応用情報技術者過去問題 令和6年秋期 午後問5
⇄問題文と設問を画面2分割で開く⇱問題PDF問5 ネットワーク
セキュアWebゲートウェイサービスの導入に関する次の記述を読んで,設問に答えよ。
E社は,インターネットを利用した人材紹介業を営む会社である。
E社のネットワークは,DMZセグメント,内部セグメント及びサーバセグメントから構成されている。DMZセグメントには,コンテンツフィルタリング機能やWebサイトのアクセス制御機能をもつプロキシサーバ及びDNSサーバが設置されている。プロキシサーバでは,内部セグメントからインターネット向けのHTTP通信,HTTP Over TLS(以下,HTTPSという)通信を中継し,アクセスログを保管している。内部セグメントにはE社の従業員が利用するPCが,サーバセグメントには業務サーバが,それぞれ設置されている。
E社の従業員は,PCのWebブラウザを用いて,HTTP通信でサーバセグメントの業務サーバに直接アクセスして業務を実施したり,HTTPS通信でY社が提供するSaaS(以下,Y社SaaSという)にアクセスして,電子メールサービス,ファイル共有サービス,チャットサービスなどを活用したりしている。
〔E社のネットワーク構成〕
E社のネットワーク構成を,図1に示す。
E社のルータでは,a機能を用いて,E社内に割り当てられたプライベートIPアドレスをグローバルIPアドレス及びポート番号に変換している。
Y社SaaSでは,E社からのアクセスに対して①送信元IPアドレスでアクセス制限を行っている。
〔セキュアWebゲートウェイサービスの導入検討〕
E社では,近年の業務拡大に伴い,インターネット利用の機会が急激に拡大してきた。情報システム部のF部長は,悪意のあるWebサイトへ意図せずにアクセスしたり社内の機密情報や顧客情報が漏えいしたりするおそれがあると考え,インターネットアクセスに対するセキュリティ対策を強化することにした。そこで,部下のG主任に,社内のプロキシサーバに代えて,Z社がSaaSとして提供するセキュアWebゲートウェイサービス(以下,サービスZという)の導入検討を指示した。
〔サービスZの概要〕
G主任は,サービスZの概要を調査した。
サービスZは,PCからインターネット上のWebサイトへのアクセスを安全に行うためのサービスであり,主な機能は次の三つである。
サービスZを利用するためには,E社の全てのPCに専用のクライアントソフトウェア(以下,ソフトCという)を導入し,PCのWebブラウザからインターネット上のWebサイトへのアクセスを,ソフトCを介して行う必要がある。ソフトCからサービスZには,HTTPS通信を用いて接続する。サービスZは,PCからインターネット上への全てのWebアクセスについて,どのPCからアクセスされたものかを識別して,アクセスの監視や各種制御を行う。
〔ネットワーク構成の変更〕
G主任は,サービスZの調査結果を基に,サービスZ導入後のE社のネットワーク構成案を図2のように考えた。
G主任は,サービスZ導入に当たって必要となる作業を検討し,次の四点に整理した。
〔FWの許可ルールの見直し〕
サービスZ導入前のE社FWの許可ルールでは,PCのWebブラウザからインターネットへのHTTP通信やHTTPS通信について,E社プロキシサーバを経由する通信だけを許可する設定になっていた。
G主任は,サービスZ導入後に必要なFWの許可ルールを検討した。
サービスZ導入前のE社FWの許可ルールを表1に,サービスZ導入後のE社FWの許可ルールを表2に示す。なお,ルールは項番の小さい順に参照され,最初に該当したルールが適用される。
G主任は,これまでの調査内容をF部長に報告し,サービスZの主な三つの機能を導入することになった。
E社は,インターネットを利用した人材紹介業を営む会社である。
E社のネットワークは,DMZセグメント,内部セグメント及びサーバセグメントから構成されている。DMZセグメントには,コンテンツフィルタリング機能やWebサイトのアクセス制御機能をもつプロキシサーバ及びDNSサーバが設置されている。プロキシサーバでは,内部セグメントからインターネット向けのHTTP通信,HTTP Over TLS(以下,HTTPSという)通信を中継し,アクセスログを保管している。内部セグメントにはE社の従業員が利用するPCが,サーバセグメントには業務サーバが,それぞれ設置されている。
E社の従業員は,PCのWebブラウザを用いて,HTTP通信でサーバセグメントの業務サーバに直接アクセスして業務を実施したり,HTTPS通信でY社が提供するSaaS(以下,Y社SaaSという)にアクセスして,電子メールサービス,ファイル共有サービス,チャットサービスなどを活用したりしている。
〔E社のネットワーク構成〕
E社のネットワーク構成を,図1に示す。
Y社SaaSでは,E社からのアクセスに対して①送信元IPアドレスでアクセス制限を行っている。
〔セキュアWebゲートウェイサービスの導入検討〕
E社では,近年の業務拡大に伴い,インターネット利用の機会が急激に拡大してきた。情報システム部のF部長は,悪意のあるWebサイトへ意図せずにアクセスしたり社内の機密情報や顧客情報が漏えいしたりするおそれがあると考え,インターネットアクセスに対するセキュリティ対策を強化することにした。そこで,部下のG主任に,社内のプロキシサーバに代えて,Z社がSaaSとして提供するセキュアWebゲートウェイサービス(以下,サービスZという)の導入検討を指示した。
〔サービスZの概要〕
G主任は,サービスZの概要を調査した。
サービスZは,PCからインターネット上のWebサイトへのアクセスを安全に行うためのサービスであり,主な機能は次の三つである。
- アクセス先のbやIPアドレスから悪意のあるWebサイトであるかどうかを評価し,安全でないと評価された場合はアクセスを遮断する機能
- 機密情報や顧客情報がE社外に漏えいしないように,TLSで暗号化された通信内容をサービスZ内で復号して通信内容を検査し,これらの情報が含まれていないことを確認する機能
- ②インターネット上のWebサイトから受け取ったプログラムをサービスZ内の保護された領域で動作させ,E社システムが不正に操作されるおそれがないことを確認する機能
サービスZを利用するためには,E社の全てのPCに専用のクライアントソフトウェア(以下,ソフトCという)を導入し,PCのWebブラウザからインターネット上のWebサイトへのアクセスを,ソフトCを介して行う必要がある。ソフトCからサービスZには,HTTPS通信を用いて接続する。サービスZは,PCからインターネット上への全てのWebアクセスについて,どのPCからアクセスされたものかを識別して,アクセスの監視や各種制御を行う。
〔ネットワーク構成の変更〕
G主任は,サービスZの調査結果を基に,サービスZ導入後のE社のネットワーク構成案を図2のように考えた。
- 現行のE社のネットワーク構成からプロキシサーバを廃止し,社内のPCからインターネット上のWebサイトへのアクセスは,宛先IPアドレスがcのものだけを許可するように,FWの許可ルールを変更する。
- PCにソフトCを導入する。このソフトCは,各PC上でローカルプロキシとして動作する。各PCのプロキシ設定を変更して,このソフトCをプロキシとして利用する。ソフトCからHTTPS通信によってインターネット上のWebサイトへアクセスできるようにするために,cを宛先IPアドレスとするようソフトCの通信設定を行う。
- PCのプロキシ設定で,dについては,これまでどおり直接HTTP通信ができるように設定する。
- Y社SaaSの送信元IPアドレスでのアクセス制限の設定を変更する。
〔FWの許可ルールの見直し〕
サービスZ導入前のE社FWの許可ルールでは,PCのWebブラウザからインターネットへのHTTP通信やHTTPS通信について,E社プロキシサーバを経由する通信だけを許可する設定になっていた。
G主任は,サービスZ導入後に必要なFWの許可ルールを検討した。
サービスZ導入前のE社FWの許可ルールを表1に,サービスZ導入後のE社FWの許可ルールを表2に示す。なお,ルールは項番の小さい順に参照され,最初に該当したルールが適用される。
設問1
〔E社のネットワーク構成〕について答えよ。
- 本文中のaに入れる適切な字句をアルファベット4字で答えよ。
- 本文中の下線①について,アクセスが許可される送信元IPアドレスを,図1中の字句を用いて答えよ。
解答入力欄
- a:
解答例・解答の要点
- a:NAPT (4文字)
- ip1
解説
- 〔aについて〕
空欄に当てはまる字句の機能として「プライベートIPアドレスをグローバルIPアドレス及びポート番号に変換」と記述されています。この役割を持つ技術としてNATとNAPTがあります。NATはプライベートIPアドレスとグローバルIPアドレスを1対1で変換するのに対し、NAPTは送信元ごとに固有のポート番号を割り当てることで複数のプライベートIPアドレスを1つのグローバルIPアドレスに対応させるという違いがあります。
本文中には「ポート番号に変換」とあり、また4文字であることからNAPT(IPマスカレード)と判断できます。したがって、空欄aには「NAPT」が当てはまります。
∴a=NAPT - E社のネットワークでは、内部セグメントからインターネット向けの通信はプロキシサーバを中継することになっています。E社の従業員は、PCのWebブラウザを使用してHTTPS通信でY社SaaSにアクセスしますが、この通信にもプロキシサーバの中継が入ります。
プロキシサーバは、内部ネットワークのPCからインターネットへのリクエストを受け取ると、リクエスト内容をもとにPCを代理してインターネットアクセスを行います。プロキシサーバからY社SaaSに向けてパケットが送信されたとき、そのパケットの送信元IPアドレスは、プロキシサーバのプライベートIPアドレスであるip3です。しかし、プライベートIPアドレスのままではインターネットアクセスできませんから、E社のルータ上で動作するNAPTにより、プロキシサーバのプライベートIPアドレス(ip3)はグローバルIPアドレス(ip1)に変換されます。このため、Y社SaaSが受信するパケットの送信元IPアドレスは、E社のルータに設定されたグローバルIPアドレス(ip1)になっています。
したがって、Y社SaaSのアクセス制限で許可されるべき送信元IPアドレスは「ip1」となります。
∴ip1
設問2
〔サービスZの概要〕について答えよ。
- 本文中のbに入れる適切な字句をアルファベット3字で答えよ。
- 本文中の下線②の機能の名称を解答群の中から選び,記号で答えよ。
解答群
- HTTPSデコード
- アンチウイルス
- サンドボックス
- セキュアブラウジング
- トラフィック検査
解答入力欄
- b:
解答例・解答の要点
- b:URL (3文字)
- ウ
解説
- 〔bについて〕
Webサイトへのアクセスを安全に行うための仕組みとしてフィルタリングがあります。フィルタリングルールはURL、IPアドレス、コンテンツ、カテゴリといった単位で設定されるのが一般的です。サービスZでは、アクセス先のbをもとにWebサイトの安全性を評価する機能があると記載されています。この文脈と3文字のヒントから考えると、最も適切な字句は「URL」です。
URLフィルタリングは、Webサイトのアドレス(URL)を基準に安全性を判定し、アクセスを許可またはブロックする仕組みです。これは、セキュアWebゲートウェイサービスを含む多くのセキュリティ対策に採用されており、危険なサイトへのアクセスを未然に防ぐ重要な役割を果たします。
∴b=URL - HTTPSデコードとは、HTTPS通信を復号することを指します。本文中でいえば「TLSで暗号化された通信内容をサービスZ内で復号」する機能がこれに該当します。
- アンチウイルスは、既知のマルウェアやウイルスのパターンを検出して除去するソフトウェアです。プログラムを実際に動作させてその挙動を確認するのではなく、主にパターンマッチングやヒューリスティック分析によりマルウェアを特定します。
- 正しい。サンドボックスは、疑わしいプログラムを隔離環境で動作させ、マルウェアの有無や挙動の分析を行う技術です。下線②は「サービスZ内の保護された領域で動作させ」がサンドボックスの動作と合致します。
サンドボックス(Sandbox)という名前は、子どもが遊ぶ「砂場(sandbox)」に由来しています。砂場は、子どもが自由に遊べる安全な空間であり、外の世界に影響を与えずに試行錯誤できる場所です。同じようにコンピュータのサンドボックスも、プログラムを安全に実行・検証するために本来のシステムから隔離した環境を提供します。 - セキュアブラウジングは、インターネット上で安全にWebサイトを閲覧するための仕組みや技術の総称です。セーフブラウジング機能を有効化したり、セキュリティ機能を強化したセキュアブラウザを使用したりするなどがこれに該当します。悪意のあるWebサイトをブロックしますが、プログラムの動作確認はしません。
- トラフィック検査は、ネットワーク上を流れるデータを解析し、不正アクセスやマルウェア通信を検出する技術です。本文中でいえば「通信内容を検査し,これらの情報が含まれていないことを確認する機能」がこれに該当します。プログラムの動作解析はしないため誤りです。
設問3
〔ネットワーク構成の変更〕について答えよ。
- 本文及び表2中のcに入れる適切な字句を,図2中のIPアドレスを用いて答えよ。
- 本文中のdに入れる適切な字句を,図2中の機器の名称を用いて答えよ。
解答入力欄
- c:
- d:
解答例・解答の要点
- c:ip8
- d:業務サーバ
解説
- 〔cについて〕
サービスZの導入に伴って、これまで利用していたプロキシサーバが廃止されます。この変更に伴い、社内のPCからインターネット上のWebサイト(Y社SaaSを含む)へアクセスする際は、従来のプロキシサーバ経由ではなく、新たにサービスZを経由する形となります。このため、社内からプロキシサーバの中継なしにサービスZへの通信できるようにしておく必要があります。サービスZはZ社SaaSとして提供されるため、FWで許可すべき宛先はZ社SaaSのIPアドレスである「ip8」です。
∴c=ip8 - 〔dについて〕
業務でHTTP通信を使用する場面として、「E社の従業員が,PCのWebブラウザを用いて,HTTP通信を利用してサーバセグメント内の業務サーバに直接アクセスする」というものがあります。
今回のネットワーク変更では、従業員のPCからインターネット上のWebサイトへのアクセスは、新たに導入するソフトCとサービスZを経由するようになります。しかし、社内の業務サーバへのアクセスは社内ネットワーク内で完結するため、サービスZを経由する必要はありません。また、業務サーバはE社内のサーバセグメントに設置されており、外部ネットワークから直接アクセスすることはできないため、インターネットを経由する設定に変更すると、かえってアクセスできなくなる可能性があります。
以上より、E社の社内ネットワークから業務サーバへのHTTP通信は、これまでどおり直接行えるように維持する必要があります。したがって、本文中の「直接HTTP通信ができるようにする」機器とは「業務サーバ」を指します。具体的には、業務サーバへのアクセスする際にはソフトCを使用しない例外設定をPCに行います。
∴d=業務サーバ
設問4
表1中のe,表2中のfに入れる適切な字句を,図1,図2又は表1中の字句を用いて答えよ。
解答入力欄
- e:
- f:
解答例・解答の要点
- e:プロキシサーバ 又は ip3
- f:443
解説
〔eについて〕
表1のFWのルールを確認すると、TCP/443(HTTPS)とTCP/80(HTTP)が許可されています。送信元が内部セグメントになっている点を踏まえると、E社の従業員が行うインターネット上のWebサイトへのアクセスを許可するルールであると判断できます。
これまで述べたとおり、現在のE社(サービスZの導入前)では、従業員がPCのWebブラウザでインターネットアクセスを行う際、プロキシサーバを経由します。PCは内部セグメントにあり、プロキシサーバはDMZに設置されているため、PCからインターネットにアクセスする際には、「内部セグメント ⇒ DMZ ⇒ インターネット」という流れで通信が行われます。FWは各ネットワークセグメントの境界に位置しているため、これらの通信を通過させる許可ルールが必要です。
〔FWの許可ルールの見直し〕には「PCのWebブラウザからインターネットへのHTTP通信やHTTPS通信について,E社プロキシサーバを経由する通信だけを許可する設定になっていた」とあるため、通信を許可する対象はDMZセグメントではなく、プロキシサーバに限定するのが適切です。したがって、内部セグメントを送信元とするHTTP/HTTPS通信を許可すべき宛先は「プロキシサーバ(ip3)」、宛先をインターネットとするHTTP/HTTPS通信を許可すべき送信元は「プロキシサーバ(ip3)」となります。
∴e=プロキシサーバ 又は ip3
〔fについて〕
空欄cには「ip8(Z社SaaSのIPアドレス)」が入るので、このルールは内部セグメントからZ社SaaSに向けた通信を許可するルールであるとわかります。本文中には「サービスZを利用するためには,E社の全てのPCに専用のクライアントソフトウェア(以下,ソフトCという)を導入し,PCのWebブラウザからインターネット上のWebサイトへのアクセスを,ソフトCを介して行う必要がある」と記述されており、さらに「ソフトCからサービスZには,HTTPS通信を用いて接続する」とあるため、許可すべき通信はHTTPSです。HTTPSが使用するポートはTCP/443なので、空欄fには「443」が当てはまります。
∴f=443
表1のFWのルールを確認すると、TCP/443(HTTPS)とTCP/80(HTTP)が許可されています。送信元が内部セグメントになっている点を踏まえると、E社の従業員が行うインターネット上のWebサイトへのアクセスを許可するルールであると判断できます。
これまで述べたとおり、現在のE社(サービスZの導入前)では、従業員がPCのWebブラウザでインターネットアクセスを行う際、プロキシサーバを経由します。PCは内部セグメントにあり、プロキシサーバはDMZに設置されているため、PCからインターネットにアクセスする際には、「内部セグメント ⇒ DMZ ⇒ インターネット」という流れで通信が行われます。FWは各ネットワークセグメントの境界に位置しているため、これらの通信を通過させる許可ルールが必要です。
〔FWの許可ルールの見直し〕には「PCのWebブラウザからインターネットへのHTTP通信やHTTPS通信について,E社プロキシサーバを経由する通信だけを許可する設定になっていた」とあるため、通信を許可する対象はDMZセグメントではなく、プロキシサーバに限定するのが適切です。したがって、内部セグメントを送信元とするHTTP/HTTPS通信を許可すべき宛先は「プロキシサーバ(ip3)」、宛先をインターネットとするHTTP/HTTPS通信を許可すべき送信元は「プロキシサーバ(ip3)」となります。
∴e=プロキシサーバ 又は ip3
〔fについて〕
空欄cには「ip8(Z社SaaSのIPアドレス)」が入るので、このルールは内部セグメントからZ社SaaSに向けた通信を許可するルールであるとわかります。本文中には「サービスZを利用するためには,E社の全てのPCに専用のクライアントソフトウェア(以下,ソフトCという)を導入し,PCのWebブラウザからインターネット上のWebサイトへのアクセスを,ソフトCを介して行う必要がある」と記述されており、さらに「ソフトCからサービスZには,HTTPS通信を用いて接続する」とあるため、許可すべき通信はHTTPSです。HTTPSが使用するポートはTCP/443なので、空欄fには「443」が当てはまります。
∴f=443
