やさしいネットワークとセキュリティ

情報処理安全確保支援士、ネットワークスペシャリスト、技術士として、資格取得を目指す方に有益な情報を発信します。

トップ > ネットワークスペシャリスト > プロキシ(フォワード・リバース・認証)【ネットワークスペシャリスト試験 平成30年度 秋期 午後1 問1 設問1】

プロキシ(フォワード・リバース・認証)【ネットワークスペシャリスト試験 平成30年度 秋期 午後1 問1 設問1】

ネットワークスペシャリスト ネットワークスペシャリスト-午後解説

 情報処理技術者試験の午後問題を通じて、ネットワークの知識を体系的に蓄積していきましょう。

 キーワードに加え、設計や障害対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、ネットワークスペシャリストとなった後も能力向上のために学習できるいい機会です。

 今回は、「プロキシ(フォワード・リバース・認証)」を取り上げた「ネットワークスペシャリスト試験 平成30年度 秋期 午後1 問1 設問1」です。

 問題文中、設問に該当する部分ですぐに解答を説明しています。

 ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

ネットワークスペシャリスト試験 平成30年度 秋期 午後1 問1 設問1

問1 SaaSの導入に関する次の記述を読んで、設問1~3に答えよ。

 F社は、本社と四つの営業所を拠点として事業を展開している中堅商社である。本社を中心としたハブアンドスポーク構成のIPsec VPNを使って、本社と営業所を接続している。営業所からインターネットへの通信は、全て本社を経由させている。現在F社で利用しているグループウェア機能は、電子メール、スケジューラ、ファイル共有などである。このうち電子メールは社外との連絡にも利用している。

 このたびF社では、グループウェアサーバの老朽化に伴い、グループウェアサーバを廃止し、グループウェア機能をもつG社SaaSを導入することにした。また、G社SaaSの導入に合わせたセキュリティ対策を講じることにした。

 

【F社の現行ネットワーク構成とG社SaaS導入に合わせたセキュリテイ対策】

 F社の現行ネットワーク構成を、図1に示す。

f:id:aolaniengineer:20200718160430p:plain

 

・プロキシサーバ及びグループウェアサーバは、本社DMZに設置されている。

・L3SWでは、次のように静的経路設定を行なっている。

 -デフォルトルートのネクストホップをFWに設定している。

 -各営業所への経路のネクストホップを本社のIPsecルータに設定している。

・社内PCからインターネットへは、Webアクセスだけが許可されており、プロキシサーバを経由して通信を行なっている。

 一般に、プロキシは(ア:フォワード)プロキシと(イ:リバース)プロキシがある。F社のプロキシのように(ア:フォワード)プロキシは、社内に対して、アクセス先URLのログ情報や、外部サーバのコンテンツをキャッシュして使用帯域を削減する目的で用いられる。一方、(イ:リバース)プロキシは、外部から公開サーバのオリジナルコンテンツに直接アクセスさせないことによる改ざん防止、キャッシュによる応答速度の向上、及び複数のサーバでの負荷分散を行う目的で用いられる。

ア:フォワードイ:リバース

 プロキシに関して理解できていれば簡単ですね。逆にわからなければこの問題で覚えてしまえばいいのです。

  • フォワードプロキシ:社内に対して、アクセス先URLのログ情報や、外部サーバのコンテンツをキャッシュして使用帯域を削減する目的で用いられる。
  • リバースプロキシ:外部から公開サーバのオリジナルコンテンツに直接アクセスさせないことによる改ざん防止、キャッシュによる応答速度の向上、及び複数のサーバでの負荷分散を行う目的で用いられる。

 G社SaaSの導入に合わせて、インターネットへのWebアクセスについてのセキュリテイ対策を検討した。検討結果を次に示す。

・G社SaaSとの通信は、HTTPSによって暗号化する。

・出張先のPCから直接G社SaaSを利用できるようにするために、G社SaaSでは送信元IPアドレスの制限を行わない。

G社SaaS導入に合わせてセキュリティ強化を行うために、プロキシサーバで次のログを取得する。

 -アクセス先URLと利用者ID

 -G社SaaSのファイルアップロード/ダウンロードのログと利用者ID

・社内PCからインターネットへのWebアクセスでは①プロキシサーバにおいて認証を行う

【出典:ネットワークスペシャリスト試験 平成30年度 秋期 午後1 問1(一部、加工あり)】

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2018h30_2/2018h30a_nw_pm1_qs.pdf

①について、プロキシサーバで認証を行うことによってアクセスログに付加できる情報を答えよ。:利用者ID

 SaaS導入前後での、プロキシサーバにおけるアクセスログの情報を比較すればいいでしょう。

 認証を行う前は、本文に「F社のプロキシのようにフォワードプロキシは、社内に対して、アクセス先URLのログ情報や、・・・」とあります。

 認証を行うと、本文に「アクセス先URLと利用者ID」「G社SaaSのファイルアップロード/ダウンロードのログと利用者ID」とあります。

 したがって、付加できる情報としては「利用者ID」と「GSaaSのファイルアップロード/ダウンロードのログ」になりますが、認証を行うことで付加できる情報は「利用者ID」になります。