令和元年秋期試験午後問題 問1

午前試験免除制度対応!基本情報技術者試験のeラーニング【独習ゼミ】

問1 情報セキュリティ

テレワークの導入に関する次の記述を読んで,設問1~3に答えよ。

 ソフトウェア開発会社であるA社では,従業員が働き方を柔軟に選択できるように,場所や時間の制約を受けずに働く勤務形態であるテレワークを導入することにした。
 A社には,事務業務だけが行えるPC(以下,事務PCという)と,事務業務及びソフトウェア開発業務が行えるPC(以下,開発PCという)がある。開発部の従業員は開発PCを使用し,開発部以外の従業員は事務PCを使用している。
 A社には事務室,開発室及びサーバ室があり,各部屋のネットワークはファイアウォール(以下,A社FWという)を介して接続されている。A社のネットワーク構成を,図1に示す。
pm01_1.png
 事務室には,事務PCだけが設置されている。開発室には開発PCだけが設置されており,開発部の従業員だけが入退室できる。サーバ室には,プロキシサーバ1台と,ソフトウェア開発業務に必要なソースコード管理,バグ管理,テストなどに利用するサーバ(以下,開発サーバという)が複数台設置されている。
 A社FWでは,開発室のネットワークだけから開発サーバにHTTP over TLS(以下,HTTPSという)又はSSHでアクセスできるように通信を制限している。また,A社ネットワークからのインターネットのWebサイト閲覧は,事務PC及び開発PCだけからプロキシサーバを経由してできるように通信を制限している。

 テレワークで働く従業員は,データを保存できないシンクライアント端末をA社から支給され,遠隔からインターネットを経由してA社のネットワークに接続し,業務を行う。そのために,安全にA社のネットワークに接続するVPN,及び仮想マシンの画面を転送して遠隔から操作できるようにする画面転送型の仮想デスクトップ環境(以下,VDIという)の導入を検討した。テレワーク導入後のA社のネットワーク構成案を,図2に示す。
pm01_2.png
〔A社が検討したテレワークによる業務の開始までの流れ〕
  • 利用者は,シンクライアント端末のVPNクライアントを起動して,VPNサーバに接続する。
  • VPNサーバは,VPNクライアントが提示するクライアント証明書を検証する。検証に成功した場合,処理を継続する。
  • VPNサーバは,利用者を認証する。認証が成功した場合,VPNクライアントに対して,192.168.16.0/24 の範囲で使用されていないIPアドレスを一つ選択して割り当てる。
  • VPNクライアントは,(3)で割り当てられたIPアドレスを使用して,VPNサーバ経由でA社のネットワークに接続する。
  • 利用者は,シンクライアント端末のVDIクライアントを起動して,VDIサーバに接続する。
  • VDIサーバは,VPNサーバで認証された利用者が開発部以外の従業員であれば事務業務だけが行える仮想マシン(以下,事務VMという)を,開発部の従業員であれば事務業務及びソフトウェア開発業務が行える仮想マシン(以下,開発VMという)を割り当てる。また,VDIサーバは,事務VMには 192.168.64.0/24,開発VMには 192.168.65.0/24 の範囲で使用されていないIPアドレスを一つ選択して割り当てる。
  • 利用者は,仮想マシンにログインして業務を開始する。VDIクライアントと仮想マシンとの間では,画面データ,並びにキーボード及びマウスの操作データだけが送受信される。
 テレワーク導入後のA社FWに設定するパケットフィルタリングのルール案を,表1に示す。
pm01_3.png
 ところが,表1のルール案ではルール番号7の条件に誤りがあり,aことが分かった。そこで,開発サーバに対するアクセスを正しく制限するために,ルール番号7の条件について,送信元をbに変更した。
広告

設問1

本文中の に入れる適切な答えを,解答群の中から選べ。
a に関する解答群
  • 開発PCから開発サーバにアクセスできない
  • 開発VMから開発サーバにアクセスできない
  • 事務PCから開発サーバにアクセスできる
  • 事務VMから開発サーバにアクセスできる
b に関する解答群
  • 192.168.0.0/24
  • 192.168.1.0/24
  • 192.168.16.0/24
  • 192.168.64.0/24
  • 192.168.65.0/24
  • 192.168.128.0/20
  • 192.168.128.0/24
  • 203.0.113.0/24
解答選択欄
  • a:
  • b:
  • a=
  • b=

解説

まずVDIについて簡単に説明しておきます。
VDI(Virtual Desktop Infrastructure)は,サーバ内にクライアントごとの仮想マシンを用意して仮想デスクトップ環境を構築する技術です。利用者はネットワークを通じてVDIサーバ上の仮想デスクトップ環境に接続し、クライアントPCにはVDIサーバからの操作結果画面のみが転送される仕組みになっています。
pm01_4.png
この仕組みにより、クライアントがインターネット上のサイトと直接的な通信を行わなくなるので、クライアントPCをインターネットから分離できます。もし利用者の操作により不正なマルウェアをダウンロードしてしまったとしても、それが保存されるのはVDIサーバ上の仮想環境ですので、クライアントPCへの感染を防げます。汚染された仮想環境を削除してしまえば内部ネットワークへの影響もありません。

aについて〕
表1のルール番号7を見てみると、送信元が 192.168.64.0/23、宛先が 192.168.128.0/20 になっています。図2のネットワーク図及び本文中の説明と照合してみると、それぞれ次の送信元・宛先であることがわかります。
送信元 192.168.64.0/23
192.168.64.0/24 と 192.168.65.0/24 は、VDIサーバが事務VM及び開発VMに割り当てるIPアドレス範囲です。192.168.64.0/23 はこの2つのアドレス範囲を集約したネットワークアドレスなので、事務VM及び開発VMを表します。
pm01_5.png
宛先 192.168.128.0/20
開発サーバです。
したがって、このルールは事務VM及び開発VMから開発サーバへのアクセスを許可するものということになります。

A社では、開発室には開発部の従業員だけを入退室可能にし、FWで開発室のネットワークだけから開発サーバにアクセスできるようにして、開発部以外の従業員が開発サーバにアクセスできないように制限しています。しかし、ルール7の設定だと事務VMから開発サーバにアクセスできてしまうことになり、A社が意図するアクセス制限に反します。

以上より、「事務VMから開発サーバにアクセスできる」ことが設定誤りであることがわかります。

a=エ:事務VMから開発サーバにアクセスできる
  • 開発PC(192.168.1.0/24)から開発サーバ(192.168.128.0/20)へのアクセスはルール6で許可されています。
  • ルール7は開発VMから開発サーバへのアクセスを許可しています。
  • 事務PC(192.168.0.0/24)から開発サーバへのアクセスを許可するルールはありません。よって、ルール8が適用されアクセスが遮断されます。
  • 正しい。ルール7により事務VMから開発サーバにアクセスできてしまいます。
bについて〕
設定誤りの内容は、送信元のIPアドレスプレフィックスが23になっているために、事務VMと開発VMの両方から開発サーバにアクセスできてしまうことでした。この問題を解決するためには、ルール7の送信元IPアドレスを変更して開発サーバへのアクセスを開発VMからのみ限定する必要があります。

VDIサーバは事務VMに対して 192.168.64.0/24 、開発VMに対して 192.168.65.0/24 のIPアドレスを割り当てるので、アクセスを許可する送信元を開発VMに限定するには、送信元として 192.168.65.0/24 を設定することになります。この変更により、下記のように事務VMのIPアドレスは送信元から除外されるので開発サーバへのアクセスを遮断できます。
pm01_6.png
b=オ:192.168.65.0/24
広告

設問2

シンクライアント端末から開発サーバにアクセスするときの接続経路として適切な答えを,解答群の中から選べ。
解答群
  • シンクライアント端末→VDIサーバ→VPNサーバ→開発PC→開発サーバ
  • シンクライアント端末→VDIサーバ→VPNサーバ→開発VM→開発サーバ
  • シンクライアント端末→VDIサーバ→開発VM→開発PC→開発サーバ
  • シンクライアント端末→VPNサーバ→VDIサーバ→開発PC→開発サーバ
  • シンクライアント端末→VPNサーバ→VDIサーバ→開発VM→開発サーバ
  • シンクライアント端末→VPNサーバ→開発PC→開発VM→開発サーバ
解答選択欄
  •  
  •  

解説

〔テレワーク業務開始までの流れ〕を正しく読み取って解答を導きます。開発サーバにアクセスするとあるので、開発部の従業員がテレワークでアクセスする場合の流れを考えます。
  1. (1) 利用者は,シンクライアント端末のVPNクライアントを起動して,VPNサーバに接続する
  2. (5) 利用者は,シンクライアント端末のVDIクライアントを起動して,VDIサーバに接続する
  3. (6) VDIサーバは,開発部の従業員であれば開発VMを割り当てる
  4. (7) 利用者は,開発VMにログインする
  5. (7) 開発VM上から開発サーバにアクセスする
本文中の説明に従えば上記の順序になります。したがって「オ」が正解です。
pm01_7.png
∴オ:シンクライアント端末→VPNサーバ→VDIサーバ→開発VM→開発サーバ
  • VPNサーバでの認証よりも先にVDIサーバに接続しているので誤りです。
  • VPNサーバでの認証よりも先にVDIサーバに接続しているので誤りです。
  • VPNサーバに接続していないので誤りです。
  • 開発VMではなく開発PCを使用しているので誤りです。
  • 正しい。
  • VDIサーバに接続していないので誤りです。
広告

設問3

A社がテレワークの検討を進める過程で,"常に同一の業務環境を使用できるように,テレワークで働くときだけでなく,事務PC及び開発PCからも仮想マシンを使用したい"との要望が挙がった。検討した結果,この要望に応えてもセキュリティ上のリスクは変わらないと判断した。また,A社のネットワーク内からアクセスするのでVPNで接続する必要はなく,利用者認証をVPNサーバではなくVDIサーバで行えばよいことを確認した。
 この要望に応えるとき,表1のルール案に必要な変更として適切な答えを,解答群の中から選べ。ここで,表1のルール番号7の送信元には,設問1で選択した適切な答えが設定されているものとする。
解答群
  • 変更する必要はない。
  • ルール番号3と4の間に,送信元を 192.168.0.0/23,宛先を 192.168.64.0/20,サービスをVDI,及び動作を許可とするルールを新たに挿入する必要がある。
  • ルール番号3と4の間に,送信元を 192.168.64.0/23,宛先を 192.168.0.0/23,サービスをVDI,及び動作を許可とするルールを新たに挿入する必要がある。
  • ルール番号3と4の間に,送信元をインターネット,宛先を 192.168.64.0/20,サービスをVDI,及び動作を許可とするルールを新たに挿入する必要がある。
解答選択欄
  •  
  •  

解説

ルール変更を検討する上で、まずは現状のルール案の内容を確認しておかなければなりません。現状のルール案の内訳は次のようになっています。
pm01_8.png
事務PC及び開発PCからも仮想マシンを使用した業務を行うには、VDIクライアントをインストールし、そのVDIクライアントからVDIサーバに接続して仮想マシンの割当てを受けなければなりません。しかし、現状のルール案では、VDIサーバへのアクセスはシンクライアント端末からのみに限られ(ルール3)、事務PC及び開発PCからVDIサーバへのアクセスを許可するルールが存在していません。したがって、これが追加すべきルールとなります。

追加する位置はどの選択肢も同じなので、問題となるのは送信元IPアドレス及び宛先IPアドレスだけです。事務PC及び開発PCは、ルール4の送信元にあるように 192.168.0.0/23 でまとめて表せるので、これを送信元にし、宛先をVDIサーバの 192.168.64.0/20 にした許可ルールを追加するのが適切です。

したがって「イ」が正解です。

∴イ:ルール番号3と4の間に,送信元を 192.168.0.0/23,宛先を 192.168.64.0/20,サービスをVDI,及び動作を許可とするルールを新たに挿入する必要がある。
広告
広告

次の問題


Pagetop