情報処理技術者試験の午後問題を通じて、ネットワークの知識を体系的に蓄積していきましょう。

　キーワードに加え、設計や障害対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、ネットワークスペシャリストとなった後も能力向上のために学習できるいい機会です。

　今回は、「SSL-VPNの暗号スイート、動作方式」を取り上げた「ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問1 設問2 」です。

　問題文中、設問に該当する部分ですぐに解答を説明しています。

　ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問1 設問2

問1　SSL-VPNの導入に関する次の記述を読んで、設問1〜4に答えよ。

　H社は、顧客の業務システムの構築（以下、顧客システム構築という）を主力業務とする、中堅のシステム開発会社である。顧客システムは、様々なサーバ機器、OS、ミドルウェアなどを組み合わせて構築され、利用されるプロトコルも様々である。H社の拠点で構築されて、最終的に顧客の拠点に納入されたシステムは、顧客社内のPCなどから利用される。

【H社の現行ネットワーク】

　H社では、受注した顧客システム構築専用のネットワーク（以下、顧客システム構築ネットワークという）をそれぞれ設け、一つの顧客システム構築ネットワークに、H社の内部LANのサブネットを一つ割り当てている。顧客システム構築は、開発LANに接続されたPCから顧客システム構築ネットワークにアクセスして行っている。現在、E社、F社、G社の3社から受注した顧客システムを構築中である。H社は、内部LANからインターネットへのWebアクセスを、DMZのプロキシサーバ を経由して行っている。H社の現行ネットワーク構成を、図1に示す。

【顧客システム構築業務の問題とその解決策】

　H社では、顧客システム構築業務において次に示す問題を抱えている。

（問題1）顧客システム構築ネットワークに対して、当該構築業務とは関係がないPCから不正なアクセスを受ける可能性がある。

（問題2）顧客システム構築をH社の拠点で行っているので、顧客はシステムが納入されるまで動作確認ができない。

　これらの問題に対処するために、解決策の検討を任されたH社情報システム部のSさんは、SSL-VPNを利用すれば解決できると考えた。Sさんの検討結果を次に示す。

（1）SSL-VPNについて

　SSL-VPNは、SSL/TLSのプロトコルを利用したVPN技術である。その利用には、SSL/TLSのプロトコルのバージョン、及びプロトコルに含まれるアルゴリズムについて、次に示す点を考慮する必要がある。

・十分な安全性を確保できないとされるハッシュアルゴリズムであるMD5又はSHA-1を使用しないで済むように、TLSプロトコルのバージョン1.2以上を利用する。

・SSL/TLSのコネクション開設時に、クライアント側から送られるClient_Helloメッセージと、サーバ側から返されるServer_Helloメッセージの交換が行われる。このとき、それ以降で用いられる暗号スイート（アルゴリズムの組合せを示した情報）が決定される。その情報には、アプリケーション層の暗号化に使われる暗号アルゴリズム以外に、（Ⅰ）2種類の暗号アルゴリズムと1種類のハッシュアルゴリズムが含まれる。

（Ⅰ）について、2種類の暗号アルゴリズムと1種類のハッシュアルゴリズムのそれぞれの用途を答えよ。：（暗号アルゴリズム）鍵交換、認証、（ハッシュアルゴリズム）メッセージ認証

　SSL/TLSコネクション開設時に決定される暗号スイートには、鍵交換アルゴリズム、鍵認証方式、暗号化、メッセージ認証の組み合わせがセットされています。

　例えば、「ECDHE_RSA_WITH_AES_128_GCM_SHA256」という暗号スイートの場合、以下のようになります。

1. ECDHE（elliptic curve Diffie-Hellman Ephemeral）：鍵交換アルゴリズム
2. RSA：鍵認証方式（署名）
3. AES_128_GCM：暗号化（鍵長128ビットのGCMを用いるAES）
4. SHA256：メッセージ認証（ハッシュ関数）

　暗号アルゴリズムとしては上記の1と2が該当し、その用途は鍵交換と認証になります。

　また、ハッシュアルゴリズムとしては4が該当し、その用途はメッセージ認証になります。

（2）SSL-VPNの動作方式

　SSL-VPNの基本的な動作には、リバースプロキシ、ポートフォワーディング、L2フォワーディングの3方式がある。（Ⅱ）H社の場合はL2フォワーディング方式が望ましいと、Sさんは判断した。Sさんがベンダに確認したL2フォワーディング方式の動作概要を次に示す。

（Ⅱ）について、判断の根拠となった、H社が構築する顧客システムの特徴を、30字以内で述べよ。：顧客システムは、様々なプロトコルを利用している。

　顧客システムの特徴としては、問題文に「顧客システムは、様々なサーバ機器、OS、ミドルウェアなどを組み合わせて構築され、利用されるプロトコルも様々である」とあります。

　これを前提に、SSL-VPNの動作方式の特徴を示すと以下のようになります。

• リバースプロキシ方式：SSL-VPN装置をリバースプロキシとして動作させる方式で、クライアントはHTTPS（HTTP over TLS）でアクセスする。Webブラウザ上で動作するアプリケーションに限定される。
• ポートフォワーディング方式：クライアント側にJavaアプレットなどで通信モジュールを介した通信を行う方式で、ポート番号に応じた通信先を定義しておくことで、ポート番号によりアクセス先を指定できる。使用するアプリケーションのポート番号が動的に変化するようなものは利用できない。
• L2フォワーディング方式：クライアント側に専用のVPNクライアントソフトを導入して、L2（データリンク）層のデータをSSL/TLSのトンネルで転送するため、利用できるアプリケーションなどの制約がない。

　したがって、顧客システムで利用される様々なプロトコルに対応するには、L2フォワーディング方式が最適であると考えて良さそうです。

・PCにインストールするクライアントモジュールからSSL/TLS接続を行う。

・（Ⅲ）接続時の認証に応じて、PCに適切なIPアドレスを割り当てる。

（Ⅲ）について、割り当てられたIPアドレスは、PCのどのネットワークインタフェースに設定されるか、図2中の字句を用いて答えよ。：vNIC

　以下の問題文の続きと図2から、PCがSSL-VPN装置との間で構築したSSL/TLS接続トンネル上で通信が行われることが分かります。

　したがって、IPアドレスはそのSSL/TLS接続トンネルに設定されることになり、図2から、PC側ではvNICに設定されることが分かります。

・PCとSSL-VPN装置間のSSL/TLS接続トンネル上で、レイヤ2の中継を行う。

　Sさんは、これらの検討結果から、開発LAN及び顧客各社のPCから顧客システム構築ネットワークに対する必要なアクセスを全てSSL-VPN経由で行うようにすることで、問題1と問題2に対応できると考え、SSL-VPN装置を新たに導入することにした。また、その問題の対応には、FW、L3SWなどの設定変更も必要になると考えた。

（略）

【出典：ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問1（一部、加工あり）】

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_pm1_qs.pdf