AP過去問 令和6年度秋期 午後 問5 ネットワーク

提供:yonewiki
2024年11月20日 (水) 20:35時点におけるYo-net (トーク | 投稿記録)による版

AP 過去問題 午後に戻る。

AP過去問_令和6年度秋期_午後_問4_システムアーキテクチャの同じ回の前の問題へ移動。

AP過去問_令和6年度秋期_午後_問6_データベースの同じ回の次の問題へ移動。

令和6年度秋期 午後 問5 ネットワーク(AIプロンプト向け)

 

令和6年度秋期 午後 問5 ネットワーク(問題原文)

■セキュアWebゲートウェイサービスに関する次の記述を読んで設問に答えよ。


 E社は、インターネットを利用した人材紹介業を営む会社である。

 E社のネットワークは、DMZセグメント、内部セグメント及びサーバセグメントから構成されている。DMZセグメントには、コンテンツフィルタリング機能やWebサイトのアクセス制御機能をもつプロキシサーバ及びDNSサーバが設置されている。プロキシサーバでは、内部セグメントからインターネット向けのHTTP通信、HTTP over TLS(以下、HTTPSという)通信を中継し、アクセスログを保管している。内部セグメントにはE社の従業員が利用するPCが、サーバセグメントには業務サーバがそれぞれ設置されている。

 E社の従業員は、PCのWebブラウザを用いて、HTTP通信でサーバセグメントの業務サーバに直接アクセスして業務を実施したり、HTTPS通信でY社が提供するSaaS(以下、Y社SaaSという)にアクセスして、電子メールサービス、ファイル共有サービス、チャットサービスなどを活用したりしている。


[E社のネットワーク構成]

 E社のネットワーク構成を、図1示す。


図1 E社のネットワーク構成


 E社のルータでは、 機能を用いて、E社内に割り当てられたプライベートIPアドレス及びポート番号に変換している。

 Y社SaaSでは、E社からのアクセスに対して①送信元IPアドレスでアクセス制限を行っている


[セキュアWebゲートウェイサービスの導入検討]

 E社では、近年の業務拡大に伴い、インターネット利用の機会が急激に拡大してきた。情報システム部のF部長は、悪意のあるWebサイトへ意図せずにアクセスしたり、社内の機密情報や顧客情報が漏えいしたりするおそれがあると考え、インターネットアクセスに対するセキュリティ対策を強化することにした。そこで、部下のG主任に、社内のプロキシサーバに代えて、Z社がSaaSとして提供するセキュアWebゲートウェイサービス(以下、サービスZという)の導入検討を提示した。


[サービスZの概要]

 G主任は、サービスZの概要を調査した。

 サービスZは、PCからインターネット上のWebサイトへのアクセスを安全に行うためのサービスであり、主な機能は次の三つである。

(1) アクセス先の やIPアドレスから悪意のあるWebサイトであるかどうかを評価し、安全でないと評価された場合はアクセスを遮断する機能。

(2) 機密情報や顧客情報がE社外に漏えいしないように、TLSで暗号化された通信内容をサービスZ内で複合して通信内容を検査し、これらの情報が含まれていないことを確認する機能

(3) ②インターネット上のWebサイトから受け取ったプログラムをサービスZ内の保護された領域で動作させ、E社システムが不正に操作されるおそれがないことを確認する機能


 サービスZを利用するためには、E社の全てのPCに専用のクライアントソフトウェア(以下、ソフトCという)を導入し、PCのWebブラウザからインターネット上のWebサイトへのアクセスを、ソフトCを介して行う必要がある。ソフトCからサービスZには、HTTPS通信を用いて接続する。サービスZは、PCからインターネット上への全てのWebアクセスについて、どのPCからアクセスされたものかを識別して、アクセスの監視や各種制御を行う。


[ネットワーク構成の変更]

 G主任は、サービスZの調査結果を基に、サービスZ導入後のE社のネットワーク構成案を図2のように考えた。


図2 サービスZ導入後のE社のネットワーク構成案


 G主任は、サービスZ導入に当たって必要となる作業を検討し、次の四点に整理した。

(1) 現行のE社のネットワーク構成からプロキシサーバを廃止し、社内のPCからインターネット上のWebサイトへのアクセスは、宛先IPアドレスが のものだけを許可するように、FWの許可ルールを変更する。

(2) PCにソフトCを導入する。このソフトCは、各PC上でローカルプロキシとして動作する。ソフトCからHTTPS通信によってインターネット上のWebサイトへアクセスできるようにするために、 を宛先IPアドレスとするようソフトCの通信設定を行う。

(3) PCのプロキシ設定で、 については、これまでどおり直接HTTP通信ができるように設定する。

(4) Y社のSaaSの送信元IPアドレスでのアクセス制限の設定を変更する。


[FWの許可ルールの見直し]

 サービスZ導入前のE社FWの許可ルールでは、PCのWebブラウザからインターネットへのHTTP通信やHTTPS通信について、E社プロキシサーバを経由する通信だけを許可する設定になっていた。

 G主任は、サービスZ導入後に必要なFWの許可ルールを検討した。

 サービスZ導入前のE社のFWの許可ルールを表1に、サービスZ導入後のE社FWの許可ルールを表2に示す。なお、ルールは項番の小さい順に参照され、最初に該当したルールが適用される。


表1 サービスZ導入前のE社FWの許可ルール(抜粋)
項番 送信元 宛先 プロトコル名/ポート番号
1 内部セグメント TCP/443
2 内部セグメント TCP/80
3 インターネット TCP/443
4 インターネット TCP/80
注記 FWは、応答パケットを自動的に通過させるステートフルパケットインスペクション機能をもつ。


表2 サービスZ導入後のE社FWの許可ルール(抜粋)
項番 送信元 宛先 プロトコル名/ポート番号
1 内部セグメント TCP/
注記 FWは、応答パケットを自動的に通過させるステートフルパケットインスペクション機能をもつ。


 G主任は、これまでの調査内容をF部長に報告し、サービスZの主な三つの機能を導入することになった。


設問1 [E社のネットワーク構成]について答えよ。

(1) 本文中の に入れる適切な字句をアルファベット4字で答えよ。

(2) 本文中の下線①について、アクセスが許可される送信元IPアドレスを、図1中の字句を用いて答えよ。


設問2 [サービスZの概要]について答えよ。

(1) 本文中の に入れる適切な字句をアルファベット3字で答えよ

(2) 本文中の下線②の機能の名称を回答群の中から選び、記号で答えよ。

回答群

ア HTTPデコード

イ アンチウィルス

ウ サンドボックス

エ セキュアブラウジング

オ トラフィック検査


設問3 [ネットワーク構成の変更]について答えよ。

(1) 本文及び表2中の に入れる適切な字句を、図2中のIPアドレスを用いて答えよ。

(2) 本文中の に入れる適切な字句を、図2中の機器の名称を用いて答えよ。


設問4 表1中の 、表2中の に入れる適切な字句を、図1、図2又は表1中の字句を用いて答えよ。

 

回答・解説

 セキュアゲートウェイの問題なので、難易度は普通ですね。各設問の回答例をみても知っておくべく範囲かなと思いました。


設問1

(1)

 ルータでは、 機能を用いて、E社内に割り当てられたプライベートIPアドレス及びポート番号に変換している。の穴埋めですから、ルータに付随する機能で外部のアドレス及びポート番号の関係と社内(家庭内)のIPアドレス及びポート番号の関係を取り持つための変換をするものです。


 この文章だけでピンとこないといけないので、この問題の難易度は普通なのですが、気づけるかやアルファベット4文字の言い方で覚えているかが大事になるので、やや難しめでしょうか。答えはIPマスカレード変換のアルファベット4文字での名称になります。IPマスカレード変換としか覚えていない場合はむしろアルファベット4文字の名称はどうひねっても出てこないでしょう。管理人はNATという3文字のほうは思い出せたのですが、4文字はPortが付いたような、いやいやIPマスカレードだから先頭にIがついたのだっけとか当日は混乱して終了しました。NAPT、NATPいやNATPは絶対違うし、なんとかかんとかTranslationかTransferで終わるはず。NAPTのような気もする。マスカレードのMはどこにもつかないのか?先頭のIは使わないのかとか苦悩したすえINATとかと答えてしまいました。しくったなぁ最近はルータの設定さわることなかったし思い出せねぇ悔しいってなりました。自宅のWebサーバとか立てて外からアクセスすることはやったことがあったので、ポート番号HTTPの80とHTTPSの443を特定のパソコンのIPアドレスに割り振るときにルータで443と80はこのIPアドレスのPCサーバを外から見に行くようにみたいな設定をしたりしたことはありました。自宅にWebサーバたてて遊んだのは数十年前っす。若気の至りです。たいした用もないのに外から自宅内の特定PCに通信を通すとか無駄に危ないだけだし、やめようと思い始めたのが最近ですね。TV用HDDレコーダの予約を外出先からできるというのは便利とかおもったりしたときもありましたが、諦めも大事というかあらかじめ予約しない自分に落ち度があるということで、諦めることにして久しいです。なんしか外からの通信を通過させる設定って危ないっす。無駄に危ないっす。自分ではセキュリティ対策しきれないし、なんかあったら自宅側の機器に影響でまくることあるんで、鍵をするのが安全だと思っています。最近の子たちもまだ鍵かけないで解放したりしてあそべたりしてるのかなぁ。


  • 「IPマスカレード(Masquerade:仮装・偽装)」という名前はLinuxから広まった実装ベースの呼び方で、日本で特に普及。
  • 「NAPT」は標準化された技術用語で、より正確に仕組みを表現。
  • 日本では「NAPT」という略語は使われるが、「ネットワークアドレスポート変換」という直訳的な語句は一般的ではない。


というのがAIによる要約で得た答えです。


 なんしか答えはNetwork Address Port Translationの略のNAPTです。したがって


NAPT


 です。だいぶ長くなったのは、相当、悔しかったらしい。管理人の低脳さ。惜しげもなく披露だな。


(2)

 Y社のSaaS側からアクセスが許可されるE社内の送信元IPアドレスは何かという問いです。これはネットワークの仕組みをわかっていないと答えられないですが、ルータに与えられるのが外部で使えるIPアドレスでE社内のそれぞれの機器が外に行くときには、ルータに与えられた外部のIPアドレスでアクセスします。ルータの内側でそれぞれの機器に付けられたIPアドレスは、社内のプライベートな空間、ローカルの空間だけで使えるIPアドレスが使われます。外で使えるIPアドレスをそれぞれの機器に付与して運用するケースもありますが、この設問ではそうではないことが問題文中に書かれています。E社のルータでは、 機能を用いて、E社内に割り当てられたプライベートIPアドレス及びポート番号に変換している。と、書かれています。したがって答えはルータに設定されているIPで


ip1


 です。


設問2

(1)

 アクセス先の やIPアドレスから悪意のあるWebサイトであるかどうか... とあるところの穴埋めをアルファベット3文字でとなっています。


 アクセス先の何かです。繋ぐ先の名前がはいります。3文字です。Y社のSaaSの中の何かなのか?D社社内の何かなのかという感じです。もう一つはIPアドレスを使う。もう一方はアルファベット3文字の何かだとなっています。でもいずれも悪意あるWebサイトであるかもしれないという何かだと言っています。Webサイトの宛先を示すものでIPアドレスあるいは何か3文字で呼ぶ方式とは何か。感のいい人はこのあたりでURIのことじゃねぇの?と思ったり、もっと一般的な言い方のURLが出てくるのだと思います。感の悪い管理人はVPNとかVNCとか、SSHとかFTPとかいろいろ無駄に違う接続の名前が出てきてしまって撃沈しました。VPNとか勝手に思いついて、あんまり関係ない。

 

AP過去問_令和6年度秋期_午後_問4_システムアーキテクチャの同じ回の前の問題へ移動。

AP過去問_令和6年度秋期_午後_問6_データベースの同じ回の次の問題へ移動。

AP 過去問題 午後に戻る。