「AP過去問 令和6年度秋期 午後 問5 ネットワーク」の版間の差分

提供:yonewiki
26行目: 26行目:




 E社のルータでは、[] 機能を用いて、E社内に割り当てられたプライベートIPアドレス及びポート番号に変換している。
 E社のルータでは、<div style="display: inline-block; border: 2px solid; padding-left: 20px; padding-right: 20px;"></div> 機能を用いて、E社内に割り当てられたプライベートIPアドレス及びポート番号に変換している。


 Y社SaaSでは、E社からのアクセスに対して①<u>送信元IPアドレスでアクセス制限を行っている</u>
 Y社SaaSでは、E社からのアクセスに対して①<u>送信元IPアドレスでアクセス制限を行っている</u>
42行目: 42行目:
 サービスZは、PCからインターネット上のWebサイトへのアクセスを安全に行うためのサービスであり、主な機能は次の三つである。
 サービスZは、PCからインターネット上のWebサイトへのアクセスを安全に行うためのサービスであり、主な機能は次の三つである。


(1) アクセス先の[]やIPアドレスから悪意のあるWebサイトであるかどうかを評価し、安全でないと評価された場合はアクセスを遮断する機能。
(1) アクセス先の <div style="display: inline-block; border: 2px solid; padding-left: 20px; padding-right: 20px;"></div> やIPアドレスから悪意のあるWebサイトであるかどうかを評価し、安全でないと評価された場合はアクセスを遮断する機能。


(2) 機密情報や顧客情報がE社外に漏えいしないように、TLSで暗号化された通信内容をサービスZ内で複合して通信内容を検査し、これらの情報が含まれていないことを確認する機能
(2) 機密情報や顧客情報がE社外に漏えいしないように、TLSで暗号化された通信内容をサービスZ内で複合して通信内容を検査し、これらの情報が含まれていないことを確認する機能
59行目: 59行目:
 G主任は、サービスZ導入に当たって必要となる作業を検討し、次の四点に整理した。
 G主任は、サービスZ導入に当たって必要となる作業を検討し、次の四点に整理した。


(1) 現行のE社のネットワーク構成からプロキシサーバを廃止し、社内のPCからインターネット上のWebサイトへのアクセスは、宛先IPアドレスが[]のものだけを許可するように、FWの許可ルールを変更する。
(1) 現行のE社のネットワーク構成からプロキシサーバを廃止し、社内のPCからインターネット上のWebサイトへのアクセスは、宛先IPアドレスが <div style="display: inline-block; border: 2px solid; padding-left: 20px; padding-right: 20px;"></div> のものだけを許可するように、FWの許可ルールを変更する。


(2) PCにソフトCを導入する。このソフトCは、各PC上でローカルプロキシとして動作する。ソフトCからHTTPS通信によってインターネット上のWebサイトへアクセスできるようにするために、[]を宛先IPアドレスとするようソフトCの通信設定を行う。
(2) PCにソフトCを導入する。このソフトCは、各PC上でローカルプロキシとして動作する。ソフトCからHTTPS通信によってインターネット上のWebサイトへアクセスできるようにするために、<div style="display: inline-block; border: 2px solid; padding-left: 20px; padding-right: 20px;"></div> を宛先IPアドレスとするようソフトCの通信設定を行う。


(3) PCのプロキシ設定で、[]については、これまでどおり直接HTTP通信ができるように設定する。
(3) PCのプロキシ設定で、<div style="display: inline-block; border: 2px solid; padding-left: 20px; padding-right: 20px;"></div> については、これまでどおり直接HTTP通信ができるように設定する。


(4) Y社のSaaSの送信元IPアドレスでのアクセス制限の設定を変更する。
(4) Y社のSaaSの送信元IPアドレスでのアクセス制限の設定を変更する。
75行目: 75行目:


 サービスZ導入前のE社のFWの許可ルールを表1に、サービスZ導入後のE社FWの許可ルールを表2に示す。なお、ルールは項番の小さい順に参照され、最初に該当したルールが適用される。
 サービスZ導入前のE社のFWの許可ルールを表1に、サービスZ導入後のE社FWの許可ルールを表2に示す。なお、ルールは項番の小さい順に参照され、最初に該当したルールが適用される。
<div align="center">表1 サービスZ導入前のE社FWの許可ルール(抜粋)</div>
<table width="100%" border="2" style="border-collapse: collapse;border-style: solid">
<tr>
  <td align="center" style="border: 2px solid;">項番</td>
  <td align="center" style="border: 2px solid;">送信元</td>
  <td align="center" style="border: 2px solid;">宛先</td>
  <td align="center" style="border: 2px solid;">プロトコル名/ポート番号</td>
</tr>
<tr>
  <td align="center" style="border: 2px solid;">1</td>
  <td align="center" style="border: 2px solid;">内部セグメント</td>
  <td align="center" style="border: 2px solid;"><div style="display: inline-block; border: 2px solid; padding-left: 20px; padding-right: 20px;">e</div></td>
  <td align="center" style="border: 2px solid;">TCP/443</td>
</tr>
<tr>
  <td align="center" style="border: 2px solid;">2</td>
  <td align="center" style="border: 2px solid;">内部セグメント</td>
  <td align="center" style="border: 2px solid;"><div style="display: inline-block; border: 2px solid; padding-left: 20px; padding-right: 20px;">e</div></td>
  <td align="center" style="border: 2px solid;">TCP/80</td>
</tr>
<tr>
  <td align="center" style="border: 2px solid;">3</td>
  <td align="center" style="border: 2px solid;"><div style="display: inline-block; border: 2px solid; padding-left: 20px; padding-right: 20px;">e</div></td>
  <td align="center" style="border: 2px solid;">インターネット</td>
  <td align="center" style="border: 2px solid;">TCP/443</td>
</tr>
<tr>
  <td align="center" style="border: 2px solid;">4</td>
  <td align="center" style="border: 2px solid;"><div style="display: inline-block; border: 2px solid; padding-left: 20px; padding-right: 20px;">e</div></td>
  <td align="center" style="border: 2px solid;">インターネット</td>
  <td align="center" style="border: 2px solid;">TCP/80</td>
</tr>
</table>
<div align="left">注記 FWは、応答パケットを自動的に通過させるステートフルパケットインスペクション機能をもつ。</div>
<div align="center">表2 サービスZ導入後のE社FWの許可ルール(抜粋)</div>
<table width="100%" border="2" style="border-collapse: collapse;border-style: solid">
<tr>
  <td align="center" style="border: 2px solid;">項番</td>
  <td align="center" style="border: 2px solid;">送信元</td>
  <td align="center" style="border: 2px solid;">宛先</td>
  <td align="center" style="border: 2px solid;">プロトコル名/ポート番号</td>
</tr>
<tr>
  <td align="center" style="border: 2px solid;">1</td>
  <td align="center" style="border: 2px solid;">内部セグメント</td>
  <td align="center" style="border: 2px solid;"><div style="display: inline-block; border: 2px solid; padding-left: 20px; padding-right: 20px;">c</div></td>
  <td align="center" style="border: 2px solid;">TCP/<div style="display: inline-block; border: 2px solid; padding-left: 20px; padding-right: 20px;">f</div></td>
</tr>
</table>
<div align="left">注記 FWは、応答パケットを自動的に通過させるステートフルパケットインスペクション機能をもつ。</div>





2024年11月20日 (水) 18:18時点における版

AP 過去問題 午後に戻る。

AP過去問_令和6年度秋期_午後_問4_システムアーキテクチャの同じ回の前の問題へ移動。

AP過去問_令和6年度秋期_午後_問6_データベースの同じ回の次の問題へ移動。

令和6年度秋期 午後 問5 ネットワーク(AIプロンプト向け)

 

令和6年度秋期 午後 問5 ネットワーク(問題原文)

■セキュアWebゲートウェイサービスに関する次の記述を読んで設問に答えよ。


 E社は、インターネットを利用した人材紹介業を営む会社である。

 E社のネットワークは、DMZセグメント、内部セグメント及びサーバセグメントから構成されている。DMZセグメントには、コンテンツフィルタリング機能やWebサイトのアクセス制御機能をもつプロキシサーバ及びDNSサーバが設置されている。プロキシサーバでは、内部セグメントからインターネット向けのHTTP通信、HTTP over TLS(以下、HTTPSという)通信を中継し、アクセスログを保管している。内部セグメントにはE社の従業員が利用するPCが、サーバセグメントには業務サーバがそれぞれ設置されている。

 E社の従業員は、PCのWebブラウザを用いて、HTTP通信でサーバセグメントの業務サーバに直接アクセスして業務を実施したり、HTTPS通信でY社が提供するSaaS(以下、Y社SaaSという)にアクセスして、電子メールサービス、ファイル共有サービス、チャットサービスなどを活用したりしている。


[E社のネットワーク構成]

 E社のネットワーク構成を、図1示す。


 E社のルータでは、

機能を用いて、E社内に割り当てられたプライベートIPアドレス及びポート番号に変換している。

 Y社SaaSでは、E社からのアクセスに対して①送信元IPアドレスでアクセス制限を行っている


[セキュアWebゲートウェイサービスの導入検討]

 E社では、近年の業務拡大に伴い、インターネット利用の機会が急激に拡大してきた。情報システム部のF部長は、悪意のあるWebサイトへ意図せずにアクセスしたり、社内の機密情報や顧客情報が漏えいしたりするおそれがあると考え、インターネットアクセスに対するセキュリティ対策を強化することにした。そこで、部下のG主任に、社内のプロキシサーバに代えて、Z社がSaaSとして提供するセキュアWebゲートウェイサービス(以下、サービスZという)の導入検討を提示した。


[サービスZの概要]

 G主任は、サービスZの概要を調査した。

 サービスZは、PCからインターネット上のWebサイトへのアクセスを安全に行うためのサービスであり、主な機能は次の三つである。

(1) アクセス先の

やIPアドレスから悪意のあるWebサイトであるかどうかを評価し、安全でないと評価された場合はアクセスを遮断する機能。

(2) 機密情報や顧客情報がE社外に漏えいしないように、TLSで暗号化された通信内容をサービスZ内で複合して通信内容を検査し、これらの情報が含まれていないことを確認する機能

(3) ②インターネット上のWebサイトから受け取ったプログラムをサービスZ内の保護された領域で動作させ、E社システムが不正に操作されるおそれがないことを確認する機能


 サービスZを利用するためには、E社の全てのPCに専用のクライアントソフトウェア(以下、ソフトCという)を導入し、PCのWebブラウザからインターネット上のWebサイトへのアクセスを、ソフトCを介して行う必要がある。ソフトCからサービスZには、HTTPS通信を用いて接続する。サービスZは、PCからインターネット上への全てのWebアクセスについて、どのPCからアクセスされたものかを識別して、アクセスの監視や各種制御を行う。


[ネットワーク構成の変更]

 G主任は、サービスZの調査結果を基に、サービスZ導入後のE社のネットワーク構成案を図2のように考えた。


 G主任は、サービスZ導入に当たって必要となる作業を検討し、次の四点に整理した。

(1) 現行のE社のネットワーク構成からプロキシサーバを廃止し、社内のPCからインターネット上のWebサイトへのアクセスは、宛先IPアドレスが

のものだけを許可するように、FWの許可ルールを変更する。 (2) PCにソフトCを導入する。このソフトCは、各PC上でローカルプロキシとして動作する。ソフトCからHTTPS通信によってインターネット上のWebサイトへアクセスできるようにするために、

を宛先IPアドレスとするようソフトCの通信設定を行う。 (3) PCのプロキシ設定で、

については、これまでどおり直接HTTP通信ができるように設定する。

(4) Y社のSaaSの送信元IPアドレスでのアクセス制限の設定を変更する。


[FWの許可ルールの見直し]

 サービスZ導入前のE社FWの許可ルールでは、PCのWebブラウザからインターネットへのHTTP通信やHTTPS通信について、E社プロキシサーバを経由する通信だけを許可する設定になっていた。

 G主任は、サービスZ導入後に必要なFWの許可ルールを検討した。

 サービスZ導入前のE社のFWの許可ルールを表1に、サービスZ導入後のE社FWの許可ルールを表2に示す。なお、ルールは項番の小さい順に参照され、最初に該当したルールが適用される。


表1 サービスZ導入前のE社FWの許可ルール(抜粋)
項番 送信元 宛先 プロトコル名/ポート番号
1 内部セグメント
TCP/443
2 内部セグメント
TCP/80
3
インターネット TCP/443
4
インターネット TCP/80
注記 FWは、応答パケットを自動的に通過させるステートフルパケットインスペクション機能をもつ。


表2 サービスZ導入後のE社FWの許可ルール(抜粋)
項番 送信元 宛先 プロトコル名/ポート番号
1 内部セグメント
TCP/
注記 FWは、応答パケットを自動的に通過させるステートフルパケットインスペクション機能をもつ。


 G主任は、これまでの調査内容をF部長に報告し、サービスZの主な三つの機能を導入することになった。

 

回答・解説

 

AP過去問_令和6年度秋期_午後_問4_システムアーキテクチャの同じ回の前の問題へ移動。

AP過去問_令和6年度秋期_午後_問6_データベースの同じ回の次の問題へ移動。

AP 過去問題 午後に戻る。