平成22年秋期試験午後問題 問9
問9 情報セキュリティ
⇱問題PDF
検疫ネットワークに関する次の記述を読んで,設問1~3に答えよ。
検疫ネットワークに関する次の記述を読んで,設問1~3に答えよ。
広告
W社は,食品の製造と販売を営む中堅の会社である。W社には営業部と製造部があり,それぞれの部の各社員にノートPC(以下,PCという)が1台ずつ配布されている。社員は,配布されたPCをW社社内ネットワーク(以下,社内ネットワークという)に接続して利用している。社内ネットワークでは,情報セキュリティ強化のための施策の一環として,IEEE 802.1x方式による認証VLANを用いた検疫ネットワークシステム(以下,検疫システムという)を導入している。
検疫システムは,セキュリティ対策の検査を行い,セキュリティ対策が不十分な端末を社内ネットワークに接続させず,隔離したり,必要なセキュリティ対策を施したりする機能をもつ。
社内ネットワークの構成は,図のとおりである。各種サーバ,レイヤ2スイッチ(L2SW),レイヤ3スイッチ(L3SW),ファイアウォール(FW),ルータなどから構成される。設定されたVLAN一覧を表1に,サーバ一覧を表2に,ディレクトリサーバ上に格納されているユーザ情報(一部)を表3にそれぞれ示す。〔認証と検疫の処理の流れ〕
検疫システムは,セキュリティ対策の検査を行い,セキュリティ対策が不十分な端末を社内ネットワークに接続させず,隔離したり,必要なセキュリティ対策を施したりする機能をもつ。
社内ネットワークの構成は,図のとおりである。各種サーバ,レイヤ2スイッチ(L2SW),レイヤ3スイッチ(L3SW),ファイアウォール(FW),ルータなどから構成される。設定されたVLAN一覧を表1に,サーバ一覧を表2に,ディレクトリサーバ上に格納されているユーザ情報(一部)を表3にそれぞれ示す。〔認証と検疫の処理の流れ〕
- 所属VLANが設定されていない営業部エリアや製造部エリアのPCは,それぞれのエリア内のL2SWの空きポートに接続されると,L2SWやL3SWを介して,aサーバと限定的に通信し,端末認証を受ける。
PCから送られたユーザ名などの認証情報をaサーバが受信すると,aサーバは,ユーザ情報をbサーバに問い合わせ,ユーザ認証を行う。
ユーザ認証がcしたPCは,引き続き,VLANが設定されないままとなる。 - ユーザ認証がdしたPCの所属VLANを,検疫エリアに配置されたサーバと同じくeに設定して,そのPCを隔離する。ここでは,所属VLANは,L2SWのポートごとに一つだけ設定される。
- PCでは,検疫サーバによって,セキュリティパッチが適用されているかどうか,ウイルスワクチンのパターンファイルが最新かどうか,スクリーンセーバなどの各種設定状況が適切かどうかを調べる検査が行われる。この検査が不合格となったPCは,検査が合格となるまで,このeに隔離され,検疫サーバによって,必要なセキュリティパッチの適用や各種設定の変更が強制的に行われる。さらにウイルス対策サーバによって,ウイルスチェックが行われる。
- 検査が合格となったPCは,bサーバに登録された所属VLAN IDに従い,検疫システムによって,所属するVLANが割り当てられる。
例えば,ユーザ名がCCCの場合,fサーバと同じVLANであるgが割り当てられる。 - 所属するVLANを割り当てられたPCが,hサーバにIPアドレスを要求すると,hサーバは,VLAN IDに応じたIPアドレスを動的に割り当てる。
IPアドレスが割り当てられたPCは,社内ネットワークを利用することができる。
広告
設問1
本文中のa~d,f,hに入れる適切な字句を解答群の中から選び,記号で答えよ。
a,b,c,d,f,h に関する解答群
- DHCP
- RADIUS
- インターネット
- ウイルス対策
- 営業部
- 検疫
- 失敗
- 成功
- 製造部
- ディレクトリ
- ルータ
解答例・解答の要点
a:イ
b:コ
c:キ
d:ク
f:ケ
h:ア
b:コ
c:キ
d:ク
f:ケ
h:ア
解説
まずこの問題で使われている3つの技術「VLAN」「検疫ネットワーク」「IEEE 802.1X」についてまとめておきます。- VLAN(Virtual LAN)
- レイヤ2スイッチ(L2SW)に接続された端末を物理的な構成に関係なくグループ化する機能、またはその機能で形成されたネットワークのこと。グループ分けに使用される情報によりポートベースVLAN、タグVLANなどの種類がある。
- 検疫ネットワーク
- 社外から持ち込まれたノートPCなどのようにウィルス感染の可能性がある端末が社内のネットワークに接続しようとするときに、一旦、社内ネットワークとは別の検査専用ネットワークに接続させ、そこで安全を確認してから社内のネットワークへの接続を許可する仕組み。
- IEEE 802.1X
- LAN内のユーザ認証の方式を定めたIEEE規格で、正当な端末以外がLANに参加することを防ぐ技術。当初は有線LAN向けとして策定されていたが、その後にEAP(Extensible Authentication Protocol)として実装され、現在では無線LAN環境における標準の認証機構として利用されている。
またIEEE 802.1X規格に準拠したスイッチは各ポートに割り振られるVLANを動的に変更する機能を持ち、検疫ネットワークを実現するための中核技術となっている。
IEEE 802.1X方式の認証システムでは、以下の3つの構成要素が登場します。
- サプリカント(supplicant)
- 認証を受けるクライアント。本文中ではL2SWの空きポートに接続する営業部エリア及び製造部エリアのノートPCがこれに該当する。
- 認証サーバ(authentication server)
- 実際に認証を行うサーバ。本文中の空欄aがこれに該当する。
- オーセンティケータ(authenticator)
- サプリカントと認証サーバ間の認証プロセスを相互に中継する装置。本文中の「L2SWやL3SWを介して,aサーバと限定的に通信し,端末認証を受ける」という記述からL2SW、L3SWがこれに該当することが分かる。
∴a=イ:RADIUS
- RADIUS(Remote Authentication Dial In User Service)
- 認証および利用ログの記録を単一のサーバに一元化することを目的としたプロトコル
本文中の記述からユーザ情報はディレクトリサーバに格納されていることがわかります。したがって、RADIUSサーバによるユーザ情報の問合せ先はディレクトリサーバが適切です。
また本文中の「bサーバに登録された所属VLAN IDに従い…」という記述からもbにはディレクトリが入るとわかります。
∴b=コ:ディレクトリ
〔c,dについて〕
前後の文脈と選択肢の字句から「成功」又は「失敗」のいずれかが入ると予想できます。
cのPCに対する「引き続き,VLANが設定されないままとなる」という措置は、どこのVLANにも所属していない認証前と同じ状態のままにされることを意味しています。通常、認証に成功すれば次のステップに進むはずですが、以前と変わらない状態にされるということでcには失敗が入ると判断できます。
検疫ネットワークでは、1.端末認証→2.検疫エリアで安全チェック→3.社内LANに接続 というステップを経て社内ネットワークへの接続が許可されます。dのPCには「検疫エリアのサーバと同じVLAN IDが設定されて隔離される」という措置がとられますが、これは認証が成功し次のステップに進んだことを示しています。したがってdには成功が入ります。
∴c=キ:失敗
d=ク:成功
〔fについて〕
表3「ユーザ情報」からユーザCCCの所属VLANは VLAN30 とわかります。さらに表2「サーバ一覧」の情報からCCCと同じ VLAN30 に所属するサーバは製造部サーバだと分かります。∴f=ケ:製造部
〔hについて〕
PCがIPアドレスの割り当てを要求し、VLAN IDに応じたIPアドレスを動的に割り当てるという記述およびW社内ネットワークの構成からDHCPサーバとわかります。
∴h=ア:DHCP
広告
設問2
本文中のe,gに入れる適切なVLAN IDを答えよ。
解答例・解答の要点
e:VLAN0
g:VLAN30
g:VLAN30
解説
〔eについて〕本文中の記述からeには検疫エリアに配置されたサーバのVLAN IDが入ると読み取れます。表1、表2より検疫エリア、およびそこに配置されている検疫サーバとウイルス対策サーバのVLAN IDは VLAN0 であるとわかるため、eは VLAN0 になります。
∴e=VLAN0
〔gについて〕
設問1にてfは製造部サーバであるとわかっているため、gは製造部サーバと同じ VLAN30 になります。
∴g=VLAN30
広告
設問3
〔認証と検疫の処理の流れ〕の(3)において,検査を隔離して行う理由を25字以内で述べよ。
解答例・解答の要点
ウイルスなどの二次感染の範囲を限定できるから (22文字)
解説
VLANが設定されたネットワークでは、異なるVLAN IDをもつ端末は別のセグメントに所属するとみなされます。これによりブロードキャストの到達範囲は送信元が所属するVLAN内に留まり、異なるVLAN同士の通信はルータを介して行うことになります。PCが一旦隔離される検疫エリアには VLAN0 が設定されていて、業務データを扱う他の社内ネットワークとは論理的に分離されています。このため、もし接続を試みたPCがウイルスに感染していたとしても、ウイルスが社内ネットワークを通じて他の端末に感染を広げることは困難です。要するにセキュリティ検査前の端末を検疫エリアに隔離するのは、ウイルス感染の被害範囲を検疫エリア内に限定できるからです。
∴ウイルスなどの二次感染の範囲を限定できるから
広告
広告