平成１５年度春期　ソフトウェア開発技術者　午後１

平成１５年度　春期　ソフトウェア開発技術者　午後１
問１　問２　問３　問４　問５　問６　解答例（若林研二氏）　

注：等倍フォントでご覧ください。　

問３
　インターネットのセキュリティに関する次の記述を読んで，設問１，２に答えよ。
　Ｈ社のネットワーク管理部門では，自社のシステムをインターネットに接続するこ
とにし，ネットワークセキュリティ方針(以下，セキュリティ方針という)を決定し
た。セキュリティ方針に沿って，ファイアウォール製品を購入し，システム構成を図
に示すものとした。

　Ｈ社が購入したファイアウォールの仕様を次に示す。このファイアウォールは，図
中のGate-way上で動作させるものとする。

〔ファイアウォールの仕様〕
(1)アプリケーションゲートウェイ型のファイアウォールである。
　　アプリケーションゲートウェイ型のファイアウォールでは，内部ネットワーク上
　にあるクライアントパソコンがインターネット上にあるサーバとの通信を行う際に，
　ファイアウォール用のコンピュータが要求を中継し，クライアントに代わって目的
　のサーバとの通信を行う。また，TCP/IPプロトコルの上位層のサービス(http，
　https，ftp，smtp，dnsなどのプロトコルや，利用者が作成したアプリケーションサ
　ービス)に対してセキュリティ方針を定義することができる。

(2)ネットワーク上の資源を管理できる。
　　ネットワーク上の資源(オブジェクト)とは，ネットワーク上に存在するコンピ
　ュータ(ホスト名，そのＩＰアドレス)やＬＡＮ(ＬＡＮ名，そのＩＰサブネットアド
　レス)などの情報のことで，次に述べるセキュリティルールベースを定義する際に
　使用される。そこでは，ネットワーク上のすべてのコンピュータや，すべてのサー
　ビスを指す場合，特別な名称として“すべて”を使用できる。

(3)セキュリティルールベースの定義ができる。
　　送信側オブジェクト，受信側オブジェクト及びサービスの種類の組合せに対し，
　ファイアウォールの動作(許可又は禁止)を定義したものの集合をルールベース
　(表１)と呼ぶ。セキュリティ方針をファイアウォールによって実現するには，ル
　ールベースを定義する必要がある。このファイアウォールは，到着したＩＰデータグ
　ラムに対し，定義されたルールベースを上から順に適用し，最初に適合したルール
　によってそのＩＰデータグラムに対する動作を決定する。

表１　ルールベースの例
項番 送信側
オブジェクト名 受信側
オブジェクト名 サービス名称 動作

１ すべて Gate-way すべて 禁止

**`表１　ルールベースの例`**
`項番`	`送信側` `オブジェクト名`	`受信側` `オブジェクト名`	`サービス名称`	`動作`
`１`	`すべて`	`Gate-way`	`すべて`	`禁止`

　表１では、すべての利用者からGate-wayへのアクセスを，すべてのサービスで
禁止する(許可しない)ことを示している。

(4)アドレス変換機能を備えている。
　　アドレス変換機能は，ＩＰデータグラム内のＩＰアドレスを別のＩＰアドレスに付け
　替える機能である。この機能は，内部ネットワーク上から外部(インターネット
　側)へ向けて開始された通信に対して適用され，内部のネットワークで使用してい
　るＩＰアドレスを隠ぺいして，ゲートウェイ自身のグローバルＩＰアドレスだけを外
　部に見せるようにする。

設問１
　Ｈ社のネットワーク管理部門は，セキュリティ方針を次のように決定し，ファ
イアウォールヘ実装するためのルールベースを定義した。

表２“Ｈ社ネットワーク管理部門のルールベース”中の【　　ａ　　】～
【　　ｈ　　】に入れる適切な字句を答えよ。

(セキュリティ方針)
①インターネット側から来る電子メールは，必ず外部のメールサーバ(GW-
　mail)で受け，このメールサーバが内部のメールサーバ(Mail)へ中継する。
②利用者(インターネット側を含む)からのファイアウォール(Gate-way)
　への直接アクセスをすべて禁止する。
③内部のパソコンからインターネットヘのアクセスは，http，https，ftpの各
　サービスだけ許可し，必ずプロキシサーバ(Proxy)を経由する。
④内部のパソコンから外部のdnsサーバ(GW-dns)への直接アクセスは許可
　しない。必ず内部のdnsサーバ(Dns)を経由する。また，外部のdnsサー
　バ(GW-dns)から内部のdnsサーバ(Dns)への通信は許可しない。
⑤内部のパソコンから外部のメールサーバ(GW-mail)への直接アクセスは
　許可しない。必ず，内部のメールサーバ(Mail)を使わせる。また，内部の
　メールサーバ(Mail)から直接インターネットヘのメールを発信させない。
　必ず，外部のメールサーバ(GW-mail)が中継して，インターネット側へ発
　信する。
⑥内部のパソコンからのドメイン名参照は，内部のdnsサーバ(Dns)を使
　用する。
⑦Webサーバ(WWW)へは，すべての利用者(インターネット側を含む)
　からのアクセス(http，https)を認める。また，内部のパソコンからの直接
　アクセスも認める。
⑧“原則拒否の方針”を採用し，セキュリティ方針として言及していない通
　信は，すべて禁止する。

表２　Ｈ社ネットワーク管理部門のルールベース
項番 送信側
オブジェクト名 受信側
オブジェクト名 サービス名称 動作

１ すべて Gate-way すべて 禁止

２ 【　ａ　】 WWW 【　ｂ　】，【　ｃ　】 許可

３ 【　ｄ　】 すべて http，https，ftp 許可

４ Dns 【　ｅ　】 【　ｆ　】 許可

５ GW-dns Dns dns 禁止

６ GW-mail 【　ｇ　】 【　ｈ　】 許可

７ Mail GW-mail smtp 許可

８ すべて すべて すべて 禁止

**`表２　Ｈ社ネットワーク管理部門のルールベース`**
`項番`	`送信側` `オブジェクト名`	`受信側` `オブジェクト名`	`サービス名称`	`動作`
`１`	`すべて`	`Gate-way`	`すべて`	`禁止`
`２`	`【　ａ　】`	`WWW`	`【　ｂ　】，【　ｃ　】`	`許可`
`３`	`【　ｄ　】`	`すべて`	`http，https，ftp`	`許可`
`４`	`Dns`	`【　ｅ　】`	`【　ｆ　】`	`許可`
`５`	`GW-dns`	`Dns`	`dns`	`禁止`
`６`	`GW-mail`	`【　ｇ　】`	`【　ｈ　】`	`許可`
`７`	`Mail`	`GW-mail`	`smtp`	`許可`
`８`	`すべて`	`すべて`	`すべて`	`禁止`

設問２
　Ｈ社の営業部門から，営業社員にモバイルパソコンを持たせ，顧客先などから
インターネットを経由して内部のパソコン(サーバ)ヘアクセスし，ftpプロトコ
ルを用いて情報をモバイルパソコンにダウンロードしたいという要望が挙がった。
しかし，ネットワーク管理部門で検討した結果，この要望は実現できないことが
分かった。
　ネットワーク管理部門の検討結果の【　　ｉ　　】～【　　ｍ　　】に入れる適切な
字句を答えよ。

　(セキュリティ方針)を見ると，インターネット側からの【　　ｉ　　】による
通信に言及していない。したがって，【　　ｊ　　】によって，この通信は
【　　ｋ　　】されている。
ファイアウォールの【　　ｌ　　】によって内部ネットワークの【　　ｍ　　】が隠
ぺいされているので，モバイルパソコンと内部ネットワーク上のパソコン(サー
バ)間で，【　　ｉ　　】によるコネクションが確立できない。

------------------------------------------------------------------------