応用情報技術者過去問題 平成26年春期 午後問5
⇄問題文と設問を画面2分割で開く⇱問題PDF問5 ネットワーク
サブネットを活用したファイルの保護対策に関する次の記述を読んで,設問1~4に答えよ。
M社は,企業の研修用教材や雑誌などのコンテンツ制作を手掛ける,社員50名程度の企業である。顧客企業から依頼されたコンテンツ制作のために,対象とする企業分野ごとに三つの課を設けている。
社員はコンテンツの制作・編集業務(以下,業務という)のためにPCを利用し,業務で使用するファイルは全て各課のファイルサーバ(以下,FSという)に保管している。業務で使用するファイルはFS上で直接編集し,PCには残さない運用を行っている。PCからFSへのアクセスには,ファイル共有用のCIFS(Common Internet File System)プロトコル(TCPポート445を使用)を用いて,FS上で利用者IDとパスワードによる認証を行っている。
M社のネットワークは複数台のレイヤ2スイッチ(以下,L2SWという)を用いて構成され,PCにはDHCPで 192.168.0.64~192.168.0.254 の範囲のIPアドレスが付与される。M社のネットワーク構成を図1に示す。
〔業務で使用するファイルの保護対策〕
M社では,情報セキュリティの重要性を考慮し,業務で使用するファイルのアクセス制御と,ファイル消失時における業務継続のために,次の保護対策を行うことにした。
〔L3SWのフィルタリングルールの設計〕
ネットワーク構成の変更とともに,L3SWのフィルタリングルールの設計を行った。
L3SWのフィルタリングルールの設計では,インタフェースに対して,双方向(IN/OUT)のルールを指定する。例えば,制作一課のPCを送信元,制作一課用FSを宛先とするルールを設計する場合,インタフェース e5 と e0 に対して,L3SWに入る方向(IN)と出る方向(OUT)のルールを追加する必要がある。
設計したL3SWのフィルタリングルールを表1に示す。ここで,インタフェース e0 に関するルール及びインターネットアクセスに関するルールは,L3SWで適切に実装されているものとする。
〔保護対策の強化〕
〔業務で使用するファイルの保護対策〕で検討した内容についてレビューを行った。その結果,社内に不正なPCが持ち込まれて社内LANに接続された場合の備えが不足していると指摘された。
そこで,L3SW及びL2SWにIEEE802.1X対応機種を選定し,PCにクライアント証明書を導入することによって,不正なPCの社内LANへの接続を拒否することにした。
M社では,①図2のネットワーク構成に必要な構成要素を追加した。
〔N社のBSの利用〕
FSのファイルをバックアップするために,追加・変更があったファイルを当日の全作業終了後,翌日の作業開始前までに夜間バッチ処理でN社のBSに転送することにした。各課のFS上のログファイルなどの管理に必要なファイルは,毎日のバックアップとは別の時間帯に,週に1回バックアップする。また,ファイル削除による変更分は,削除から1週間以上経過したファイルを,週に1回バックアップから削除する。
各課のFSに格納されているファイルの総量と,ファイルの追加・変更によって毎日のバックアップが必要な最大量を表2に示す。
M社では,②夜間バッチ処理に利用可能な時間帯を考慮し,適切な帯域の広域イーサネット回線を用いてバックアップを行うことにした。
M社は,企業の研修用教材や雑誌などのコンテンツ制作を手掛ける,社員50名程度の企業である。顧客企業から依頼されたコンテンツ制作のために,対象とする企業分野ごとに三つの課を設けている。
社員はコンテンツの制作・編集業務(以下,業務という)のためにPCを利用し,業務で使用するファイルは全て各課のファイルサーバ(以下,FSという)に保管している。業務で使用するファイルはFS上で直接編集し,PCには残さない運用を行っている。PCからFSへのアクセスには,ファイル共有用のCIFS(Common Internet File System)プロトコル(TCPポート445を使用)を用いて,FS上で利用者IDとパスワードによる認証を行っている。
M社のネットワークは複数台のレイヤ2スイッチ(以下,L2SWという)を用いて構成され,PCにはDHCPで 192.168.0.64~192.168.0.254 の範囲のIPアドレスが付与される。M社のネットワーク構成を図1に示す。
M社では,情報セキュリティの重要性を考慮し,業務で使用するファイルのアクセス制御と,ファイル消失時における業務継続のために,次の保護対策を行うことにした。
- 既存のL2SWを有効に活用しながら,新たにレイヤ3スイッチ(以下,L3SWという)を導入することによって,M社のネットワークを複数のサブネットに分割する。各課のFSは 192.168.0.0/24,制作一課のPCは 192.168.1.0/24,制作二課のPCは 192.168.2.0/24,制作三課のPCは 192.168.3.0/24 のサブネットに配置する。各PCにはL3SWのDHCPサーバ機能によって,192.168.n.64~192.168.n.254 のIPアドレスを割り当てる。ここで,nにはPCの配置に対応して,1~3のいずれかの数値が入る。
- 各課に配置されたPCからFSへのアクセスについては,所属する課のFSだけにアクセスできるように制限する。
- PCから各課のFSへのアクセスは,従来どおりCIFSを使用し,FS上で利用者IDとパスワードによる認証を行う。
- 各課のFSへの通信は,FSの利用に必要なTCPポートだけに限定し,その他のTCP/UDPポートは遮断する。
- 各課のFS上のファイルは,広域イーサネット回線で接続された通信会社N社のバックアップサービス(以下,BSという)を利用して,全て遠隔地にバックアップされるようにする。
- 各課のFSからN社のBSへのファイル転送には,セキュアシェルのSCP(Secure Copy)コマンド(TCPポート22を使用)を利用する。
ネットワーク構成の変更とともに,L3SWのフィルタリングルールの設計を行った。
L3SWのフィルタリングルールの設計では,インタフェースに対して,双方向(IN/OUT)のルールを指定する。例えば,制作一課のPCを送信元,制作一課用FSを宛先とするルールを設計する場合,インタフェース e5 と e0 に対して,L3SWに入る方向(IN)と出る方向(OUT)のルールを追加する必要がある。
設計したL3SWのフィルタリングルールを表1に示す。ここで,インタフェース e0 に関するルール及びインターネットアクセスに関するルールは,L3SWで適切に実装されているものとする。
〔業務で使用するファイルの保護対策〕で検討した内容についてレビューを行った。その結果,社内に不正なPCが持ち込まれて社内LANに接続された場合の備えが不足していると指摘された。
そこで,L3SW及びL2SWにIEEE802.1X対応機種を選定し,PCにクライアント証明書を導入することによって,不正なPCの社内LANへの接続を拒否することにした。
M社では,①図2のネットワーク構成に必要な構成要素を追加した。
〔N社のBSの利用〕
FSのファイルをバックアップするために,追加・変更があったファイルを当日の全作業終了後,翌日の作業開始前までに夜間バッチ処理でN社のBSに転送することにした。各課のFS上のログファイルなどの管理に必要なファイルは,毎日のバックアップとは別の時間帯に,週に1回バックアップする。また,ファイル削除による変更分は,削除から1週間以上経過したファイルを,週に1回バックアップから削除する。
各課のFSに格納されているファイルの総量と,ファイルの追加・変更によって毎日のバックアップが必要な最大量を表2に示す。
設問1
〔業務で使用するファイルの保護対策〕について,(1),(2)に答えよ。
- 変更後のM社のネットワーク構成において,制作一課のPCにDHCPから割当て可能なIPアドレスの総数を答えよ。
- 実施するファイルの保護対策によって,対策実施前と比べて向上が期待される事項を解答群の中から選び,記号で答えよ。
解答群
- FSにアクセスする利用者を社員だけに限定できる。
- PCがマルウェアに感染してもFS上のファイルは保護される。
- ファイルを社外に持ち出されても暗号化されているので復号できない。
- 別の課のPCがFS上のファイルにアクセスすることを防ぐ。
解答入力欄
解答例・解答の要点
- 191
- エ
解説
- 図2「変更後のM社のネットワーク構成」より制作一課PCへのIPアドレス割当て範囲は 192.168.1.64~192.168.1.254 とわかります。
サブネットマスクは255.255.255.0なので下位8ビットがホストアドレス部です。下位8ビットのうち"0~63"までの64個と"255"は使用できないため、28=256個から上記65個を減じた191個が割当て可能なホストアドレス数です。
∴191 - FSの利用には利用者IDとパスワードによる認証を受ける必要があるため社員以外が利用できないようになっています。この点は変更前後で変わらないため誤りです。
- PCとFSはCIFSを用いて通信を行いファイル編集などの業務を行います。このためPCがマルウェアに感染すれば、被害がFSに及ぶ恐れがあります。
- FS上のファイルに暗号化が施されているという記述はないため誤りです。
- 正しい。変更前の構成では全てのPCとFSが同じブロードキャストドメインに属していたので他の課のFSにアクセス可能でした。しかし変更後はL3SWによってそれぞれのセグメントに隔てられ、L3SWを通過する際にフィルタリングが行われるため他の課のFSへアクセスすることを防止できます。
設問2
〔L3SWのフィルタリングルールの設計〕について,表1中のa~fに入れる適切な字句を答えよ。
解答入力欄
- a:
- b:
- c:
- d:
- e:
- f:
解答例・解答の要点
- a:192.168.0.12
- b:e2
- c:OUT
- d:ANY
- e:22
- f:IN
解説
本文中にe0に関するルールは省略すると記述されているため、それ以外のインタフェースを通る通信だけについて考えます。
〔aについて〕
インターフェースe4と送信元IPアドレス"192.168.2.0/24"から、送信元が制作二課の通信であると判断できます。さらに宛先の通信ポート"445/TCP"は、PCからFSにアクセスする際に使用されるCIFSのポート番号なので、このルールは制作二課がFSにアクセスする通信を許可するものだと判断できます。
「各課に配置されたPCからFSのアクセスについては,所属する課のFSだけにアクセスできるように制限する」ので、宛先IPアドレスには制作二課がアクセスする制作二課用FSのIPアドレス"192.168.0.12"が入ります。
∴a=192.168.0.12
〔bについて〕
IPアドレス"192.168.0.0/24"はFSが配置されているセグメント、IPアドレス"192.168.10.31"はN社のBSを示します。N社BSはL3SWのe2に接続されているため、この通信が通るインタフェースはe0およびe2です。e0は除外されているためbにはe2が入ります。
∴b=e2
〔c,fについて〕
前述したように"192.168.0.0/24"はFSが配置されているセグメント、"192.168.10.31"はN社のBSです。
L3SWは、FSからN社BSへの通信をe0で受信しe2から送出します。逆にN社BSからFSへの戻りパケットはe2で受信しe0から送出します。これをe2の立場から見れば、「送信元:FS(e0)で宛先:N社BS(e2)」はe2から送出するため外向き(OUT)、反対に「送信元:N社BS(e2)で宛先:FS(e0)」はe2で受信するため内向き(IN)の通信になります。
∴c=OUT
f=IN
〔d,eについて〕
業務上必要となるFSとN社BS間の通信はバックアップ処理に伴う通信です。本文中に「FSからN社BSへのファイル転送にはSCP(22/TCP)を利用する」とあるため、送信元がFSで宛先がN社BSの宛先ポートeには22が入ります。
FSの送信元ポート番号は、通信ごとにWell-knownポート以外の任意のポートが割り当てられ、N社BSからの戻りパケットもこのポート番号宛てに送信されます。したがってdには任意の番号を表すANYが入ります。
∴d=ANY
e=22
〔aについて〕
インターフェースe4と送信元IPアドレス"192.168.2.0/24"から、送信元が制作二課の通信であると判断できます。さらに宛先の通信ポート"445/TCP"は、PCからFSにアクセスする際に使用されるCIFSのポート番号なので、このルールは制作二課がFSにアクセスする通信を許可するものだと判断できます。
「各課に配置されたPCからFSのアクセスについては,所属する課のFSだけにアクセスできるように制限する」ので、宛先IPアドレスには制作二課がアクセスする制作二課用FSのIPアドレス"192.168.0.12"が入ります。
∴a=192.168.0.12
〔bについて〕
IPアドレス"192.168.0.0/24"はFSが配置されているセグメント、IPアドレス"192.168.10.31"はN社のBSを示します。N社BSはL3SWのe2に接続されているため、この通信が通るインタフェースはe0およびe2です。e0は除外されているためbにはe2が入ります。
∴b=e2
〔c,fについて〕
前述したように"192.168.0.0/24"はFSが配置されているセグメント、"192.168.10.31"はN社のBSです。
L3SWは、FSからN社BSへの通信をe0で受信しe2から送出します。逆にN社BSからFSへの戻りパケットはe2で受信しe0から送出します。これをe2の立場から見れば、「送信元:FS(e0)で宛先:N社BS(e2)」はe2から送出するため外向き(OUT)、反対に「送信元:N社BS(e2)で宛先:FS(e0)」はe2で受信するため内向き(IN)の通信になります。
∴c=OUT
f=IN
〔d,eについて〕
業務上必要となるFSとN社BS間の通信はバックアップ処理に伴う通信です。本文中に「FSからN社BSへのファイル転送にはSCP(22/TCP)を利用する」とあるため、送信元がFSで宛先がN社BSの宛先ポートeには22が入ります。
FSの送信元ポート番号は、通信ごとにWell-knownポート以外の任意のポートが割り当てられ、N社BSからの戻りパケットもこのポート番号宛てに送信されます。したがってdには任意の番号を表すANYが入ります。
∴d=ANY
e=22
設問3
本文中の下線①について,図2に追加すべき構成要素名を10字以内で答えよ。
解答入力欄
解答例・解答の要点
- 認証サーバ (5文字)
解説
IEEE802.1Xは、LAN内のユーザ認証の方式を定めたIEEE規格で、正当な端末以外がLANに参加することを防ぐ技術です。当初は有線LAN向けとして策定されていましたが、その後にEAP(Extensible Authentication Protocol)として実装され、現在では無線LAN環境(IEEE802.11)における標準の認証機構として利用されています。
IEEE802.1Xの認証システムでは、認証を受けるクライアントである「サプリカント(supplicant)」、RADIUSなどの「認証サーバ(authentication server)」、RADIUSクライアントの機能を持ち、認証サーバ間の認証プロセスを相互に中継する認証装置(認証スイッチ)である「オーセンティケータ(authenticator)」の3つの要素で構成されます。
M社のネットワークでは各課のPCがサプリカント、スイッチがオーセンティケータに相当します。しかし認証サーバを担う機器は存在しないため新たに導入する必要があります。
∴認証サーバ
IEEE802.1Xの認証システムでは、認証を受けるクライアントである「サプリカント(supplicant)」、RADIUSなどの「認証サーバ(authentication server)」、RADIUSクライアントの機能を持ち、認証サーバ間の認証プロセスを相互に中継する認証装置(認証スイッチ)である「オーセンティケータ(authenticator)」の3つの要素で構成されます。
∴認証サーバ
設問4
本文中の下線②について,夜間バッチ処理を90分以内に終了させたい場合,最低限必要な広域イーサネット回線の帯域を解答群の中から選び,記号で答えよ。ここで,通信に必要なパケットのヘッダなどのファイル転送プロトコルを含めた転送効率は80%とする。1Gバイトは1,000Mバイトとする。
解答群
- 20Mビット/秒
- 40Mビット/秒
- 60Mビット/秒
- 80Mビット/秒
解答入力欄
解答例・解答の要点
- ウ
解説
表2より毎日のバックアップが必要な最大量は、
30Gバイトのデータを90分以内に転送するために最低限必要な帯域は、
(30Gバイト=240Gビット,90分=5,400秒)
240÷5,400=0.04444≒44(Mビット/秒)
さらに転送効率が80%なので、
44÷0.8=55(Mビット/秒)
したがって約55Mビット/秒を上回り、かつ最も小さい60Mビット/秒が正解です。
∴ウ:60Mビット/秒
- 制作一課用FS…10Gバイト
- 制作二課用FS…5Gバイト
- 制作三課用FS…15Gバイト
30Gバイトのデータを90分以内に転送するために最低限必要な帯域は、
(30Gバイト=240Gビット,90分=5,400秒)
240÷5,400=0.04444≒44(Mビット/秒)
さらに転送効率が80%なので、
44÷0.8=55(Mビット/秒)
したがって約55Mビット/秒を上回り、かつ最も小さい60Mビット/秒が正解です。
∴ウ:60Mビット/秒
