問5
社内ネットワークのセキュリティに関する次の記述を読んで,設問1〜3に答えよ。
Q社は,従業員数が1,500名の中堅の自動車部品メーカである。Q社では,営業活動の効率向上とスピードアップを図るために,図1の社内ネットワークシステムを構築し,その上で営業支援システムを稼働させた。
営業支援システムは,TCP/IPプロトコルを利用した顧客管理,営業活動報告,商談進捗管理,交通費精算,及びSMTPとPOPを使用した電子メールなどのサブシステムから構成されている。システム導入によって,社内での情報活用意識は更に高まり,システム機能の拡大要望が強くなった。そこで,情報システム部のR君は,要望を基に拡大案をまとめ,SI業者にシステムの提案を求めた。SI業者からの捉案は次の内容であった。
〔SI業者からの提案内容〕
(1)リモートアクセス環境
本社及び各営業所にアクセスサーバを導入し,出先から公衆電話網経由で社内LANに接続してシステムを利用できるようにする。アクセスサーバは,ユーザID(以下,IDという)とパスワードを用いたユーザ認証機能をもったものを選定した。アクセスサーバでのユーザ認証は図2の手順で行われるので,アクセスサーバにはユーザ認証のための個人情報を登録する必要がある。登録可能な個人情報の量は最大100人分であるが,本社及び各営業所に所属する営業員の数は100人に満たないことと,各営業担当エリアを越えた活動はほとんど行われないことから,本社及び各営業所のアクセスサーバにはそれぞれに所属する社員だけの情報を登録する。アクセスサーバに登録する個人情報は,IDと個人認証鍵(P')である。個人認証鍵は,利用者がパスワード(P)を決定すると,あるアルゴリズムで生成されるものであり,PとP'とは異なる。また,利用者のパソコンがアクセスサーバに送信する認証のための暗号化データは,Pを暗号化鍵としてチャレンジコード(R)を暗号化したものであり,P'を使って認証する。
(2)インターネット接続環境
本社LANを図3の構成に拡張して,インターネット接続を行う。インターネットから社内LANへの不正侵入を防ぐために,ファイアウォールを設置する。また,インターネットからのウイルス侵入を防ぐために,ウイルス防御サーバも設置する。ファイアウォールは,内部セグメントを隠ぺいし外部からの攻撃を防ぐとともに,社外に公開するサーバを設置するための非武装セグメントをもち,外部からの攻撃に対して公開サーバを守ることができる。今回,取引先への在庫情報公開のためのWWWサーバを,非武装セグメントに新設する。また,内部セグメントには在庫情報をもつデータベースサーバを新設する。WWWサーバからは,データベース連携処理を行うミドルウェアを利用して,リアルタイムに在庫情報の参照,検索が行えるようにする。メールサーバは非武装セグメントに移動させる。また,今回新設するファイアウォール及びウイルス防御サーバは,次の機能をもつ。
内部セグメントから非武装セグメント,非武装セグメントからインターネット,及び内部セグメントからインターネットヘの通信は,プロキシ(proxy)で中継する。プロキシとは,ユーザが利用するクライアントのアプリケーションの代わりに,外部ネットワークの目的サーバとの間で通信を行う機能のことで,プロキシの働きで応答パケットを利用した不正侵入に対しての安全性が確保される。また,プロキシによって,内部セグメントのアドレスはファイアウォールのアドレスに変換される。 インターネットから非武装セグメント,非武装セグメントから内部セグメント,及びインターネットから内部セグメントヘの通信は,パケットフィルタリング機能で制御する。 ウイルス防御サーバは,LAN上を流れるHTTP,FTP,SMTPのプロトコルで通信するデータに対してウイルスチェックを行い,ウイルスの侵入を防止する機能をもつ。
今回の構成では,図3に示すd,e,fのアドレスをもつサーバに対して,インターネットから直接接続できるように,公開アドレスを設定する。また,ファイアウォール経由でインターネット接続を行うので,社内LANのアドレスは変更しない。ファイアウォールヘは,内部セグメントから非武装セグメントの各サーバヘの通信,非武装セグメントの各サーバからインターネット経由の外部サーバヘの通信,非武装セグメントのWWWサーバとデータベースサーバ間の通信,内部セグメントからインターネット経由の外部WWWサーバヘの通信,及びインターネットから非武装セグメントの各サーバヘの通信を可能にする設定を行う。
R君がSI業者からの提案内容を同僚の技術者と詳細に検討した結果,幾つかの問題点を含んでいることが分かった。例えば,WWWサーバで利用予定のデータベース連携のためのミドルウェアは,データベースサーバとの通信のたびに,あて先ポート番号を変化させてしまう。そのため,図3の構成では通信ができないことが分かった。また,インターネットからのウイルス侵入防止対策も十分でないことが判明した。
R君は,SI業者に問題点を指摘し,改善案の検討を依頼することにした。
設問1
インターネットのセキュリティに関する次の記述中の【 ア 】〜【 オ 】に入れる適切な字句を答えよ。
インターネットを利用して情報交換を行う場合,様々なセキュリティ対策が必要になる。例えば,インターネット上を流れるデータは第三者によって【 ア 】される危険性があるので,情報の漏えいを防ぐためにはデータの暗号化が必要になる。また,他人に【 イ 】て悪事を働く第三者の侵入を防ぐためには,ユーザ認証が必要となる。
インターネットを利用して商取引を行うEC(エレクトロニックコマース)では,契約内容の正当性の証明が必要になる。ECにおけるトラブル防止のための認証方法に,【 ウ 】がある。【 ウ 】は,
第三者によって偽造できない,
受取人によっても偽造できない,【 ウ 】を行った本人が後でそれを【 エ 】できない,などの機能をもつ。そのほか,コンピュータウイルス対策も重要な課題である。ウイルス対策としては,防疫,感染の検出,【 オ 】などがある。
設問2
リモートアクセスに関する次の問いに答えよ。
| (1) | 図2に示したアクセスサーバでの暗号方式は,何と呼ばれるか答えよ。 |
| (2) | この方式の場合,アクセスサーバではどのような処理を行ってユーザ認証を行うか。25字以内で述べよ。 |
| (3) | SI業者の提案に従いアクセスサーバを導入した場合,想定できるユーザ管理上の問題点を,35字以内で述べよ。 |
設問3
インターネット接続に関する次の問いに答えよ。
| (1) | 今回のファイアウォールヘの設定で,表中の【 カ 】〜【 コ 】に入れる適切なアドレスを,図3の
a〜m から答えよ。
 |
| (2) | 利用予定のミドルウェアは,通信データのあて先ポート番号を変化させてしまうが,あて先ポート番号が変化した場合,ファイアウォール設定上どのような問題が発生するか。30字以内で述べよ。 |
| (3) | (2)の問題を解決するためには,WWWサーバを内部セグメントに設置する方法がある。この場合,内部セグメントのアドレス変更が必要になるが,どのような変更が必要になるか。20字以内で述べよ。 |
| (4) | 図3の場所にウイルス防御サーバを設置した場合,インターネットからのウイルス侵入が防げない通信がある。どのような通信のデータにウイルスチェックが行われないか。20字以内で述べよ。 |
