令和4年秋期試験午後問題 問5

問5 ネットワーク

⇱問題PDF
テレワーク環境への移行に関する次の記述を読んで,設問に答えよ。
 W社は,東京に本社があり,全国に2か所の営業所をもつ,社員数200名のホームページ制作会社である。W社では本社と各営業所との間をVPNサーバを利用してインターネットVPNで接続している。
 本社のDMZでは,プロキシサーバ,VPNサーバ及びWebサーバを,本社の内部ネットワークではファイル共有サーバ及び認証サーバを運用している。
 W社では,一部の社員が,社員のテレワーク環境からインターネットを介して本社VPNサーバにリモート接続することで,テレワークとWeb会議を試行している。
 W社のネットワーク構成を図1に示す。
pm05_1.png

〔W社の各サーバの機能〕
 W社の各サーバの機能を次に示す。
  • 本社VPNサーバは,各営業所のVPNサーバとの間でインターネットVPNで拠点間を接続する。また,社員のテレワーク環境にあるPCにリモートアクセス機能を提供する。
  • 本社,各営業所及び社員のテレワーク環境のPCのWebブラウザからインターネット上のWebサイトへの接続は,本社のプロキシサーバを経由して行われる。プロキシサーバは,インターネット上のWebサイトへのアクセス時のコンテンツフィルタリングやログの取得を行う。
  • ファイル共有サーバには,社員ごとや組織ごとに保存領域があり,PCにはファイルを保存しない運用をしている。
  • 認証サーバでは,社員のID,パスワードなどを管理して,PCやファイル共有サーバへのログイン認証を行っている。
 現在利用している本社のインターネット接続回線は,契約帯域が100Mビット/秒(上り/下り)で帯域非保証型である。

〔テレワークの拡大〕
 W社では,テレワークを拡大することになり,情報システム部のX部長の指示でYさんがテレワーク環境への移行を担当することになった。
 Yさんが移行計画を検討したところ,テレワークに必要なPC(以下,リモートPCという),VPNサーバ及びリモートアクセスに必要なソフトウェアとそのライセンスの入手は即時可能であるが,本社のインターネット接続回線の帯域増強工事は,2か月掛かることが分かった。そこでYさんは,ネットワークの帯域増強工事が完了するまでの間,ネットワークに流れる通信量を監視しながら移行を進めることにした。

〔W社が採用したリモートアクセス方式〕
 今回Yさんが採用したリモートアクセス方式は,aで暗号化されたb通信を用いたインターネットVPN接続機能によって,社員がリモートPCのWebブラウザからVPNサーバを経由して本社と各営業所の内部ネットワークのPC(以下,内部PCという)を遠隔操作する方式である。ここで,リモートPCからの内部PCの遠隔操作は,内部PCのOSに標準装備された機能を利用して,ネットワーク経由で内部PCのデスクトップ画面情報をリモートPCが受け取って表示し,リモートPCから内部PCのデスクトップ操作を行うことで実現する。
 この方式では,リモートPCから内部PCを直接操作することになるので,従来の社内作業をそのままリモートPCから行うことができる。リモートPCからの遠隔操作で作成した業務データもファイル共有サーバに保存するので,社員が出社した際にも業務データをそのまま利用できる。
 なお,本社VPNサーバと各営業所のVPNサーバとの間を接続する通信で用いられている暗号化機能は,aとは異なり,ネットワーク層で暗号化するcを用いている。

〔リモートアクセスの認証処理〕
 Webサーバにリモートアクセス認証で必要なソフトウェアをインストールして,あらかじめ社員ごとに払い出されたリモートアクセス用IDなどを登録しておく。また,①リモートPCにはリモートアクセスに必要な2種類の証明書をダウンロードする
 テレワークの社員がリモートアクセスするときの認証処理は,次の二段階で行われる。
 第一段階の認証処理は,本社VPNサーバにリモートPCのWebブラウザからVPN接続をする際の認証である。まず,社員はWebサーバのリモートログイン専用のページにアクセスして,リモートアクセス用のIDを入力することによってVPN接続に必要で一定時間だけ有効なdを入手する。このリモートログイン専用のページにアクセスする際には,リモートPC上の証明書が利用される。次にWebブラウザから本社VPNサーバにアクセスして,リモートアクセス用のIDとdを入力することによってリモートPC上の証明書と合わせてVPN接続の認証が行われる。
 第二段階の認証処理は,通常社内で内部PCにログインする際に利用するIDとパスワードを用いてeで行われる。

〔テレワークで利用するWeb会議サービス〕
 テレワークで利用するWeb会議サービスは,インターネット上でSaaSとして提供されているV社のWeb会議サービスを採用することになった。このWeb会議サービスは,内部PCのWebブラウザとSaaS上のWeb会議サービスとを接続して利用する。Web会議サービスでは,同時に複数のPCが参加することができ,ビデオ映像と音声が参加しているPC間で共有される。利用者はマイクとカメラの利用の要否をそれぞれ選択することができる。

〔テレワーク移行中に発生したシステムトラブルの原因と対策〕
 テレワークへの移行を進めていたある日,リモートPCから内部PCにリモート接続するPC数が増えたことで,リモートPCでは画面応答やファイル操作などの反応が遅くなったり,Web会議サービスでは画面の映像や音声が中断したりする事象が頻発した。
 社員から業務に支障を来すと申告を受けたYさんは,直ちに原因を調査した。
 Yさんが原因を調査した結果,次のことが分かった。
  • 社内ネットワークを流れる通信量を複数箇所で測定したところ,本社のインターネット接続回線の帯域使用率が非常に高い。
  • 本社のインターネット接続回線を流れる通信量を通信の種類ごとに調べたところ,Web会議サービスの通信量が特に多い。このWeb会議サービスの②通信経路に関する要因のほかに,映像通信が集中して通信量が増大することが要因となったのではないかと考え,利用者1人当たりの10分間の平均転送データ量を実測した。その結果は,映像と音声を用いた通信方式の場合で120Mバイトであった。これを通信帯域に換算するとfMビット/秒となる。
 社員200名のうち60%の社員が同時にこのWeb会議サービスの通信方式を利用する場合,使用する通信帯域はgMビット/秒となり,この通信だけで本社のインターネット接続回線の契約帯域を超えてしまう。
 Yさんは,本社のインターネット接続回線を流れる通信量を抑える方策として,営業所1と営業所2に設置された③UTMを利用してインターネットの特定サイトへアクセスする設定と営業所PCのWebブラウザに例外設定とを追加した
 Yさんは,今回の原因調査の結果と対策案をX部長に報告しトラブル対策を実施した。その後本社のインターネット接続回線の帯域増強工事が完了し,UTMと営業所PCのWebブラウザの設定を元に戻し,テレワーク環境への移行が完了した。

設問1

本文中のacに入れる適切な字句を解答群の中から選び,記号で答えよ。
a,b,c に関する解答群
  • FTP
  • HTTPS
  • IPSec
  • kerberos
  • LDAP
  • TLS

解答例・解答の要点

a:
b:
c:

解説

テレワークの実現に当たっては、VPN方式やリモートデスクトップ方式に代表されるように、オフィスネットワークに接続し、業務に必要となる全ての通信をオフィスネットワーク経由でやりとりする方法が広く利用されています。この方法では、テレワーク端末からインターネット(クラウドサービス等)に対する通信も含めて、全ての通信がオフィスネットワークを経由します。そのため、オフィスネットワーク内に設置されたセキュリティ機器を介することとなり、セキュリティ統制が容易となります。

一方で、感染症対応等により従業員がオフィスに出勤することが制限されるような状況では、テレワークの利用に頼るほかなく、多数の従業員が同時にテレワークを実施することとなります。この場合、大量の通信がテレワークを実現するためのシステムに集中することから、これに対応するためにシステムの拡張・増設や通信回線の帯域増加等が必要になり、多くの費用が掛かることが一般的です。

ここまでテレワークセキュリティガイドライン第5版(令和3年5月)からの引用です。
https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/

本問で題材となっているテレワーク方式は、テレワークセキュリティガイドラインにおいて、リモートデスクトップ方式(テレワーク端末からオフィスに設置された端末(PC等)のデスクトップ環境に接続を行い、そのデスクトップ環境を遠隔操作し業務を行う方法)として分類されています。リモートデスクトップ方式は、①オフィス内にいるときと同等の業務が可能、②オフィス内と同等のセキュリティレベルを確保できる、③テレワーク端末上へのデータ保存を制限できるなどのメリットがある一方、通信集中時の影響を受けやすいというデメリットが挙げられています。本問は、テレワーク勤務者全員がオフィスネットワークに常時接続して通信を行うことになると、通信回線の帯域が不足するなどの問題が発生する、というリモートデスクトップ方式の特徴を題材としています。


abについて〕
〔W社が採用したリモートアクセス方式〕に「WebブラウザからVPNサーバを経由して」と記載されていることから、Webブラウザの通信を暗号化するプロトコルとして、HTTPSとTLSが当てはまります。HTTPSは、TLSが確立したセキュアな接続の上でHTTP通信を行う仕組みなので、「TLSによって暗号化されたHTTPS通信」という文脈が適切となります。

a=カ:TLS
 b=イ:HTTPS

cについて〕
VPNを実現するための暗号化機能であり、ネットワーク層で暗号化するという説明からIPSecであると判断できます。IPsecは、IP(Internet Protocol)を拡張してセキュリティを高め、改ざんの検知、通信データの暗号化、送信元の認証などの機能をOSI基本参照モデルのネットワーク層(TCP/IPモデルではインターネット層)で提供するプロトコルです。

VPN構築に用いられるプロトコルにはいくつかありますが、TLS(トランスポート層でカプセル化&暗号化)、IPSec(ネットワーク層でカプセル化&暗号化)、L2TP/IPSec(データリンク層でカプセル化、ネットワーク層で暗号化)を覚えておきましょう。

c=ウ:IPSec

その他の選択肢は以下のとおりです。
FTP(File Transfer Protocol)
TCP/IPネットワーク上でファイルの転送を行うための通信プロトコル
Kerberos
チケットの交換を通じて安全なシングルサインオンを提供するネットワーク認証方式。Kerberosにはクライアントとサーバとの間の通信を暗号化する機能があるが、これはアプリケーション層レベルでの暗号化である
LDAP(Lightweight Directory Access Protocol)
ネットワーク上の資源情報を一括で管理し、要求に応じて提供するディレクトリサーバにアクセスするための通信プロトコル

設問2

〔リモートアクセスの認証処理〕について答えよ。
  • 本文中の下線①について,どのサーバの認証機能を利用するために必要な証明書か。図1中のサーバ名を用いて全て答えよ。
  • 本文中のdに入れる適切な字句を片仮名10字で答えよ。
  • 本文中のeに入れる適切な字句を,図1中のサーバ名を用いて8字以内で答えよ。

解答例・解答の要点

  • Webサーバ,本社VPNサーバ
  • d:ワンタイムパスワード (10文字)
  • e:認証サーバ (5文字)

解説

  • 〔リモートアクセスの認証処理〕には以下の記述があります。
    • リモートログイン専用のページにアクセスする際には,リモートPC上の証明書が利用される
    • Webブラウザから本社VPNサーバにアクセスして,リモートアクセス用のIDとdを入力することによってリモートPC上の証明書と合わせてVPN接続の認証が行われる
    この記述より、リモートログイン専用ページが設けられる「Webサーバ」、およびVPN接続の認証が行われる「本社VPNサーバ」が証明書を利用してリモートPCを認証することがわかります。

    リモートアクセスではID・パスワードの認証情報が漏えいすることにより、外部の第三者に悪用されてしまうリスクがあるため、クライアント証明書を併用した端末認証でセキュリティを高めることが多いです。リモートPCに導入する2つの証明書とは、クライアント証明書とルート証明書です。SSL/TLSを用いたVPN通信では、一般的にサーバ証明書として自己署名証明書を使うので、クライアント側には自己署名に使ったCAの証明書をインストールするか、明示的にその証明書を信頼するような設定をする必要があります。これをしないとリモートアクセス時のサーバ認証で信頼できない証明書として接続エラーとなってしまいます。

    ∴Webサーバ,本社VPNサーバ

  • dについて〕
    VPN接続の認証処理の際に、リモートアクセス用のIDとともに利用者が入力する情報であり、一定時間だけ有効という特徴を備えるものです。VPN接続の認証処理によく使われているのはパスワードで、一定時間だけ有効なパスワードはワンタイムパスワードと呼ばれています。片仮名10字という設問の条件を加味すると、空欄dには「ワンタイムパスワード」が当てはまることがわかります。

    一定時間だけ有効という意味合いでは、クライアントの識別に利用されるCookieや、アクセスした利用者のセッションを一意に識別するセッションIDなども想像できますが、これらは一般的に考えると利用者が情報を入力するものではありません。

    d=ワンタイムパスワード

  • eについて〕
    今回のリモートアクセスの構成ではリモートPCから内部PCを遠隔操作しているのみとなっているので、普段と変わらない認証(PCを起動した際のパスワード入力)を行います。

    〔W社の各サーバの機能〕に「認証サーバでは,社員のID,パスワードなどを管理して,PCやファイル共有サーバへのログイン認証を行っている」と記載されていますので、内部PCのログイン認証を行うのは「認証サーバ」が適切です。

    e=認証サーバ

設問3

〔テレワーク移行中に発生したシステムトラブルの原因と対策〕について答えよ。
  • 本文中の下線②について,要因となるのはどのようなことか。適切な記述を解答群の中から選び,記号で答えよ。
  • 本文中のfgに入れる適切な数値を答えよ。
  • 文中の下線③の設定によって,UTMに設定されたアクセスを許可する,FW以外の接続先を図1中の用語を用いて全て答えよ。
解答群
  • Web会議サービスの全ての通信が営業所1内のUTMを通る。
  • Web会議サービスの全ての通信が本社のインターネット接続回線を通る。
  • 社員の60%がWeb会議サービスを利用する。
  • 本社VPNサーバの認証処理を利用しない。
  • 本社のファイル共有サーバと本社の内部PCとの通信は本社の内部ネットワーク内を通る。

解答例・解答の要点


  • f:1.6
    g:192
  • Web会議サービス,本社VPNサーバ

解説

  • 〔テレワークで利用するWeb会議サービス〕には「Web会議サービスは,内部PCのWebブラウザとSaaS上のWeb会議サービスとを接続して利用する」とあります。問題文前半の〔W社の各サーバの機能〕に記述されている「本社,各営業所及び社員のテレワーク環境のPCのWebブラウザからインターネット上のWebサイトへの接続は,本社のプロキシサーバを経由して行われる」という説明より、どこからWeb会議サービスを利用するにしても、必ず本社のプロキシサーバ経由でのアクセスとなることがわかります。このため、Web会議サービスを利用するすべての通信が本社のインターネット回線を介して行われることになります。

    Web会議サービスは、動画や音声など通信量がとても多く、さらに外部からリモートアクセスやVPN接続をしている場合には、アクセス元への転送もプラスされ2倍以上の通信量となりますから、本社のインターネット回線(または本社のVPNサーバ)が過負荷状態になるのも無理はありません。
    • 誤り。営業所1内のUTMを通るのは、Web会議サービスにアクセスする通信のうち営業所1のPCの分のみです。
    • 正しい。
    • 誤り。多くの社員がWeb会議サービスを利用するのも原因のひとつですが、下線②が指す通信経路に関する要因ではないので誤りです。
    • 誤り。VPNサーバでは認証処理を行っているため誤りです。また通信経路に関する要因ではありません。
    • 誤り。本社の内部PCとファイル共有サーバ間の通信は本社内部LANのトラフィックなので、本社インターネット接続回線のパンクとは無関係です。
    ∴イ:Web会議サービスの全ての通信が本社のインターネット接続回線を通る。

  • fについて〕
    「10分間に120Mバイト」を1秒当たりのビット数に変換します。10分は600秒なので、1秒当たりのデータ量は「120Mバイト÷600=0.2Mバイト」、1バイト=8ビットなので「0.2Mバイト×8=1.6Mビット」です。

    f=1.6

    gについて〕
    200名のうち60%は120名です。120名がそれぞれ1.6Mビット/秒の通信を行ったとすると、使用する帯域は「120×1.6Mビット=192Mビット」です。本社が契約しているインターネット接続回線の帯域(100Mbps、なおかつ帯域非保証型)を大きく上回ってしまうことがわかります。

    g=192

  • テレワークの増加による通信回線の混雑を緩和するため、オフィスネットワークに接続する方式であっても、インターネットへのアクセスに関しては、オフィスネットワークを介さず、テレワーク端末からインターネットに直接接続させる「ローカルブレイクアウト」という方式があります(※インターネットブレイクアウトとも呼ばれます)。

    本問で通信量が問題となっているのはWeb会議サービスなので、「特定サイト」というのがWeb会議サービスを指していることは容易にわかります。したがって、Web会議サービスへのアクセスに限り、VPN通信をせずに、本社プロキシサーバに繋がない例外設定が必要となります。下線③の設定内容ですが具体的には以下の内容となります。
    • Web会議サービスに対する通信は、VPN通信をしないようにWebブラウザに例外設定をする(VPN逆スプリットトンネリング)
    • Web会議サービスに対する通信は、プロキシ設定でUTMを宛先アドレスとする
    • UTMにWeb会議サービスに対する通信を許可する
    この設定変更により、UTMからのアクセス先として、従来の①本社VPNサーバ向けの通信に加え、②Web会議サービス向けの通信が生じることとなります。したがって、UTMでアクセスを許可する接続先は「Web会議サービス」と「本社VPNサーバ」が適切です。

    UTM(Unified Threat Management)は、総合脅威管理の名のとおり、ファイアウォール、マルウェア対策、攻撃検知、利用者認証、プロキシ機能、コンテンツフィルタリング、ログ収集などのセキュリティ機能を搭載した機器です。プロキシ機能が有する機能を搭載していることが多いので、プロキシサーバの代替として使うことができます。本問で「UTMを利用してインターネットの特定サイトへアクセスする」ということは、営業所のPCは本社プロキシサーバの代わりに、UTMを使うということです。

    また、ローカルブレイクアウトの対象が営業所PCに限定されているのは、リモートPCにも許してしまうとクラウド上からリモートPCへの情報の持ち出しが可能になってしまうというセキュリティ上の懸念があるためだと推察されます。

    ∴Web会議サービス,本社VPNサーバ
模範解答

Pagetop