ネットワークスペシャリスト令和7年春期午後Ⅰ問3
⇱問題PDF出題趣旨
リモートワークの拡大やセキュリティ強化の観点から,セキュリティ関連のクラウドサービスの利用が増えている。クラウドサービスを利用する場合,導入前にコストや機能仕様だけでなく,カスタマイズ性・メンテナンス性,既存データの移行性やサービスの可用性などをサービス提供事業者が開示した情報から業務への影響を机上検討し,トライアル環境で検証することが重要である。
本問では,プロキシサーバから“セキュアWebゲートウェイサービス”への移行を題材として,移行計画に必要なネットワーク構成やサービス仕様に関する理解,企業ネットワークの設計・運用に関する能力を問う。
本問では,プロキシサーバから“セキュアWebゲートウェイサービス”への移行を題材として,移行計画に必要なネットワーク構成やサービス仕様に関する理解,企業ネットワークの設計・運用に関する能力を問う。
設問1
- 複数機器のログを時系列で確認するため
- ①②: ・登録したFQDNやIPアドレス宛ての通信をブロックするため
・Webサイトへのアクセス履歴の確認のため
・利用者認証を行うため
- ①②: ・登録したFQDNやIPアドレス宛ての通信をブロックするため
- L3SWのDHCPリースログ
- a: syslogサーバ
- b: 認証サーバ
- c: 10080
- d: 443
- NTPは、R4午後1問3をやっていると、時刻同期をなぜしないといけないのかを学ぶことができます。SCの平成30年秋午後2問2のタイムゾーン統一の目的なども思い出した方もいらっしゃったかもしれません。
- ・登録した FQDN や IP アドレス宛ての通信をブロックするため
→これは、P16からまんま引き出せば1問分はまかなえます。
・Web サイトへのアクセス履歴の確認のため
→「syslogサーバに保存しているログは、業務サーバやWebサイトへのアクセス履歴の確認、障害発生時の原因分析に利用されている」と「業務サーバやK社SaaSへはプロキシサーバを経由せずに直接接続する設定としている」より、業務サーバでなくWebサイトへのアクセス履歴をとるためにプロキシサーバがログをsyslogサーバに出していると見てこの模範解答が書けます。
・利用者認証を行うため
「認証サーバは、プロキシサーバ及び業務サーバの接続時にRADIUSプロトコルを用いて利用者認証を行っている」とあり、プロキシサーバの接続時に利用者認証をするからという理屈でこの模範解答が書けます。 - L3SWでIPアドレスが割り当てられて通信することになり、プロキシサーバのログとしてはDHCPサーバで割り当てられたIPアドレスが記載されるので、そこから端末を逆引きするためにはL3SWのDHCPリースログ(下線③抜き出し)が必要になります。
- UDP/514とUDP/1812のプロトコルをふつうに覚えてるひとはまずいませんので、これも推理力の問題です。
UDP/514については、DMZの機器はNTPサーバかプロキシサーバしかなく、さきほどの「syslogサーバに保存しているログは、業務サーバやWebサイトへのアクセス履歴の確認、障害発生時の原因分析に利用されている」より、プロキシサーバからsyslogサーバへのログの通信が必要になるので、これをACLで許可してやらないとならないわけです。
UDP/1812については、あとのプロキシサーバのやることでTCP(すくなくともTCP/80、TCP/443)でないことと言えば、「認証サーバは、プロキシサーバ及び業務サーバの接続時にRADIUSプロトコルを用いて利用者認証を行っている」なので、認証サーバになります。 - 内部セグメントからプロキシサーバへの宛先ポート番号は、「プロキシサーバはTCP/10080で接続を待ち受ける設定にしている」より10080です。内部セグメントからK社SaaSへは、「(以下、K社SaaSという)にHTTPSでアクセスして業務を行っている。」より、ウェルノウンポートの443です。
設問2
- SWGサービスのルート証明書
- C&Cサーバ
- インストールする証明書は、平成29年午後2問2設問5(2)とかをやっていると、なにをインストールしないといけないんだったか?みたいなところは出てきたんじゃないでしょうか。CAの修飾を入れるか入れないかはその年によってばらついている感じもしますが。
- マルウェアの遠隔通信先は基本的にIPAだと総称的にC&Cサーバ(C2サーバ)としているフシがあるように思います。最初、場合によるんじゃないのか?と受験時思いましたが、抽象・総称的な回答でよいか、ということで模範解答はそうなっているようです。これは、知識問題のくくりですね。
設問3
- ①②: ・2 ・7
- (B),(A),(H),(I),(E),(I),(K)
- 送信元: 内部セグメント 又は ソフトE
- 宛先: SWGサービス
- プロトコル/宛先ポート番号: TCP/443
- アクセスを許可する送信元を SWG-GIP に変更する。
- ・FW(L3SW,回線,経由機器)の負荷軽減
・RTT の短縮(レスポンス改善)
・可用性の向上(セキュリティ向上)
※直接通信・経路短縮による利点を記述していること
- ・FW(L3SW,回線,経由機器)の負荷軽減
- フォワードプロキシサーバの機能停止で不要になることを考えましょう。まあ、とはいっても、フォワードプロキシサーバがなんなのかとかが直接書いてあるわけでもありませんので、ソフトEを導入して、「社内で利用するPC及びテレワーク勤務のために社外に持ち出したPC(以下、R-PCという)からのアクセスが、SWGサービスを経由することになります。」より、まずプロキシサーバからインターネットへ出ていく必要がなくなることがわかりますので、項番2が1つ。
内部セグメントからプロキシサーバとやりとりしないでもいいわけなので、項番7が2つ目です。
じゃあ、syslogサーバはどうするんだよ、となるのですが、リバプロとしては生きているので、そのリバプロのアクセスログは継続してとらないとならないので、残存するのです。 - (B)(R-PC)から(K)(業務用サーバ)へのアクセスを考えましょう。ソフトEを導入して、「社内で利用するPC及びテレワーク勤務のために社外に持ち出したPC(以下、R-PCという)からのアクセスが、SWGサービスを経由することになります。」より、(B)(R-PC)→(A)(ソフトE)→(H)(SWGサービス)
で、うっかりK社SaaSも?とか思いそうですが、K社SaaSはあくまで電子メールやストレージのサービスなので、寄り道する理由がありません。よって(B)(R-PC)→(A)(ソフトE)→(H)(SWGサービス)→(I)FW
「また、R-PCから業務用サーバに接続できるように、現在利用している社内のプロキシサーバは、設定を変更してフォワードプロキシサーバからリバースプロキシサーバに利用方法を変更します」とあるので、リバプロを経由するというわけで、よって(B)(R-PC)→(A)(ソフトE)→(H)(SWGサービス)→(I)FW→(E)リバースプロキシサーバ→(I)FW→(K)(業務用サーバ)
※「→」は「、」に置き換えて回答する - 下線⑧「PCがSWGサービスへ接続するための許可ルール」について、PCのセグメントである内部セグメントを送信元にして(もしくはローカルプロキシのソフトE)、宛先はSWGサービスで、「ソフトEはPCのローカルプロキシとして機能し、SWGサービスのTCP/443ポート宛てに中継する。」とあるので、プロトコル/宛先ポート番号はTCP/443。
- まず、K社SaaSの設定がなんであったか?P15より、「K社SaaSでは、アクセスを許可する送信元をJ社のグローバルIPアドレスだけに制限し(・・・)」とある。J社のグローバルIPアドレスは、要するにFWのWANのアドレスなわけだが、SWGサービス経由になるので、SWG-GIPに切り替えてやる必要がある。追加というよりは、余計な許可はしないという意味で、変更です。
なお、令和元年午後1問2の考え方も似ているので、これを参考に書くこともできたと思われます。 - 令和6年午後1問3の「本社のプロキシサーバの負荷軽減」のように書けばOKだったと思われます。
よく、事実に一番近いのは「経路が短くなること」だろ、左門の教えはどうなってんだ教えは、という話になるのですが、「利点を「通信の経路に着目して」」10字でかけというので、「経路が短くなること」が「通信の経路に着目」した結果なので、そこから導出される利点が何かを書けよ、という話なので、別に今回の作問者が変わったから左門の理屈が通らないじゃないか、とはならないのです。