テクニカルエンジニア（ネットワーク）過去出題問題

平成10年　午後1　問5

最終更新日　2006/02/27
webmaster@tomnetwork.net

Tomのネットワーク勉強ノート

　過去問（午後）

テクニカルエンジニア（ネットワーク）過去問（午後）

テクニカルエンジニア（ネットワーク）過去問平成10年　午後1　問5

問5

社内ネットワークのセキュリティに関する次の記述を読んで、設問1～3に答えよ。

Q社は、従業員数が1,500名の中堅の自動車部品メーカである。Q社では、営業活動の効率
向上とスピードアップを図るために、図1の社内ネットワークシステムを構築し、その上で
営業支捜システムを稼働させた。

図1 Q社ネットワーク構成

営業支援システムは、TCP/IPプロトコルを利用した顧客管理、営業活動報告、商談進
捗管理、交通費精算、及びSMTPとPOPを使用した電子メールなどのサブシステムから構成
されている。システム導入によって、社内での情報活用意識は更に高まり、システム機能の
拡大要望が強くなった。そこで、情報システム部のR君は、要望を基に拡大案をまとめ、SI
業者にシステムの提案を求めた。SI業者からの提案は次の内容であった。

[SI業者からの操業内容]

(1)リモートアクセス環境

本社及び各営業所にアクセスサーバを導入し、出先から公衆電話網経由で社内LAN
に接続してシステムを利用できるようにする。アクセスサーバは、ユーザID(以下、
IDという)とパスワードを用いたユーザ認証機能をもったものを選定した。アクセス
サーバでのユーザ認証は図2の手順で行われるので、アクセスサーバにはユーザ認証
のための個人情報を登録する必要がある。登録可能な個人情報の量は最大100人分であ
るが、本社及び各営業所に所属する営業員の数は100人に満たないことと、各営業担当
エリアを越えた活動はほとんど行われないことから、本社及び各営業所のアクセスサ
ーバにはそれぞれ所属する社員だけの情報を登録する。アクセスサーバに登録する個
人情報は、IDと個人認証鍵（P')である。個人認証鍵は、利用者がパスワード（P)
を決定すると、あるアルゴリズムで生成されるものであり、PとP'は異なる。また、
利用者のパソコンがアクセスサーバに送倍する認証のための暗号化データは、Pを暗
号化鍵としてチャレンジコード(R)を暗号化したものであり P'を使って認証する。

図2 アクセスサーバによる認証手順

(2)インターネット接続環境

本社LANを図3の構成に拡張して、インターネット接続を行う。インターネットか
ら社内LANへの不正侵入を防ぐために、ファイアウォールを設置する。また、インタ
ーネットからのウイルス侵入を防ぐために、ウイルス防御サーバも設置する。ファイ
アウォールは、内部セグメントを隠ペいし外部からめ攻撃を防ぐとともに、社外に公
開するサーバを設置するための非武装セグメントをもち、外部からの攻撃に対して公
開サーバを守ることができる。今回、取引先への在庫情報公開のためのWWWサーバ
を非武装セグメントに新設する。また、内部セグメントには在庫情報をもつデータ
ベースサーバを新設する。WWWサーバからは、データベース連携処理を行うミドル
ウェアを利用して、リアルタイムに在庫情報の参照、検索が行えるようにする。メー
ルサーバは非武装セグメントに移動させる。また、今回新設するファイアウォール及
びウイルス防御サーバは、次の機能をもつ。

① 内部セグメントから非武装セグメント、非武装セグメントからインターネット、
　　及び内部セグメントからインターネットへの通信は、プロキシ(proxy)で中継す
　　る。プロキシとは、ユーザが利用するクライアントのアプリケーションの代わりに、
　　外部ネットワークの目的サーバとの間で通信を行う機能のことで、プロキシの働き
　　で応答パケットを利用した不正侵入に対しての安全性が確保される。また、プロキ
　　シによって、内部セグメントのアドレスはファイアウォールのアドレスに変換される。

② インターネットから非武装セグメント、非武装セグメントから内部セグメント、
　　及びインターネットから内部セグメントヘの通信は、パケットフィルタリング機能
　　で制御する。

③ ウイルス防御サーバは、LAN上を流れるHTTP、FTP、SMTPのプロトコルで通
　　信するデータに対してウイルスチェックを行い、ウイルスの侵入を防止する機能を
　　もつ。

図3 インターネット接続のための構成

今回の構成では、図3に示すd、e、fのアドレスをもつサーバに対して、インターネ
ットから直接接続できるように、公開アドレスを設定する。また、ファイアウォール
経由でインターネット接続を行うので、社内LANのアドレスは変更しない。ファイア
ウォールヘは、内部セグメントから非武装セグメントの各サーバヘの通信、非武装セ
グメントの各サーバからインターネット経由の外部サーバへの通信、非武装セグメン
トのWWWサーバとデータベースサーバ間の通信、内部セグメントからインターネッ
ト経由の外部WWWサーバヘの通信、及びインターネットから非武装セグメントの各
サーバヘの通信を可能にする設定を行う。

R君がSI業者からの提案内容を同僚の技術者と詳細に検討した結果、幾つかの問題
点を含んでいることが分かった。例えば、WWWサーバで利用予定のデータベース連
携のためのミドルウェアは、データベースサーバとの通信のたびに、あて先ポート番
号を変化させてしまう。そのため、図3の構成では通信ができないことが分かった。
また、インターネットからのウイルス侵入防止対策も十分でないことが判明した。
R君は、SI業者に問題点を指摘し、改善案の検討を依頼することにした。

設問1

インターネットのセキュリティに関する次の記述中の【ア】～【オ】に入れる適
切な字句を答えよ。

インターネットを利用して情報交換を行う場合、様々なセキュリティ対策が必要にな
る。例えば、インターネット上を流れるデータは第三者によって【ア】される危険性
があるので、情報の滴えいを防ぐためにはデータの暗号化が必要になる。また、他人に
【イ】て悪事を働く第三者の侵入を防ぐためには、ユーザ認証が必要となる。
インターネットを利用して商取引を行うEC(エレクトロニックコマース)では、契
約内容の正当性の証明が必要になる。ECにおけるトラブル防止のための認証方法に、
【ウ】がある。【ウ】は、①第三者によって偽造できない。②受取人によっても偽
造できない。③【ウ】を行った本人が後でそれを【エ】できない、などの機能をも
つ。そのほか、コンピュータウイルス対策も重要な課題である。ウイルス対策としては、
防疫、感染の検出、【オ】などがある。

設問2

リモートアクセスに関する次の問いに答えよ。

(1)図2に示したアクセスサーバでの暗号方式は、何と呼ばれるか答えよ。

(2)この方式の場合、アクセスサーバではどのような処理を行ってユーザ認証を行うか。
25字以内で述べよ。

(3)SI業者の提案に従いアクセスサーバを導入した場合、想定できるユーザ管理上の問
題点を、35字以内で述べよ。

設問3

インターネット接続に関する次の問いに答えよ。

(1)今回のファイアウォールへの設定で、表中の【カ】～【コ】に入れる適切なア
ドレスを、図3のa～mから答えよ。

表ファイアウォールの設定内容(一部)

ポート番号サービス名/ プロトコル名)	インターネット→非武装セグメント			非武装セグメントー内部セグメント
ポート番号サービス名/ プロトコル名)	状態	送信元アドレス	あて先アドレス	状態	送信元アドレス	あて先アドレス
80(HTTP)	許可	any	【カ】	禁止	-	-
25(SMTP)	許可	any	【キ】	禁止	-	-
53(DOMAIN)	許可	any	【ク】	禁止	-	-
1521(データベース連携）	禁止	-	-	許可	【ケ】	【コ】
その他	禁止	-	-	禁止	-	-

(2)利用予定のミドルウェアは、通信データのあて先ポート番号を変化させてしまうが、
あて先ポート番号が変化した場合、ファイアウォール設定上どのような問題が発生す
るか。30字以内で述べよ。

(3)(2)の問題を解決するためには、WWWサーバを内部セグメントに設置する方法があ
る。この場合、内部セグメントのアドレス変更が必要になるが、どのような変更が必
要になるか。20字以内で述べよ。