPを使用した電子メールなどのサブシステムから
構成されている。システム導入によって、社内での情報活用意識は更に高まり、システ
ム機能の拡大要望が強くなった。そこで、情報システム部のR君は、要望を基に拡大案
をまとめ、SI業者にシステムの提案を求めた。SI業者からの提案は次の内容であった。
[SI業者からの操業内容]
(1) リモートアクセス環境
本社及び各営業所にアクセスサーバを導入し、出先から公衆電話網経由で社内LAN
に接続してシステムを利用できるようにする。アクセスサーバは、ユーザID(以下、
IDという)とパスワードを用いたユーザ認証機能をもったものを選定した。アクセス
サーバでのユーザ認証は図2の手順で行われるので、アクセスサーバにはユーザ認証
のための個人情報を登録する必要がある。登録可能な個人情報の量は最大100人分で
あるが、本社及び各営業所に所属する営業員の数は100人に満たないことと、各営業
担当エリアを越えた活動はほとんど行われないことから、本社及び各営業所のアクセ
スサーバにはそれぞれ所属する社員だけの情報を登録する。アクセスサーバに登録
する個人情報は、IDと個人認証鍵(P')である。個人認証鍵は、利用者がパスワード
(P)を決定すると、あるアルゴリズムで生成されるものであり、PとP'は異なる。
また、利用者のパソコンがアクセスサーバに送倍する認証のための暗号化データは、
Pを暗号化鍵としてチャレンジコード(R)を暗号化したものであり P'を使って認
証する。
(2) インターネット接続環境
本社LANを図3の構成に拡張して、インターネット接続を行う。インターネットか
ら社内LANへの不正侵入を防ぐために、ファイアウォールを設置する。また、インタ
ーネットからのウイルス侵入を防ぐために、ウイルス防御サーバも設置する。ファイ
アウォールは、内部セグメントを隠ペいし外部からめ攻撃を防ぐとともに、社外に公
開するサーバを設置するための非武装セグメントをもち、外部からの攻撃に対して公
開サーバを守ることができる。今回、取引先への在庫情報公開のためのWWWサーバ
を非武装セグメントに新設する。また、内部セグメントには在庫情報をもつデータ
ベースサーバを新設する。WWWサーバからは、データベース連携処理を行うミドル
ウェアを利用して、リアルタイムに在庫情報の参照、検索が行えるようにする。メー
ルサーバは非武装セグメントに移動させる。また、今回新設するファイアウォール及
びウイルス防御サーバは、次の機能をもつ。
① 内部セグメントから非武装セグメント、非武装セグメントからインターネット、
及び内部セグメントからインターネットへの通信は、プロキシ(proxy)で中継する。
プロキシとは、ユーザが利用するクライアントのアプリケーションの代わりに、外
部ネットワークの目的サーバとの間で通信を行う機能のことで、プロキシの働きで
応答パケットを利用した不正侵入に対しての安全性が確保される。また、プロキシ
によって、内部セグメントのアドレスはファイアウォールのアドレスに変換される。
② インターネットから非武装セグメント、非武装セグメントから内部セグメント、
及びインターネットから内部セグメントヘの通信は、パケットフィルタリング機能
で制御する。
③ ウイルス防御サーバは、LAN上を流れるHTTP、FTP、SMTPのプロトコルで通
信するデータに対してウイルスチェックを行い、ウイルスの侵入を防止する機能を
もつ。
今回の構成では、図3に示すd、e、fのアドレスをもつサーバに対して、インター
ネットから直接接続できるように、公開アドレスを設定する。また、ファイアウォール
経由でインターネット接続を行うので、社内LANのアドレスは変更しない。ファイアウ
ォールヘは、内部セグメントから非武装セグメントの各サーバヘの通信、非武装セ
グメントの各サーバからインターネット経由の外部サーバへの通信、非武装セグメ
ントのWWWサーバとデータベースサーバ間の通信、内部セグメントからインターネット経由
の外部WWWサーバヘの通信、及びインターネットから非武装セグメントの各サーバヘ
の通信を可能にする設定を行う。
R君がSI業者からの提案内容を同僚の技術者と詳細に検討した結果、幾つかの問題点
を含んでいることが分かった。例えば、WWWサーバで利用予定のデータベース連携の
ためのミドルウェアは、データベースサーバとの通信のたびに、あて先ポート番号を変
化させてしまう。そのため、図3の構成では通信ができないことが分かった。また、イ
ンターネットからのウイルス侵入防止対策も十分でないことが判明した。
R君は、SI業者に問題点を指摘し、改善案の検討を依頼することにした。
設問1
インターネットのセキュリティに関する次の記述中の 【 ア 】~
【 オ 】に入れる適切な字句を答えよ。
インターネットを利用して情報交換を行う場合、様々なセキュリティ対策が必
要になる。例えば、インターネット上を流れるデータは第三者によって
【 ア 】される危険性があるので、情報の滴えいを防ぐためにはデータの暗
号化が必要になる。また、他人に【 イ 】て悪事を働く第三者の侵入を防ぐ
ためには、ユーザ認証が必要となる。
インターネットを利用して商取引を行うEC(エレクトロニックコマース)では、
契約内容の正当性の証明が必要になる。ECにおけるトラブル防止のための認証方
法に、【 ウ 】がある。【 ウ 】は、①第三者によって偽造できない。
②受取人によっても偽造できない。③【 ウ 】を行った本人が後でそれを
【 エ 】できない、などの機能をもつ。そのほか、コンピュータウイルス対
策も重要な課題である。ウイルス対策としては、防疫、感染の検出、【 オ 】
などがある。
設問2
リモートアクセスに関する次の問いに答えよ。
(1) 図2に示したアクセスサーバでの暗号方式は、何と呼ばれるか答えよ。
(2) この方式の場合、アクセスサーバではどのような処理を行ってユーザ認証を
行うか。25字以内で述べよ。
(3) SI業者の提案に従いアクセスサーバを導入した場合、想定できるユーザ管理
上の問題点を、35字以内で述べよ。
設問3
インターネット接続に関する次の問いに答えよ。
(1) 今回のファイアウォールへの設定で、表中の【 カ 】~【 コ 】に
入れる適切なアドレスを、図3のa~mから答えよ。
表 ファイアウォールの設定内容(一部)
| ポート番号 サービス名/ プロトコル名) |
インターネット→非武装セグメント | 非武装セグメントー内部セグメント | ||||
| 状態 | 送信元アドレス | あて先アドレス | 状態 | 送信元アドレス | あて先アドレス | |
| 80(HTTP) | 許可 | any | 【 カ 】 | 禁止 | - | - |
| 25(SMTP) | 許可 | any | 【 キ 】 | 禁止 | - | - |
| 53(DOMAIN) | 許可 | any | 【 ク 】 | 禁止 | - | - |
| 1521(データベー ス連携) |
禁止 | - | - | 許可 | 【 ケ 】 | 【 コ 】 |
| その他 | 禁止 | - | - | 禁止 | - | - |
(2) 利用予定のミドルウェアは、通信データのあて先ポート番号を変化させてし
まうが、あて先ポート番号が変化した場合、ファイアウォール設定上どのよう
な問題が発生するか。30字以内で述べよ。
(3) (2)の問題を解決するためには、WWWサーバを内部セグメントに設置する方
法がある。この場合、内部セグメントのアドレス変更が必要になるが、どのよ
うな変更が必要になるか。20字以内で述べよ。
(4) 図3の場所にウイルス防御サーバを設置した場合、インターネットからのウ
イルス侵入が防げない通信がある。のような通信のデータにウイルスチェッ
クが行われないか。20字以内で述べよ。