平成30年春期試験午後問題 問5
問5 ネットワーク
⇱問題PDF
Webシステムの構成変更に関する次の記述を読んで,設問1~3に答えよ。
Webシステムの構成変更に関する次の記述を読んで,設問1~3に答えよ。
広告
A社は,従業員が300名の情報機器卸売会社であり,250社の販売会社と販売代理店契約を結んでいる。A社では,DMZに設置したWebサーバで代理店向けのWebサイトを運営している。Webサイトでは,商品情報の閲覧,見積書作成,問合せ対応などを行う代理店支援システムを稼働させている。インターネット接続には,ISPのB社のサービスを利用している。A社の現在のネットワーク構成を図1に示す。
Webサイトは開設から3年が経過し,アクセス数が初年度の5倍に増加した。Webサイトの利用拡大に伴い,システム停止が商品販売に大きな影響を及ぼすようになった。そこで,A社では,Webシステムの処理能力,可用性及びセキュリティを高める目的で,Webシステムの構成変更を行うことを決めた。
情報システム部のM課長は,まず,Webシステムの処理能力と可用性の向上策の立案を,部下のN主任に指示した。
〔Webシステムの処理能力と可用性の向上策の検討〕
N主任は,Webサーバ及びDNSサーバそれぞれの処理能力と可用性を向上させる冗長化構成を検討した。
Webサーバの冗長化には,Webサーバを2台構成にし,DNSの機能であるDNSaによって負荷分散する方式があるが,可用性向上策としては十分でない。そこで,負荷分散装置を利用してWebサーバを冗長化することにした。負荷分散装置自体は,アクティブ/スタンバイ方式で冗長化する。
A社のドメイン(example.co.jp)の情報(以下,ゾーン情報という)を管理するDNSサーバの冗長化は,B社が提供するDNSサービスを利用して実現する。A社のDNSサーバ(ns.example.co.jp)をマスタDNSサーバにし,B社のDNSサーバ(以下,B社DNSサーバという)(ns-asha.example1.ne.jp)をスレーブDNSサーバにする場合,A社又はB社が実施する作業を次に示す。
〔Webシステム変更後の構成〕
N主任が考えた,Webシステム変更後の構成を図2に,そのときの,マスタDNSサーバのゾーン情報の内容を図3に示す。
N主任が検討結果をM課長に報告したときの,2人の会話の一部を次に示す。
〔クラウド型WAFサービスの利用〕
N主任の調査の結果,B社が提供するクラウド型WAFサービスが利用可能なことが分かった。その際の利用者のWebサイトへのアクセス手順は,次のとおりになる。
情報システム部のM課長は,まず,Webシステムの処理能力と可用性の向上策の立案を,部下のN主任に指示した。
〔Webシステムの処理能力と可用性の向上策の検討〕
N主任は,Webサーバ及びDNSサーバそれぞれの処理能力と可用性を向上させる冗長化構成を検討した。
Webサーバの冗長化には,Webサーバを2台構成にし,DNSの機能であるDNSaによって負荷分散する方式があるが,可用性向上策としては十分でない。そこで,負荷分散装置を利用してWebサーバを冗長化することにした。負荷分散装置自体は,アクティブ/スタンバイ方式で冗長化する。
A社のドメイン(example.co.jp)の情報(以下,ゾーン情報という)を管理するDNSサーバの冗長化は,B社が提供するDNSサービスを利用して実現する。A社のDNSサーバ(ns.example.co.jp)をマスタDNSサーバにし,B社のDNSサーバ(以下,B社DNSサーバという)(ns-asha.example1.ne.jp)をスレーブDNSサーバにする場合,A社又はB社が実施する作業を次に示す。
- A社のドメインを管理するDNSサーバとして,B社DNSサーバのFQDNとbを,JPドメイン名の登録管理事業者に登録申請する。
- A社のDNSサーバのゾーン情報にNSレコードを追加して,スレーブDNSサーバのFQDNを設定する。
- ゾーン情報の設定・変更作業を一度で済ませるために,A社のDNSサーバのゾーン情報を,cDNSサーバへ転送させるのに必要な情報を設定する。
〔Webシステム変更後の構成〕
N主任が考えた,Webシステム変更後の構成を図2に,そのときの,マスタDNSサーバのゾーン情報の内容を図3に示す。
- N主任:
- Webシステムを図2の構成に変更します。Webシステム変更後のマスタDNSサーバのゾーン情報の内容は,図3のとおりになります。図3の設定によって,Webサイトの利用者は,使用中のURLを変更せずに済みます。
- M課長:
- 分かった。この構成なら処理能力と可用性を高めることができるだろう。ところで,Webシステムのセキュリティを高めるために,WAF(Web Application Firewall)の導入も必要ではないかと考えているが,当社の体制ではWAFの運用は難しそうなので困っている。良い方法はないだろうか。
- N主任:
- クラウド型WAFサービスが利用できるか調べてみます。
〔クラウド型WAFサービスの利用〕
N主任の調査の結果,B社が提供するクラウド型WAFサービスが利用可能なことが分かった。その際の利用者のWebサイトへのアクセス手順は,次のとおりになる。
- A社のWebサイトの利用者は,始めにWAFサービスのFQDNである waf-asha.example1.ne.jp にアクセスする。
- WAFサービスで通信パケットが検査される。
- パケットに問題がないとき,そのパケットがA社のWebサイトに転送される。
- 利用者にWAFサービスの存在を意識させることなくWAFサービスを利用するために, ①図3中の4行目の後に,Webサイトのホスト名 w3 の別名を定義するレコードを追加する。さらに,WAFサービスが,検査後のパケットをA社のWebサイトに転送できるようにするために,②図3中の転送先を示す資源レコードを変更する。図3中に追加設定する資源レコードを図4に示す。
- ③WAFサービスを経由せず.直接Webサイトにアクセスされるのを防止するためのアクセス制御を,A社のFWに設定する。
- N主任:
- B社のWAFサービスを利用すれば,運用の問題は発生しません。図3の変更,図4の追加設定などによって,WAFサービスが利用できます。
- M課長:
- それは良いな。それでは,N主任の検討結果を基に,Webシステムの構成変更を行うことにしよう。
広告
設問1
本文中のa~cに入れる適切な字句を答えよ。
解答例・解答の要点
a:ラウンドロビン
b:IPアドレス
c:スレーブ
b:IPアドレス
c:スレーブ
解説
〔aについて〕DNSの機能を使用した負荷分散と言えば「DNSラウンドロビン」です。具体的には、以下のように同じホスト名に対して複数のAレコードを設定することで、アクセスを複数のコンピュータに(単純に順繰りに)振り分けます。
www IN A 200.x.y.1
www IN A 200.x.y.2
www IN A 200.x.y.3
DNSの機能では死活監視ができず、1つのWebサーバがダウンしてもアクセスを分配し続けてしまうため、可用性対策としては負荷分散装置に劣ります。www IN A 200.x.y.2
www IN A 200.x.y.3
∴a=ラウンドロビン
〔bについて〕
独自のネームサーバを使用する際にはレジストラ(ドメイン名取得業者)を通じて、ネームサーバのFQDNとIPアドレスの組みを登録しておく必要があります。これは一般的にホスト登録と呼ばれる作業です。これをせずにDNSレコードを設定してもエラーとなってしまい名前解決できません。
∴b=IPアドレス
〔cについて〕
変更後の構成では、A社DNSサーバがマスタ(主)、B社DNSサーバがスレーブ(従)です。ゾーン情報とは、名前解決をするために必要な情報(DNSレコードの集合)であり、マスタ側で更新されたゾーン情報をスレーブ側に定期的に転送し、同期しておく必要があります。したがって、A社のDNSサーバのゾーン情報を転送する相手は、B社のスレーブDNSサーバであると判断できます。
∴c=スレーブ
広告
設問2
図3中のd~fに入れる適切なIPアドレス又はFQDNを解答群の中から選び,記号で答えよ。
d,e,f に関する解答群
- 200.α.β.1
- 200.α.β.2
- 200.α.β.3
- 200.α.β.4
- example.co.jp
- ns-asha.example1.ne.jp
- ns.example.co.jp
- w3.example.co.jp
- waf-asha.example1.ne.jp
解答例・解答の要点
d:カ
e:ア
f:エ
e:ア
f:エ
解説
〔dについて〕NSレコードは、そのドメインのゾーン情報を保持するネームサーバのホスト名を指示するレコードです。NSレコードは1つ以上記述することができ、1番上に設定されたネームサーバーが優先DNSサーバ、2つ目以降のネームサーバーは、優先DNSサーバが不存在や障害などの場合にアクセスする代替DNSサーバとなります。
〔Webシステムの処理能力と可用性の向上策の検討〕では、A社のDNSサーバをマスタDNSサーバに、B社のDNSサーバをスレーブDNSサーバとすることで、DNSサーバの冗長化を図ると説明されています。図3を見ると、1つ目に設定されている"ns.example.co.jp"はマスタDNSサーバであるA社のDNSサーバなので、2つ目にはスレーブDNSサーバであるB社のDNSサーバを指定することになります。したがって、空欄dにはB社のDNSサーバのホスト名である「ns-asha.exapmle1.ne.jp」が当てはまります。
∴d=カ:ns-asha.exapmle1.ne.jp
〔eについて〕
Aレコードは、ドメイン名・ホスト名に対応するIPアドレスを指定するためのレコードです。図3は、マスタDNSサーバのゾーン情報を示しています。マスタDNSサーバの管轄ドメインは"example.co.jp"であり、ownerフィールドには"ns"が指定されているので、空欄eには"ns.exapmle.co.jp"のIPアドレスが入ることになります。ns.exapmle.co.jpはマスタDNSサーバですから、図2によりIPアドレスは「200.α.β.1」であるとわかります。
∴e=ア:200.α.β.1
〔fについて〕
まず本文中の「Webサイトのホスト名w3」という記述から、ownerフィールドの"w3"はWebサイトへアクセスする際のホスト名だとわかります。変更後の構成では、Webサーバが2台配置され負荷分散装置の機能によって冗長化することになっています。すなわち、外部からのアクセスはいったん負荷分散装置に送られ、そこから適切なWebサーバにアクセスを振り分けるという流れで処理されます。したがって、w3(Webサイト)へのアクセスは負荷分散装置のIPアドレスである「200.α.β.4」に送ることになります。
※負荷分散装置は2台配置されていますが、アクティブ/スタンバイ方式によって1つのIPアドレスを共有します。
∴f=エ:200.α.β.4
広告
設問3
〔クラウド型WAFサービスの利用〕について,(1)~(3)に答えよ。
解答例・解答の要点
- Webサイト利用時のURL (13文字)
- 行番号:4
フィールド名:owner
- WebサイトへのアクセスをWAFサービスだけから許可する (28文字)
解説
- CNAMEは、あるホスト名に対して別名(エイリアス)を指定するレコードです。図4のレコードを追加すると、"w3.example.co.jp"にアクセスしてきた利用者を、自動的にWAFサービスのFQDNである"waf-asha.example1.ne.jp"に転送できます。このようにWAFサービスを利用する場合でも、CNAMEの設定により、利用者はアクセスするWebサイトのURLを変更する必要がなくなります。
∴Webサイト利用時のURL - DNSの設定上、CNAMEを設定したホスト名は、他のいかなるレコード(AレコードやNSレコードなど)とも重複して設定してはならないというルールがあります。例えば以下のような設定は違反となります。www IN A 200.x.y.1マスタDNSサーバのゾーン情報に図4のCNAMEレコードが追加されると、同じ"w3"をownerフィールドとする行番号4のAレコードとの競合が生じます。これを解消するために、Webサイトのホスト名である"w3"を変更し、変更後のホスト名でAレコードのownerフィールドを書き換える必要があります。
www IN CNAME hogehoge.com
∴行番号:4
フィールド名:owner - WAFサービスを利用することでA社Webサイトへのアクセスは全てWAFサービスを経由することになります。しかし、("w3"から変更された)A社WebサイトのURLを指定したり、IPアドレス直打ちしたりすれば外部から直接Webサイト(負荷分散装置及びWebサーバ)へのアクセスができてしまいます。このためWAFサービスを経由しない接続を遮断するためのアクセス制御が必要となります。
正当なアクセスならば必ずWAFサービスを経由するので、宛先がWebサイトであるアクセスについては送信元がWAFサービスのIPアドレスまたはFQDNになっているものだけを許可するルールをFWに追加することになります。
∴WebサイトへのアクセスをWAFサービスだけから許可する
広告
広告