令和5年秋期試験午後問題 問5

問5 ネットワーク

⇱問題PDF
メールサーバの構築に関する次の記述を読んで,設問に答えよ。
 L社は,複数の衣料品ブランドを手がけるアパレル会社である。L社では,顧客層を拡大するために,新しい衣料品ブランド(以下,新ブランドという)を立ち上げることにした。新ブランドの立ち上げに向けて,L社の社員20名で構成するプロジェクトチームを結成し,都内のオフィスビルにプロジェクトルームを新設した。新ブランドの知名度向上のために新ブランド用Webサイトと新ブランド用メールアドレスを利使用した電子メール(以下,メールという)による広報を計画しており,プロジェクトチームのMさんが,Webサーバ機能とメールサーバ機能を有する広報サーバを構築することになった。

〔プロジェクトルームのネットワーク設計〕
 Mさんは,新ブランドのプロジェクトチームのメンバーが各メンバーに配布されたPC(以下,広報PCという)を利用して,新ブランド用Webサイトの更新や,新ブランド用メールアドレスによるメールの送受信を行う設計を考えた。Mさんが考えたネットワーク構成(抜粋)を図1に示す。
pm05_1.png
 Mさんが考えたネットワーク構成は次のとおりである。
  • プロジェクトルーム内に広報サーバを設置し,FW1に接続する。
  • インターネット接続は,ISP N社のサービスを利用し,N社とFW1と光回線で接続する。
  • 広報サーバのメールサーバ機能は,SMTP(Simple Mail Transfer Protocol)によるメール送信機能とPOP(Post Office Protocol)によるメール受信機能の二つの機能を実装する。
  • FW1にNAPT(Network Address Port Translation)の設定と,インターネット上の機器から広報サーバにメールとWebの通信だけができるように,インターネットからFW1宛てに送信されたIPパケットのうち,aポート番号が25,80,又はbのIPパケットだけを,広報サーバのIPアドレスに転送する設定を行う。
 N社のインターネット接続サービスでは,N社のDNSサーバを利用した名前解決の機能と,N社のメールサーバを中継サーバとしてN社のネットワーク外へメールを転送する機能が提供されている。

〔新ブランドのドメイン名取得とDNSの設計〕
 新ブランドのドメイン名として"example.jp"を取得し,広報サーバをWebサーバとメールサーバとして利用できるように,N社のDNSサーバにホスト名やIPアドレスなどのゾーン情報を設定することを考えた。DNSサーバに設定するゾーン情報(抜粋)を図2に示す。
pm05_2.png
〔メール送受信のテスト〕
 Mさんの設計が承認され,ネットワークの工事及び広報サーバの設定が完了した。新ブランドのメール受信のテストのために,Mさんは,L社本社のPCを用いてL社の自分のメールアドレスから新ブランドの自分のメールアドレスである syainM@example.jp へメールを送信し,エラーなくメールが送信できることを確認した。次に,新ブランドプロジェクトルームの広報PCのメールソフトウェアに受信メールサーバとして serv.example.jp,POP3のポート番号として110番ポートを設定し,メール受信のテストを行った。しかし,メールソフトウェアのメール受信ボタンを押してもエラーが発生し,メールを受信できなかった。広報サーバのログを確認したところ,広報PCからのアクセスはログに記録されていなかった。
 Mさんは,設定の誤りに気づき,①メールの受信エラーの問題を修正してメールが受信できることを確認した後に,広報PCからメール送信のテストを行った。テストの結果,新ブランドの管理者のメールアドレスである kanriD@example.jp から syainM@example.jp 宛てのメールは届いたが,kanriD@example.jp からインターネット上の他ドメインのメールアドレス宛てのメールは届かなかった。広報サーバのログを確認したところ,N社のネットワークを経由した宛先ドメインのメールサーバへのTCPコネクションの確立に失敗したことを示すメッセージが記録されていた。
 調査の結果,他ドメインのメールアドレス宛てのメールが届かなかった事象は,N社の②OP25B(Outbound Port 25 Blocking)と呼ばれる対策によるものであることが分かった。OP25Bは,N社からインターネット宛てに送信される宛先ポート番号が25のIPパケットのうち,N社のメールサーバ以外から送信されたIPパケットを遮断する対策である。このセキュリティ対策に対応するため,③広報サーバに必要な設定を行い,インターネット上の他ドメインのメールアドレス宛てのメールも届くことを確認した。

〔メールサーバのセキュリティ対策〕
 広報サーバが大量のメールを送信する踏み台サーバとして不正利用されないために,メールの送信を許可する接続元のネットワークアドレスとしてe/24を広報サーバに設定する対策を行った。また,プロジェクトチームのメンバーのメールアドレスとパスワードを利用して,広報PCからメール送信時に広報サーバでSMTP認証を行う設定を追加した。
 その後,Mさんは広報サーバとネットワークの構築を完了させ,L社は新ブランドの広報を開始した。

設問1

本文中のabに入れる適切な字句を解答群の中から選び,記号で答えよ。
a,b に関する解答群
  • 21
  • 22
  • 23
  • 443
  • 宛先
  • 送信元

解答例・解答の要点

a:
b:

解説

aについて〕
FWが転送すべき通信は、インターネット上の機器から広報サーバに対するメールとWeb通信です。これらの通信は、広報サーバで稼働する特定のアプリケーション(メールやWeb)にデータを届けたいのですから、宛先となるアプリケーションを示す番号が宛先ポート番号として指定されていることになります。したがって、空欄aには「オ:宛先」が当てはまります。

a=オ:宛先

bについて〕
メールとWeb通信を許可するとあります。外部から広報サーバへのメール送信を許可するにはSMTP:ポート番号25/TCP、Web通信を許可するにはHTTP:ポート番号80/TCP及びHTTPS:ポート番号443/TCPの通信をそれぞれ許可する必要があります。したがって、空欄bには「エ:443」が当てはまります。なお、21はFTP、22はSSH、23はtelnetなので不適切です。

b=エ:443

設問2

図2中のcdに入れる適切な字句を,図1及び図2中の字句を用いて答えよ。

解答例・解答の要点

c:serv 又は www
d:w.x.y.z

解説

cについて〕
MXレコードは、そのドメイン宛てのメールを処理するサーバ(メールサーバ)を指定するリソースレコードです。空欄にはホスト名が入ります。

DNSレコードでホスト名を指定する場合、最終的にはAレコードでIPアドレスに解決される必要がありますから、空欄cにはAレコードが定義されている「serv」が当てはまります。また、CNAMEレコードに「www」⇒「serv」の置換えが定義されているため「www」でも問題なく動作します。

c=serv 又は www

dについて〕
Aレコードには、特定のホスト名・ドメイン名に対応するIPアドレスを定義するリソースレコードです。そのホスト名・ドメイン名にアクセスするときは、このIPアドレスを使ってくださいと外部に向けて知らせるものです。図1を見ると、L社新ブランドプロジェクトルームにはグローバルIPアドレスとして w.x.y.z が割り当てられていて、外部からはこのIPアドレスに対してアクセスすることになりますから、serv.example.jpのIPアドレスとして「w.x.y.z」を設定することになります。

d=w.x.y.z

設問3

〔メール送受信のテスト〕について答えよ。
  • 本文中の下線①について,エラーの問題を修正するために変更したメールソフトウェアの設定項目を15字以内で答えよ。また,変更後の設定内容を図1,図2中の字句を用いて答えよ。
  • 本文中の下線②について,OP25Bによって軽減できるサイバーセキュリティ上の脅威は何か,最も適切なものを解答群の中から選び,記号で答えよ。
  • 本文中の下線③について,広報サーバに行う設定を,図1中の機器名を用いて35字以内で答えよ。
解答群
  • 広報PCが第三者のWebサービスへのDDoS攻撃の踏み台にされる。
  • 広報PCに外部からアクセス可能なバックドアを仕掛けられる。
  • 広報サーバが受信したメールを不正に参照される。
  • スパムメールの送信に広報サーバが利用される。

解答例・解答の要点

  • 設定項目:受信メールサーバ
    設定内容:192.168.1.10

  • N社のメールサーバを中継サーバとしてメールを送信する設定 (28文字)

解説

  • 広報サーバのログに記録されていないので、広報サーバには届いていません。よって、それまでの経路に問題があることがわかります。原因は設定の誤りだったというヒントと、設問文の「メールソフトウェアの設定項目」という2点より、Mさんがメールソフトウェアに設定した以下2つに障害の原因があることがわかります。
    • 受信メールサーバ serv.example.jp
    • POP3のポート番号 110番
    POP3のポート番号は110で間違いありませんから、問題があるのは受信メールサーバということになります。受信メールサーバを serv.example.jp とした場合、広報PCがメール受信のために serv.example.jp の名前解決を行うと、図2のゾーン情報よりIPアドレスとして w.x.y.z が返されます。これは、FW1のWAN側のIPアドレスです。広報PCが w.x.y.z と通信をしようとすると、以下のようなネットワーク動作となります。
    • 広報PCは、デフォルトゲートウェイであるFW1に中継を依頼する
    • FW1は、NAPTにより送信元IPアドレスを w.x.y.z に変換する
    • 宛先と送信元のIPアドレスが同一のパケットとなる
    • 宛先不明としてFW1で破棄される
    パケットはFW1で破棄されるため、広報サーバに届くことはありません。

    広報PCと広報サーバはどちらもプライベートネットワーク内に属しているため、広報PCから広報サーバに通信するには、ホスト名ではなくプライベートIPアドレスを設定すれば足ります。したがって、受信メールサーバには広報サーバのプライベートIPアドレスである 192.168.1.10 を設定することになります。

    ∴設定項目=受信メールサーバ
     設定内容=192.168.1.10

  • OP25B(Outbound Port 25 Blocking)は、ISP管理下のネットワークからISP管理外のメールサーバに対して、直接メールを送信しようとするSMTPコネクション(ポート番号25)を遮断する仕組みです。多くの迷惑メール業者は独自のSMTPサーバを用意し、外部のメールサーバと直接通信してスパムメールを送っているので、外向きのSMTP通信をブロックすることにより、これらの方法で送信される迷惑メールを阻止する効果があります。現在ではほぼすべてのISPにおいて実施されています。

    〔メールサーバのセキュリティ対策〕を除外して考えた場合、広報サーバは外部からアクセスできる場所に配置されているので、外部からのメール送信要求を受け付けてしまい、第三者中継サーバとしてスパムメールに悪用されてしまうリスクがあります。このような被害にあった場合、新ブランド用ドメインやプロジェクトルームのIPアドレスがブラックリストに掲載されて、通常の業務に支障を来たすおそれもあります。ISPにおいてOP25Bが実施されていれば、仮に第三者中継を受け付ける設定になっていたとしても、ISP内で迷惑メールの送信を未然に防ぐことができます。また、広報PCがマルウェアに感染し、マルウェアが大量の迷惑メールを送信しようとしたときも同様に阻止できます。これがL社にとってのセキュリティ効果と言えます。

    ∴エ:スパムメールの送信に広報サーバが利用される。
    • 広報PCには外部からアクセスできませんから、マルウェアに感染しない限り踏み台になるおそれはありません。
    • 広報PCには外部からアクセスできませんから、マルウェアに感染しない限りバックドアを仕掛けられるおそれはありません。
    • 広報サーバへのPOP3通信はFW1で遮断されるので、メールを不正受信されるおそれはありません。
    • 正しい。OP25Bはスパムメールの送信をブロックする仕組みです。
  • 本文中に「N社からインターネット宛てに送信される宛先ポート番号が25のIPパケットのうち,N社のメールサーバ以外から送信されたIPパケットを遮断する対策」と説明されているように、OP25Bが実施されている場合、ISPが用意した指定のメールサーバ以外から、25番ポートを利用したメール送信ができなくなります。逆を返せば、N社のメールサーバを経由すれば他ドメインのメールサーバと通信ができるわけです。

    本文中に「N社のインターネット接続サービスでは,…N社のメールサーバを中継サーバとしてN社のネットワーク外へメールを転送する機能が提供されている」とありますから、この機能を利用し、広報サーバに「N社のメールサーバを中継サーバとしてメールを転送する」設定をすれば良いことになります。

    ∴N社のメールサーバを中継サーバとしてメールを送信する設定

設問4

本文中のeに入れる適切なネットワークアドレスを答えよ。

解答例・解答の要点

e:192.168.0.0

解説

eについて〕
〔プロジェクトルームのネットワーク設計〕に「広報PCを利用して,新ブランド用Webサイトの更新や,新ブランド用メールアドレスによるメールの送受信を行う」あります。したがって、少なくとも広報PCは接続元として許可する必要があります。図1を見ると、L社新ブランドプロジェクトルームには、他にメール送信を行う端末が存在しませんから、広報サーバでは広報PCからのメール送信要求を受け付ければ足ります。

以上より、メール送信を許可する接続元ネットワークとして広報PCの属するセグメントを設定することになります。FW1の広報PC側のIPアドレスを見ると 192.168.0.1/24 となっていて、このセグメントは 192.168.0.0/24 のネットワーク(192.168.0.0~192.168.0.255)であることがわかるので、空欄eにはネットワークアドレスである「192.168.0.0」が当てはまります。

e=192.168.0.0
模範解答

Pagetop