営業支援サーバへのSSLの導入【平成26年度 春期 応用情報技術者試験 午後 問1】

平成26年春 応用情報技術者試験 午後 問1

問1 営業支援サーバへのSSLの導入に関する次の記述を読んで、設問1〜4に答えよ。

 P社は、コンピュータ関連製品の販売会社である。P社では、営業支援システムと販売管理システムを運用している。営業支援システムでは、製品資料、顧客情報、プレゼンテーション資料などが参照できる。営業支援システムは、販売管理システムと連携しており、在庫数の確認や在庫の引当てもできる。各システムは、それぞれのサーバで稼働している。

 P社では、全社員がノートPC(以下、PCという)を業務で使用している。営業員は、社内で営業支援サーバから各種資料をPCにダウンロードした後、PCを顧客先に持参して製品説明やプレゼンテーションなどを行っている。営業支援サーバへは、PCのブラウザを利用してアクセスしている。

 P社のシステム構成を図1に示す。

f:id:aolaniengineer:20200126165000p:plain

 P社では、情報システム部が許可したアプリケーションプログラムだけを、PCにインストールさせている。PCは、社内LANに接続されたときにPC管理サーバにアクセスして、ウィルス対策ソフトの最新のパターンファイル、及びOSとアプリケーションプログラムのセキュリティパッチを適用する。

 最近、営業員から、最新の在庫数の確認や在庫の引当てを社外からも行えるようにしてほしいとの要望が強くなった。そこで、情報システム部のQ課長は、営業支援システムをインターネット経由で利用できるようにするために、SSLの導入についての検討を、サーバ運用担当のR君に指示した。指示を受けたR君は、まず、SSLについて調査した。

〔SSLの機能概要〕

 インターネットはオープンなネットワークなので、多くの脅威が存在する。これらの脅威に対応するためにSSLが利用される。SSLでは、(a:盗聴)、なりすまし及び(b:改ざん)に対する対応策が提供される。

 (a:盗聴)防止は、公開鍵暗号方式と共通鍵暗号方式を組み合わせて実現される。なりすまし防止は、サーバ認証とクライアント認証によって行われる。送受信されるメッセージの(b:改ざん)検知は、メッセージの中に埋め込まれる、MAC(Message Authentication Code)を基に行われる。

a:盗聴

「公開鍵暗号方式と共通鍵暗号方式を組み合わせて実現」とあるように、SSL/TLSでは、ハイブリッド暗号方式として暗号化を実現しています。暗号化により防止できることは盗聴になります。

b:改ざん

MACは通信データから生成される固定長のデータのことで、MACの値により、通信内容の改ざん有無を検知することが可能です。

 R君は、社外から営業支援サーバへのアクセスをSSLで行えば、営業支援システムの安全な利用が可能になると考え、営業支援サーバへのSSLの導入方法の検討を行うことにした。

〔クライアント認証の検討〕

 営業支援サーバには、信頼できる認証機関によって発行されたサーバ証明書を導入して、営業支援サーバの正当性を証明する。

 営業支援サーバにSSLを導入しても、社外から営業支援サーバへのアクセスが不特定のPCによって行われると、新たなセキュリティリスクが発生してしまう。そこで、R君は、社外から営業支援サーバにアクセスするときに、利用者IDとパスワードによる認証に加えて、SSLがもつ、クライアント証明書を用いたクライアント認証機能も利用することを考えた。クライアント認証には、クライアント証明書をインストールしたICカードやUSBトークンを利用することができるが、今回はこれらを利用せず、①クライアント証明書をPC自体にインストールする方式を採用することにした

①の方法によるクライアント認証の目的 →営業支援システムを利用できるPCを限定するため

本文にある「営業支援サーバにSSLを導入しても、社外から営業支援サーバへのアクセスが不特定のPCによって行われると、新たなセキュリティリスクが発生してしまう」への対策が、クライアント認証採用の目的になります。したがって、「不特定のPCからのアクセスを禁止する」=「利用できるPCを限定する」ことが目的となります。

〔営業支援サーバを社外に公開する構成〕

 次に、R君は、営業支援サーバを社外に公開する構成について検討した。

 R君が考えた営業支援サーバを社外に公開するための二つの構成案を図2に示す。案1は、営業支援サーバにSSLを導入して、DMZに移設するものであり、案2は、SSLを導入したリバースプロキシサーバを、新規にDMZに設置するものである。

f:id:aolaniengineer:20200126165051p:plain

 二つの案について検討した結果、案1と案2には、それぞれ、次の対応が必要になることが分かった。

 案1では、新たな機器の導入は不要だが、三つの作業が必要になる。一つ目は、営業支援サーバにSSLを導入する作業、二つ目は、営業支援サーバをDMZに移設する作業、三つ目は、②営業支援サーバにアクセスする全てのPCに対する作業である

②の作業内容 →クライアント証明書のインストール

前の本文で、クライアント認証機能としてクライアント証明書をPC自体にインストールとあります。

 案2では、二つの作業が必要になる。一つ目は、社外から営業支援サーバにアクセスする全てのPCに対する、案1と同様の作業であり、二つ目は、SSLを導入したリバースプロキシサーバを新規に構築してDMZに設置する作業である。

 また、案1、案2ともに、インターネットからのDoS攻撃によって、サービスの提供が不能になるリスクがあるが、③案1と比較すると案2の被害は限定的である

③の理由 →社内LANからの利用には被害が及ばないから

案1では、DMZ上の営業支援サーバ自体がサービス提供不能となり、社外と社内の双方で利用ができなくなります。

これに対し案2では、DMZ上のリバースプロキシサーバがサービス提供不能となり、社外からの営業支援サーバへの転送ができなくなりますが、社内からの営業支援サーバの利用には影響しません。

 R君は、これらの検討結果を基に、案2を採用することにした。

 案2を採用すると、FWで新たに通過を許可しなければならない通信が発生する。P社が導入しているFWは、ステートフルインスペクション機能をもつので、FWが最初に受信して通過させるパケットの内容の設定だけで済む。案2を採用する場合に、FWに追加が必要なフィルタリングルールを表1に示す。

f:id:aolaniengineer:20200126171059p:plain

表1で各項番のフィルタリングルールで通過が許可されるパケットのTCPの上位層のプロトコル →項番1:HTTPS、項番2:HTTP

項番1は、社外の任意のIPアドレスから、リバースプロキシサーバ宛ての通信で、ポート番号が443ですので、SSL/TLS通信のHTTPSになります。

項番2は、リバースプロキシサーバから営業支援サーバ宛ての通信で、ポート番号が80ですので、HTTPになります。(営業支援サーバにはSSLが導入されていない)

 R君は、以上の検討結果をQ課長に報告したところ、クライアント証明書の発行と運用についての追加検討を指示された。

〔クライアント証明書の発行と運用〕

 クライアント証明書は、P社内だけで使用するものなので、リバースプロキシサーバのディジタル証明書発行機能を利用して発行することにした。発行した証明書は、クライアント認証の目的を確実に達成するために、社外に持ち出して営業支援サーバにアクセスする全てのPCに、情報システム部の担当者が直接インストールすることにした。

 R君は、検討結果をQ課長に報告したところ、証明書の有効期限の満了によって社外から営業支援システムが利用できなくなったり、④PCの盗難や紛失が発生したりすることがあるので、PC管理台帳を作成して、間違いのない運用ができるようにしなければならないとの指摘があった。そこで、R君は、PC管理台帳で、証明書の発行日、有効期限、証明書の識別情報、使用者、インストールしたPCの情報などに加えて、証明書が有効かどうかを示す情報も併せて管理することにした。

④が発生したとき、営業支援システムの不正利用を防ぐために、クライアント証明書に対して実施すべき対応策 →当該PCのクライアント証明書を失効させる

営業支援システムを利用できるPCは、クライアント証明書がインストールされていて、IDとパスワードが正しく入力される状態であることが必要です。さらに、そのクライアント証明書は有効であることが必要ですので、クライアント証明書を失効させルコとで、不正利用を防ぐことができます。

 R君は、以上の検討結果を基に、SSL導入の実施策をまとめ、Q課長に報告した。Q課長は、実施策に問題がないことを確認できたので、具体的な作業を進めるようR君に指示した。

【出典:応用情報技術者試験 平成26年度春期午後問1(一部、加工あり)】