テクニカルエンジニア(ネットワーク)平成10年午後II問3
ネットワークのセキュリティに関する次の記述を読んで、設問1~4に答えよ。
A社は、社員数が数万人規模の製造業である。本社組織と複数の事業部があり、本
社と各事業部は複数の部から構成されている。
A社では"A-NET"と呼ばれる全社TCP/IPネットワークが稼働している。A-NET
稼働前は、幾つかの事業部ネットワークが独立して使われていた。それらのネット
ワークを相互接続しながら、A-NETは構築されてきた。現在、本社とすべての事業
部がA-NETで相互接続され、業務システム、電子メール、WWW、ファイル転送な
どに広く利用されている。図1にA-NETの概要と管理範図を示す。
〔サイトLANと基幹ネットワーク〕
A-NETは一つの"基幹ネットワーク"と複数の"サイトLAN"から構成される。
サイトLANは、"基幹ルータ"経由で基幹ネットワークと接続されている。基幹ルー
タを含む基幹ネットワークは、本社の情報システム部が運用管理を行っている。
A-NETでは、社内の組織を "サイト"という単位に分けて管理している。サイト
と事業部又は部とは、必ずしも1:1に対応しない。サイトLANはサイトが運用管
理を行うネットワークで、A-NETへの加入単位でもある。
〔アドレス体系〕
A-NETは、クラスAのプライベートアドレスを採用している。各サイトLANの
ネットワークアドレスは、A-NET加入申請時に、情報システム部からそのサイトに
与えられる。サイトLANのホストアドレスはサイトが管理する。
A-NETに接続されていないLANや、ほかのサイトとは通信を行わないLANがサ
イトLANに含まれている場合もある。このようなLANのために、情報システム部で
は"サイト内アドレス"という特別なアドレス範図を、クラスAのプライベートアド
レス内に定義している。すべてのサイトは、サイト内の通信用に限り、与えられたア
ドレス以外に、サイト内アドレスを自由に使用することができる。
〔A-NETセキュリティガイド〕
A-NETを計画する際、A社のトップは次のような基本方針を情報システム部に示
し、セキュリティに関する基準と運用規則の立案を指示した。
(1) A-NETは、各種の資産(情報や機器)が接続される汎用のネットワークである。
セキュリティに関する問題の発生防止、発生した問題の速やかな検出、問題波及の
防止、問題解決の仕組みを考慮したセキュリティ対策をたてること。
(2) 情報システム部を全社のセキュリティ管理部門とし、A-NETのセキュリティ管
理に関する責任と権限を与える。
(3) セキュリティ管理を行う技術者を、各利用部門(本社と事業部)から選出させ、
その技術者を"サイトLAN管理者"と呼ぶ。A-NETのセキュリティ管理体制は、
サイトLAN管理者と情報システム部の技術者を中心に作ること。
情報システム部は、A-NETのセキュリティ基準と運用規則を作成し、トップの承
認を得た。そして、サイトLAN管理者向けの内容をまとめ、"A-NETセキュリティ
ガイド"として、全サイトLAN管理者に配布した。図2にA-NETセキュリティガイ
ドの構成を、図3、4にその一部を要約したものを示す。
〔社外接続〕
図4のA-NETセキュリティポリシに示すように、社外からサイトLAN上のサーバ
アクセスすることは許されていない。社外から利用するサーバは、A-NETには接
続れていないLAN上で動作する必要がある。しかし、最近、A-NETに接続きれた
サーバを社外からも利用したい、すなわち"社外公開サーバ"を設置したいという要
求が多い。
これを受けて、情報システム部は、十分なセキュリティ対策を前提とした上で、
"社外公開サーバ"設置の個別認可を行うことにした。図5はその運用ポリシ案であ
り、試の後、A-NETセキュリティガイドに盛り込まれる予定である。
〔BビルのサイトLAN〕
A社のB事業部は、BビルとB工場の二拠点に分かれている。技術部と営業部だけ
がBビルにあり、製造部などのほかの部はB工場にある。
Bビルは3階建てで、営業部は2、3階に、技術部は3階に入居している。1階は
両部の共通フロアとなっている。取引先など社員以外は、すべて1階の受付けで入退
館の手続を受けることになっている。
図6に、Bビルのネットワーク構成を示す。技術部と営業部は、それぞれ別の
LANをもっている。これらのLANは、ルータで接続されているが、特にパケット
フィルタリングは行っていない。これらのLANは、一つのサイトLAN(Bビルサイ
トLAN)として、A-NETに加入している。このほか、BビルサイトLANとは独立し
たLAN(営業部独立LAN)がある。
技術部は、技術情報サーバを用い技術情報システムを稼働させている。このサーバ
には、B事業部の技術部と製造部がアクセスする。技術情報システムは、顧客製品の
仕様情報など、機密性の高いデータを扱ったシステムである。営業部は、営業情報
サーバを用い営業情報システムを稼働させている。営業情報システムは、ホテル、自
宅など、社外から営業部員が利用するシステムなので、A-NETとは独立したLANで
運用している。そのほか、全社サーバとして、技術部にメールサーバがある。表1に
これらのサーバの利用状況を示す。
BビルサイトLANのサイトLAN管理者は、技術部に所属しているC氏である。
ネットワーク機器と表1のサーバの運用管理は、C氏が行っている。
〔BピルサイトLANの見直し構想〕
技術情報システムの運用担当者は、現在の技術情報サーバのセキュリティ対策は不
十分であり、利用できるパソコンを必要なものだけに限定したいと考えている。営業
情報システムの運用担当者は、営業部独立LANをA-NETと接続し、社内にある営業
部員のパソコンからも営業情報システムを利用できるようにしたいと考えている。こ
れらのシステムの利用者は、そのほとんどが業務に必要なパソコン操作ができるだけ
で、ネットワークやサーバの知識はない。セキュリティに対する認識もまだ十分とは
いえない。
B事業部長は、両システムの運用担当者の意見を聞き、Bビルのネットワークを見
直すようC氏に指示した。また、セキュリティへの意識が低いことを危ぐし、技術部
と営業部の全員にセキュリティに関する集合教育を行うよう併せて指示した。
指示を受けたC氏は、図7のような改善案を作成した。その内容は次のとおりである。
(1) BビルサイトLANを、技術部サイトLAN、営業部サイトLANの二つに分ける。
(2) 基幹ネットワークと技術部サイトLANの間、及び営業部サイトLANと営業部独
立LANの間に、ルータ(ファイアウォール)を設置し、"パケットフィルタリン
グ'を行う。パケットフィルタリングの定義には、クライアントのIPアドレス及
びサーバのIPアドレスとTCPポート番号を用いる。許可する通信をこれらの組合
せで定義し、それ以外のパケットはすべて破棄する運用とする。
(3) 営業部のサイトLANに認証サーバを設置し、リモートアクセスサーバが外部ク
ライアントから接続要求を受けた時の認証強化と、そのログ管理を行う。
〔情報システム部の見解〕
C氏は、図7の改善案を情報システム部に提示し、セキュリティ対策の妥当性につ
いて見解を求めた。情報システム部では、図8の検討結果をC氏に回答した。
〔BビルサイトLANの改善作業〕
C氏は、図8の内容を盛り込んだ改善計画書を作成し、B事業部長に了解を求めた。
B事業部長はその計画を承認し、C氏に具体的な作業を進めるよう指示した。また、
サイトLAN分割後は、C氏を技術部サイトLANのサイトLAN管理者とし、営業部
のD氏を営業部サイトLANのサイトLAN管理者にすることを決めた。
C氏は、表2のように今後の作業と担当者を決め、BビルサイトLANの改善を推進す
ることにした。
設問1
A-NETのセキュリティポリシに関する次の問いに答えよ。
(1) "サイト内アドレス"を運用するために、基幹ルータで必要となる設定内
容を30字以内で述べよ。
(2) A-NETの加入単位として、会社の組織(例えば事業部・部)を採用しな
かった理由を30字以内で述べよ。
(3) 加入単位である"サイト"と会社の組織単位が一致しないことで生じる
ネットワーク運用上の問題点を25字以内で述べよ。
(4) (3)の問題点に対し、A-NETはどのような対策を講じているか。40字以内
で述べよ。
(5) 図5中の【 a 】~【 d 】に入れる適切な字句を、それぞれ
30字以内で答えよ。
設問2
BビルサイトLANの見直しに関する次の問いに答えよ。
(1) A-NETセキュリティポリシに従い、技術情報サーバを守るために必要な
セキュリティ対策を二つ挙げ、それぞれ20字以内で述べよ。
(2) 図8の③で情報システム部が指摘している、ファイアウォール運用の複雑
さとは何か。40字以内で述べよ。
(3) 図8中の【 e 】、【 j 】に入れる適切な記号を、図7にある
(ア)~(ケ)の中から選べ。
(4) 図8中の【 f 】~【 i 】に入れる適切な字句を、それぞれ
10字以内で答えよ。
(5) 営業部員が社外からもA社のメールシステムを利用できるようにしたい。
この場合に必要な改善案(図7)の変更点を40字以内で述べよ。
設問3
BピルサイトLANの改善に伴う今後の作業(表2)に関する次の問いに答えよ。
(1) セキュリティ維持のため、今後、D氏が行わなければならない日常の作業
のうち、認証にかかわる作業を三つ挙げ、それぞれ20字以内で述べよ。
(2) 情報システム部の回答以外にも、BピルのサイトLANを分割することに
よって、セキュリティ管理上の問題が幾つか発生する。この中から、新しい
サイトLANの運用ポリシ作成において検討が必要な問題を二つ挙げ、それ
ぞれ30字以内で述べよ。
設問4
社外接続の試行期間中、営業部サイトLANが運用ポリシ案(図5)に準拠
し適正に運用されていることを、情報システム部も定期的に確認すべきである。
そのために、情報システム部が行うべき作業は何か。D氏から定期的に運用状
況の報告を受け取りその内容を確認すること以外に必要な作業を二つ挙げ、そ
れぞれ50字以内で述べよ。
A社は、社員数が数万人規模の製造業である。本社組織と複数の事業部があり、本
社と各事業部は複数の部から構成されている。
A社では"A-NET"と呼ばれる全社TCP/IPネットワークが稼働している。A-NET
稼働前は、幾つかの事業部ネットワークが独立して使われていた。それらのネット
ワークを相互接続しながら、A-NETは構築されてきた。現在、本社とすべての事業
部がA-NETで相互接続され、業務システム、電子メール、WWW、ファイル転送な
どに広く利用されている。図1にA-NETの概要と管理範図を示す。
〔サイトLANと基幹ネットワーク〕
A-NETは一つの"基幹ネットワーク"と複数の"サイトLAN"から構成される。
サイトLANは、"基幹ルータ"経由で基幹ネットワークと接続されている。基幹ルー
タを含む基幹ネットワークは、本社の情報システム部が運用管理を行っている。
A-NETでは、社内の組織を "サイト"という単位に分けて管理している。サイト
と事業部又は部とは、必ずしも1:1に対応しない。サイトLANはサイトが運用管
理を行うネットワークで、A-NETへの加入単位でもある。
〔アドレス体系〕
A-NETは、クラスAのプライベートアドレスを採用している。各サイトLANの
ネットワークアドレスは、A-NET加入申請時に、情報システム部からそのサイトに
与えられる。サイトLANのホストアドレスはサイトが管理する。
A-NETに接続されていないLANや、ほかのサイトとは通信を行わないLANがサ
イトLANに含まれている場合もある。このようなLANのために、情報システム部で
は"サイト内アドレス"という特別なアドレス範図を、クラスAのプライベートアド
レス内に定義している。すべてのサイトは、サイト内の通信用に限り、与えられたア
ドレス以外に、サイト内アドレスを自由に使用することができる。
〔A-NETセキュリティガイド〕
A-NETを計画する際、A社のトップは次のような基本方針を情報システム部に示
し、セキュリティに関する基準と運用規則の立案を指示した。
(1) A-NETは、各種の資産(情報や機器)が接続される汎用のネットワークである。
セキュリティに関する問題の発生防止、発生した問題の速やかな検出、問題波及の
防止、問題解決の仕組みを考慮したセキュリティ対策をたてること。
(2) 情報システム部を全社のセキュリティ管理部門とし、A-NETのセキュリティ管
理に関する責任と権限を与える。
(3) セキュリティ管理を行う技術者を、各利用部門(本社と事業部)から選出させ、
その技術者を"サイトLAN管理者"と呼ぶ。A-NETのセキュリティ管理体制は、
サイトLAN管理者と情報システム部の技術者を中心に作ること。
情報システム部は、A-NETのセキュリティ基準と運用規則を作成し、トップの承
認を得た。そして、サイトLAN管理者向けの内容をまとめ、"A-NETセキュリティ
ガイド"として、全サイトLAN管理者に配布した。図2にA-NETセキュリティガイ
ドの構成を、図3、4にその一部を要約したものを示す。
|
〔基本編〕 1.はじめに 1.1本ガイドの目的 1.2 用語の定義 1.3 セキュリティ管理の重要性 2.A-NETのセキュリティポリシ 2.1セキュリティ管理に対する基本的な考え方 2.2 セキュリティ管理体制とその役割 2.2.1A-NETセキュリティ管理部門の管理体制と役割 2.2.2 A-NET利用部門の管理体制と役割 2.3 問題発生時の対応 2.4 セキュリティポリシの改訂 3.サイトLANの運用 3.1サイトLAN管理者の権限と責務 3.2 サイトLAN運用ポリシの考え方 4.申請書 4.1サイトセキュリティ管理体制申請書(新規・変更) 4.2 サイトLANのA-NET接続申請書(新規・変更) 〔技術編〕 1.サイトLAN運用のガイドライン (省略) 2.ネットワーク機器運用のガイドライン 2.1推奨機器 (省略) 3.サーバ運用のガイドライン 3.1オペレーティングシステムとシステム構成 (省略) 4.クライアント運用のガイドライン (省略) |
図2 A-NETセキュリティガイドの構成
| ① ホスト : パソコン、ワークステーション、ルータなどのネットワーク機器の総称。 ② クライアントとサーバ : ほかのホストへサービスの要求を行うホストをクライアント、要求 を受けるホストをサーバと呼ぶ。 ③ アクセス可能(性) : ホストにアクセス可能とは、IPによってそのホストに到達可能であ ることをいう。 ④ 社外 : A社社員以外の者が、A社の許可なく出入りできる場所をいう(取引先、社員の自宅 なども社外に含む)。 |
図3 "1.2用語の定義"の一部(要約)
|
〔管理領域の明確化〕 ① A-NET上のすべてのホストは、いずれかのサイト又は情報システム部の管理下に置かれ る。 ② A-NETへの加入に当たって、サイトLAN管理者は、管理範図を明確にし、ネットワーク 運用管理体制を整えた上で、申請書に必要な事項を記入し、情報システム部に届けなければ ならない。 ③ サイトLANのセキュリティは、ほかのサイトLAN及び基幹ネットワークからのアクセス も含めて、そのサイトのネットワーク運用管理体制によって守らなければならない。 〔サイトLAN管理者〕 ④ サイトLAN管理者は、サイト単位に、そのサイトを統轄する事業部長(本社においては 情報システム部長)によって任命され、情報システム部に登録される。サイトLAN管理者 は、緊急時のシステム停止を含む、そのサイトLANのシステム運用権限をもつ。 ⑤ サイトLAN管理者は、サイトLANのセキュリティを確保し、他サイトに迷惑をかけない ように、サイトLANを運用しなければならない。また、ネットワーク構成の定期的な チェックを行い、不正なアクセスを防がなければならない。 ⑥ サイトLAN管理者は、サイトLANの利用を許可した利用者が行う行為について、責任を もって管理を行わなければならない。 〔問題発生時の対応〕 ⑦ 自サイトにおいてセキュリテイ上の問題が発生した場合、サイトLAN管理者は速やかに 事業部長(本社においては情報システム部長)に報告するとともに、情報システム部及び関 連するサイトに連絡を取り、問題の解決を図らなければならない。 ⑧ A-NETにセキュリティ上の問題が発生した場合、サイトLAN管理者は、情報システム部 の求める調査や対策に、積極的かつ速やかに協力しなければならない。 ⑨ A-NETにセキュリティ上の問題が発生した場合、影響範図の拡大を防止するなどの目的 で、情報システム部は、予告なしにサイトLANをA-NETから切り離すことができる。 〔サイトLANの運用ポリシとセキュリティ対策〕 ⑩ サイトLAN管理者は、サイトLANの運用ポリシを定め、セキュリティ対策を計画し、そ れを実行しなければならない。 ⑪ サイトLANの運用ポリシでは、どのサーバが、どの範図のクライアントへ、どのような サービスを提供するかを明確にしなければならない。さらに、サーバを守るためのセキュリ ティ対策は、次に示す基準を満たさなければならない。 ・社外からアクセス可能なサーバ(社外公開サーバ): 社外からアクセス可能なサーバが、サイトLAN上に存在してはならない。 ・他サイトからアクセス可能なサーバ(全社サーバ): ユーザやサービスを可能な限り限定すること。また、ログを利用し、他サイトからの不 正なアクセスがないことを定期的に確認すること。 ・社外及び他サイトからはアクセス不可能なサービス(サイト内サーバ): サイト内サーバは"サイト内アドレス"を用いることが望ましい。さらに、踏み台を利 用した侵入や、管理者の不注意によるシステム破壊を想定し、サイト内で運用ルールを 定めること。 |
図4 "2.A-NETのセキュリティポリシ"の一部(要約)
〔社外接続〕
図4のA-NETセキュリティポリシに示すように、社外からサイトLAN上のサーバ
アクセスすることは許されていない。社外から利用するサーバは、A-NETには接
続れていないLAN上で動作する必要がある。しかし、最近、A-NETに接続きれた
サーバを社外からも利用したい、すなわち"社外公開サーバ"を設置したいという要
求が多い。
これを受けて、情報システム部は、十分なセキュリティ対策を前提とした上で、
"社外公開サーバ"設置の個別認可を行うことにした。図5はその運用ポリシ案であ
り、試の後、A-NETセキュリティガイドに盛り込まれる予定である。
|
サイトLANにおける社外公開サーバ設置は、情報システム部の個別認可が必要である。個別 認可を受けるに当たり、サイトLAN管理者は、本運用ポリシ案に準拠したセキュリティ対策を 計画し、それを情報システム部に提示しなければならない。 〔個別認可の対象〕 ① 個別認可の対象となる社外接続は、次の条件をすべて満たす必要がある。 ・公衆電話網又はISDNを経由して、社外に存在するホスト(外部クライアント)からサイ トLAN上のネットワーク機器に接続する形態であること。 ・運用上、外部クライアントは特定の機器に限定でき、その利用者も特定の者に限定できる こと。 〔認証〕 ② アクセスしようとする利用者が、許可された者かどうかを判別するために、次の中から少 なくとも一つの手段が採用されなければならない。通常用いられる"あらかじめ登録された アカウントとパスワードの照合"だけでは個別認可は行われない。 ・あらかじめ決められた電話番号へのコールバック ・【 a 】 ・【 b 】 〔アクセス制御〕 ③ 外部クライアントがアクセスできる社外公開サーバは.必要最小限に限定されな ければならない。 ④ 外部クライアントがアクセスできる範囲は、個別認可を受けたサイトLANに限定されな ければならない。 〔ログ監視〕 ⑤ 【 c 】 ⑥ 【 d 】 |
図5 A-NET社外接続の運用ポリシ案
〔BビルのサイトLAN〕
A社のB事業部は、BビルとB工場の二拠点に分かれている。技術部と営業部だけ
がBビルにあり、製造部などのほかの部はB工場にある。
Bビルは3階建てで、営業部は2、3階に、技術部は3階に入居している。1階は
両部の共通フロアとなっている。取引先など社員以外は、すべて1階の受付けで入退
館の手続を受けることになっている。
図6に、Bビルのネットワーク構成を示す。技術部と営業部は、それぞれ別の
LANをもっている。これらのLANは、ルータで接続されているが、特にパケット
フィルタリングは行っていない。これらのLANは、一つのサイトLAN(Bビルサイ
トLAN)として、A-NETに加入している。このほか、BビルサイトLANとは独立し
たLAN(営業部独立LAN)がある。
技術部は、技術情報サーバを用い技術情報システムを稼働させている。このサーバ
には、B事業部の技術部と製造部がアクセスする。技術情報システムは、顧客製品の
仕様情報など、機密性の高いデータを扱ったシステムである。営業部は、営業情報
サーバを用い営業情報システムを稼働させている。営業情報システムは、ホテル、自
宅など、社外から営業部員が利用するシステムなので、A-NETとは独立したLANで
運用している。そのほか、全社サーバとして、技術部にメールサーバがある。表1に
これらのサーバの利用状況を示す。
表1 Bビルのサーバの利用状況
| サーバ (所在) |
利用目的 | サーバ利用者 | 実施している アクセス制御と認証 |
| 技術情報サーバ (BビルサイトLAN) |
技術情報 システム |
技術部、 製造部 |
ログイン時のアカウントと パスワードの照合 |
| 営業情報サーバ (営業部独立LAN) |
営業情報 システム |
営業部 | ログイン時のアカウントと パスワードの照合 |
| リモートアクセスサーバ (営業部独立LAN) |
営業情報 システム |
営業部 | 着呼時のアカウントと パスワードの照合 |
| メールサーバ (BビルサイトLAN) |
A社電子 メールシステム |
技術部、 営業部 |
ログイン時のアカウントと パスワードの照合 |
BビルサイトLANのサイトLAN管理者は、技術部に所属しているC氏である。
ネットワーク機器と表1のサーバの運用管理は、C氏が行っている。
〔BピルサイトLANの見直し構想〕
技術情報システムの運用担当者は、現在の技術情報サーバのセキュリティ対策は不
十分であり、利用できるパソコンを必要なものだけに限定したいと考えている。営業
情報システムの運用担当者は、営業部独立LANをA-NETと接続し、社内にある営業
部員のパソコンからも営業情報システムを利用できるようにしたいと考えている。こ
れらのシステムの利用者は、そのほとんどが業務に必要なパソコン操作ができるだけ
で、ネットワークやサーバの知識はない。セキュリティに対する認識もまだ十分とは
いえない。
B事業部長は、両システムの運用担当者の意見を聞き、Bビルのネットワークを見
直すようC氏に指示した。また、セキュリティへの意識が低いことを危ぐし、技術部
と営業部の全員にセキュリティに関する集合教育を行うよう併せて指示した。
指示を受けたC氏は、図7のような改善案を作成した。その内容は次のとおりである。
(1) BビルサイトLANを、技術部サイトLAN、営業部サイトLANの二つに分ける。
(2) 基幹ネットワークと技術部サイトLANの間、及び営業部サイトLANと営業部独
立LANの間に、ルータ(ファイアウォール)を設置し、"パケットフィルタリン
グ'を行う。パケットフィルタリングの定義には、クライアントのIPアドレス及
びサーバのIPアドレスとTCPポート番号を用いる。許可する通信をこれらの組合
せで定義し、それ以外のパケットはすべて破棄する運用とする。
(3) 営業部のサイトLANに認証サーバを設置し、リモートアクセスサーバが外部ク
ライアントから接続要求を受けた時の認証強化と、そのログ管理を行う。
〔情報システム部の見解〕
C氏は、図7の改善案を情報システム部に提示し、セキュリティ対策の妥当性につ
いて見解を求めた。情報システム部では、図8の検討結果をC氏に回答した。
|
次の点を再検討した上で、A-NET接続の再申請を行うこと。 〔BビルサイトLANの分割について〕 ① サイトLAN管理者については、C氏が両方を兼務してもよいが、営業部の中から新たに 管理者を選出した方が、運用上望ましいのではないか。 ② サイトLANのアドレスについては、現在使っているネットワークアドレスをサブネット に分割してそれぞれのサイトLANに割り当てるようにしてほしい。 〔技術部サイトLANについて〕 ③ サイト独白にファイアウォールを設置することは、A-NETのセキュリティ上、特に問題 はない。しかし、図7の案では運用が複雑になる。導入目的が技術情報サーバのセキュリ ティ対策ということであれば、次の案も検討してはどうか。 別案1:ファイアウォールの挿入場所を、図7の【 e 】に変更する。 別案2:ファイアウォールを用いず、技術情報サーバ自体にセキュリティ対策を施す。 〔営業部サイトLANの社外接続について〕 ④ 運用ポリシ案(図5)に準拠していると見なせるので、社外接続のパイロットケースとし て認可できる。しかし、⑤、⑥で示す問題点については、⑦の案を参考に再度検討を行うこ と。 ⑤ 認証サーバに関する考察 認証サーバは営業部のパソコンと同じLANに収容するが、このLANのネットワークアド レスをそのまま用いることは危険である。公衆電話綱から認証サーバへ不正侵入があった場 合、認証サーバを【 f 】に利用することによって、A-NET全体への攻撃が可能になっ てしまう。また、他サイトから認証サーバヘの攻撃も考えられる。したがって、認証サーバ のアドレスには【 g 】アドレスを用いることが望ましい。 ⑥ 営業情報サーバに関する考察 営業情報サーバはルータ(ファイアウォール)の外側にあるので、公衆電話網経由の攻撃 を受けやすい。しかし、現在使っている【 g 】アドレスをそのまま利用できるので、 移行は容易である。また、ほかのサイトLANからのアクセスや、【 f 】を利用した他 サイトへの攻撃は防止できる。 ⑦ ⑤、⑥で指摘した問題点の解決案 【 h 】の設置場所を【 i 】が設置されているLANに変更する。かつ、ルータ をもう1台確保し、図7の【 j 】に設置する。これによって、公衆電話網及びほかの サイトLANからの攻撃を、両方のルータによるフィルタリングで防御することができる。 |
図8 改善案(図7)に対する情報システム部の回答
〔BビルサイトLANの改善作業〕
C氏は、図8の内容を盛り込んだ改善計画書を作成し、B事業部長に了解を求めた。
B事業部長はその計画を承認し、C氏に具体的な作業を進めるよう指示した。また、
サイトLAN分割後は、C氏を技術部サイトLANのサイトLAN管理者とし、営業部
のD氏を営業部サイトLANのサイトLAN管理者にすることを決めた。
C氏は、表2のように今後の作業と担当者を決め、BビルサイトLANの改善を推進す
ることにした。
表2 今後の作業と担当者
| 作業項目 | 作業内容 | 担当者 |
| サイトLAN運用 ポリシの作成 |
技術部サイトLANと営業部サイトLANの運用ポリシを決 定し、新サイトLANの正式申請を情報システム部に行う。 |
C氏、D氏 |
| 利用者集合教育 | ネットワーク移行前に、技術部と営業部の全員に対しセキ ュリティに関する必要最小限の知識について説明する。 |
C氏 |
| 新ネットワーク の設計と構築 |
改善案を基に、Bビルネットワークシステムの再設計、構築、 移行を行う。 |
C氏、D氏 |
| LAN管理業務の 引継ぎ |
営業部サイトLANの運用に必要な管理業務を引き継ぐ | D氏 |
設問1
A-NETのセキュリティポリシに関する次の問いに答えよ。
(1) "サイト内アドレス"を運用するために、基幹ルータで必要となる設定内
容を30字以内で述べよ。
(2) A-NETの加入単位として、会社の組織(例えば事業部・部)を採用しな
かった理由を30字以内で述べよ。
(3) 加入単位である"サイト"と会社の組織単位が一致しないことで生じる
ネットワーク運用上の問題点を25字以内で述べよ。
(4) (3)の問題点に対し、A-NETはどのような対策を講じているか。40字以内
で述べよ。
(5) 図5中の【 a 】~【 d 】に入れる適切な字句を、それぞれ
30字以内で答えよ。
設問2
BビルサイトLANの見直しに関する次の問いに答えよ。
(1) A-NETセキュリティポリシに従い、技術情報サーバを守るために必要な
セキュリティ対策を二つ挙げ、それぞれ20字以内で述べよ。
(2) 図8の③で情報システム部が指摘している、ファイアウォール運用の複雑
さとは何か。40字以内で述べよ。
(3) 図8中の【 e 】、【 j 】に入れる適切な記号を、図7にある
(ア)~(ケ)の中から選べ。
(4) 図8中の【 f 】~【 i 】に入れる適切な字句を、それぞれ
10字以内で答えよ。
(5) 営業部員が社外からもA社のメールシステムを利用できるようにしたい。
この場合に必要な改善案(図7)の変更点を40字以内で述べよ。
設問3
BピルサイトLANの改善に伴う今後の作業(表2)に関する次の問いに答えよ。
(1) セキュリティ維持のため、今後、D氏が行わなければならない日常の作業
のうち、認証にかかわる作業を三つ挙げ、それぞれ20字以内で述べよ。
(2) 情報システム部の回答以外にも、BピルのサイトLANを分割することに
よって、セキュリティ管理上の問題が幾つか発生する。この中から、新しい
サイトLANの運用ポリシ作成において検討が必要な問題を二つ挙げ、それ
ぞれ30字以内で述べよ。
設問4
社外接続の試行期間中、営業部サイトLANが運用ポリシ案(図5)に準拠
し適正に運用されていることを、情報システム部も定期的に確認すべきである。
そのために、情報システム部が行うべき作業は何か。D氏から定期的に運用状
況の報告を受け取りその内容を確認すること以外に必要な作業を二つ挙げ、そ
れぞれ50字以内で述べよ。