平成30年度の午後1問1は
SaaSを利用する場合に密接に関連するネットワークや
セキュリティの知識及びSDN(Software-Defined Networking)の
IPsec VPNへの応用であるSD-WANについての知識が問われていた。
【IPAリンク】 問題冊子 解答例 採点講評
以下、設問と解答で抑えておくべきところを抜粋する。
この作業を繰り返している
(又はこのブログテキストを音読し続けている)
と、問題文の状況が分からなくても
求められる解答のイメージが掴めてくる。
このイメージを掴んだ(ストックを増やした)上で、
問題文の状況と重ね合わせて解答するのが定石かと思う。
・「フォワード」プロキシ:社内PCからインターネット宛てにアクセス
する際に、社内PCの通信を受けて、社内PCの代わりにインターネット
へアクセスするプロキシ。アクセスログの記録や、外部サーバの
コンテンツをキャッシュすることで使用帯域を削減する利点がある。
・「リバース」プロキシ:インターネットのような外部から社内宛ての
通信を代わりに受けるプロキシ。外部サーバから公開サーバの
オリジナルコンテンツに直接アクセスさせないことで改ざん防止、
キャッシュによる応答速度の向上、複数サーバでの負荷分散できる
などの利点がある。
・”①プロキシサーバにおいて認証を行う。”について、
プロキシサーバで認証を行うことにより、
アクセスログに付加できる情報を答えよ:
「利用者ID」
・”②アクセス先のホスト名は記録されていたが、URLは記録されていなかった。”
について、
HTTPSでアクセスするためのHTTPプロトコルのメソッド名を答えよ:
「CONNECT」
また、このメソッドを用いる場合、マルウェアによる通信を遮断するための
プロキシサーバでの対策を述べよ:
「HTTPS以外のポートのCONNECTを拒否する」
・社内PCとアクセス先のWebサーバ間の通信をプロキシサーバが
再度暗号化すると、”証明書が信頼できない”とのメッセージが出る。
これは、暗号化に使用するプロキシサーバの証明書がCAで発行した
ものではないことによる。
この場合、「プロキシサーバのルート証明書(自己証明書)」を
すべての社内PCにインストールすることで解決できる。
・SDNでは”通信トラフィックを転送する機能”を「データプレーン」
”通信装置を集中制御する機能”を「コントロールプレーン」と呼ぶ。
・”③G社SaaSのIPアドレスが変更された場合でもその都度L3SWを
設定しなくても済むように、L3SWの静的経路情報を設定変更する。”
について、設定変更後の静的経路情報を答えよ:
「ネクストホップがSD-WANルータとなるデフォルトルート」
→経路情報にない宛先を処理するための特殊なルートのことを
デフォルトルートと呼ぶ。
・”F社は、RSS配信されたIPアドレスブロックを検知するツールを作成して、
自動的にツールから「オ」に指示を行い、全社のSD-WANルータの設定を
変更することにした。”について、適切な字句を図2中の機器名で答えよ:
「SD-WANコントローラ」
→本文中に”SD-WANルータの設定は、SD-WANコントローラによって
集中制御される。”とあるように、全社のSD-WANルータへ設定変更の
指示を行うのは「SD-WANコントローラ」となる。
・”社内PCから参照する④プロキシ自動設定ファイルを作成する”について、
このファイルを作成することによってプロキシから除外する通信を答えよ:
「G社SaaSへのHTTPS通信」
→”社内PCからG社SaaSへのWebアクセスはプロキシサーバを経由せず
各SD-WANルータを経由する”ので、このファイルを使用して、
G社SaaSへのHTTPS通信をプロキシから除外する。
・”G社SaaSへのアクセスログは、
⑤プロキシサーバからではなく、G社SaaSのAPIにアクセスして取得する”
について、G社SaaSのAPI経由で取得する理由を二つ挙げよ:
「社内PCからG社SaaSへのアクセスがプロキシサーバを経由しなくなるから」
「出張先のPCからG社SaaSへのアクセスが記録されるから」
↓ブログランキング、更新の励みになります。
SaaSを利用する場合に密接に関連するネットワークや
セキュリティの知識及びSDN(Software-Defined Networking)の
IPsec VPNへの応用であるSD-WANについての知識が問われていた。
【IPAリンク】 問題冊子 解答例 採点講評
以下、設問と解答で抑えておくべきところを抜粋する。
この作業を繰り返している
(又はこのブログテキストを音読し続けている)
と、問題文の状況が分からなくても
求められる解答のイメージが掴めてくる。
このイメージを掴んだ(ストックを増やした)上で、
問題文の状況と重ね合わせて解答するのが定石かと思う。
・「フォワード」プロキシ:社内PCからインターネット宛てにアクセス
する際に、社内PCの通信を受けて、社内PCの代わりにインターネット
へアクセスするプロキシ。アクセスログの記録や、外部サーバの
コンテンツをキャッシュすることで使用帯域を削減する利点がある。
・「リバース」プロキシ:インターネットのような外部から社内宛ての
通信を代わりに受けるプロキシ。外部サーバから公開サーバの
オリジナルコンテンツに直接アクセスさせないことで改ざん防止、
キャッシュによる応答速度の向上、複数サーバでの負荷分散できる
などの利点がある。
・”①プロキシサーバにおいて認証を行う。”について、
プロキシサーバで認証を行うことにより、
アクセスログに付加できる情報を答えよ:
「利用者ID」
・”②アクセス先のホスト名は記録されていたが、URLは記録されていなかった。”
について、
HTTPSでアクセスするためのHTTPプロトコルのメソッド名を答えよ:
「CONNECT」
また、このメソッドを用いる場合、マルウェアによる通信を遮断するための
プロキシサーバでの対策を述べよ:
「HTTPS以外のポートのCONNECTを拒否する」
・社内PCとアクセス先のWebサーバ間の通信をプロキシサーバが
再度暗号化すると、”証明書が信頼できない”とのメッセージが出る。
これは、暗号化に使用するプロキシサーバの証明書がCAで発行した
ものではないことによる。
この場合、「プロキシサーバのルート証明書(自己証明書)」を
すべての社内PCにインストールすることで解決できる。
・SDNでは”通信トラフィックを転送する機能”を「データプレーン」
”通信装置を集中制御する機能”を「コントロールプレーン」と呼ぶ。
・”③G社SaaSのIPアドレスが変更された場合でもその都度L3SWを
設定しなくても済むように、L3SWの静的経路情報を設定変更する。”
について、設定変更後の静的経路情報を答えよ:
「ネクストホップがSD-WANルータとなるデフォルトルート」
→経路情報にない宛先を処理するための特殊なルートのことを
デフォルトルートと呼ぶ。
・”F社は、RSS配信されたIPアドレスブロックを検知するツールを作成して、
自動的にツールから「オ」に指示を行い、全社のSD-WANルータの設定を
変更することにした。”について、適切な字句を図2中の機器名で答えよ:
「SD-WANコントローラ」
→本文中に”SD-WANルータの設定は、SD-WANコントローラによって
集中制御される。”とあるように、全社のSD-WANルータへ設定変更の
指示を行うのは「SD-WANコントローラ」となる。
・”社内PCから参照する④プロキシ自動設定ファイルを作成する”について、
このファイルを作成することによってプロキシから除外する通信を答えよ:
「G社SaaSへのHTTPS通信」
→”社内PCからG社SaaSへのWebアクセスはプロキシサーバを経由せず
各SD-WANルータを経由する”ので、このファイルを使用して、
G社SaaSへのHTTPS通信をプロキシから除外する。
・”G社SaaSへのアクセスログは、
⑤プロキシサーバからではなく、G社SaaSのAPIにアクセスして取得する”
について、G社SaaSのAPI経由で取得する理由を二つ挙げよ:
「社内PCからG社SaaSへのアクセスがプロキシサーバを経由しなくなるから」
「出張先のPCからG社SaaSへのアクセスが記録されるから」
↓ブログランキング、更新の励みになります。
