やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

ネットワークスペシャリスト【H30秋午後Ⅰ問1設問1】

この問題の主題は「SaaSの導入 

メールやスケジュール管理、ファイル共有などオンプレミスからクラウドへの移行の検討業務や導入後のトラフィック問題への対処はよくあるので、とても役にたつ問題だと思います。

SaaS導入に伴うネットワーク設計、セキュリティ、SDN、SD-WANなど、理解していきましょう。

設問1 キーワード

SaaS(Software as a Service)

事業者側サーバにあるソフトウェアをインターネット経由で利用する形態やサービスのこと。利用者側のメリットには、ソフトウェア管理が不要であることやインターネット接続環境にあればすぐに利用できることなどがある。

プロキシサーバ

 企業などの内部ネットワークとインターネットとの境界にあり、内部ネットワークのコンピュータの代理となってインターネット側と通信するサーバ。インターネット側ではアクセスの送信元IPアドレスがプロキシサーバとなるため、内部IPアドレスを隠蔽できる。

デフォルトルート

ルータなどがパケットの転送先を決定する際に、経路表(ルーティングテーブル)にない宛先を扱う場合の特別なルート。

ネクストホップ

ルータなどがパケットを転送する際に、次に転送すべきルータのこと。経路表にはIPアドレスで記載される。

HTTPS(HTTP over SSL/TLS)

Webアクセスの際に利用されるURIスキームの一つで、HTTPを暗号化してやり取りするもの。暗号化にはディジタル証明書が必要となる。

問題文

それでは読み進めていきましょう。

序文には、現状の組織体系やサービス内容、ネットワーク構成と、課題や改善内容などが示されます。

感覚的にはこの時点ではあまり細かい部分まで理解する必要はありませんが、ストーリーを噛みしめるように読み進めて、全体の流れを理解しましょう。

f:id:aolaniengineer:20190821045928p:plain

ここまでの記述で、現状の通信内容でわかることは以下の通りです。

本社〜営業所間の通信

IPsecルータ経由で通信する。

社内PC〜グループウェアサーバ間の通信

本社社内PCはL3SW・FW経由、営業所社内PCはIPsecルータ・L3SW・FW経由で通信する。

社内PC〜インターネット間の通信

Webアクセスのみ許可され、本社社内PCはL3SW・FW・プロキシサーバ経由、営業所社内PCはIPsecルータ・L3SW・FW・プロキシサーバ経由で通信する。

f:id:aolaniengineer:20190821135059p:plain
 設問1(1)

f:id:aolaniengineer:20190821135258p:plain

該当箇所は、「一般に、プロキシは(ア)プロキシと(イ)プロキシがある。F社のプロキシのように(ア)プロキシは、社内に対して、アクセス先URLのログ情報や、外部サーバのコンテンツをキャッシュして使用帯域を削減する目的で用いられる。一方、(イ)プロキシは、外部から公開サーバのオリジナルコンテンツに直接アクセスさせないことによる改ざん防止、キャッシュによる応答速度の向上、及び複数のサーバでの負荷分散を行う目的で用いられる。」です。

プロキシに関して理解できていれば簡単ですね。逆にわからなければこの問題で覚えてしまえばいいのです。

正解は以下の通りです。

 「一般に、プロキシはフォワードプロキシとリバースプロキシがある。F社のプロキシのようにフォワードプロキシは、社内に対して、アクセス先URLのログ情報や、外部サーバのコンテンツをキャッシュして使用帯域を削減する目的で用いられる。一方、リバースプロキシは、外部から公開サーバのオリジナルコンテンツに直接アクセスさせないことによる改ざん防止、キャッシュによる応答速度の向上、及び複数のサーバでの負荷分散を行う目的で用いられる。」

プロキシの用語を理解しましょう

フォワードプロキシ

社内に対して、アクセス先URLのログ情報や、外部サーバのコンテンツをキャッシュして使用帯域を削減する目的で用いられる。

リバースプロキシ

外部から公開サーバのオリジナルコンテンツに直接アクセスさせないことによる改ざん防止、キャッシュによる応答速度の向上、及び複数のサーバでの負荷分散を行う目的で用いられる。

問題文

f:id:aolaniengineer:20190821135438p:plain

設問1(2)

f:id:aolaniengineer:20190821135513p:plain

「プロキシサーバで認証を行うことによってアクセスログに付加できる情報」について、SaaS導入前後でのアクセスログの情報を比較すればいいと考えます。

認証を行う前は、前問の問題文に「F社のプロキシのようにフォワードプロキシは、社内に対して、アクセス先URLのログ情報や、・・・」とあります。

認証を行うと、前段の文章で「アクセス先URLと利用者ID」「GSaaSのファイルアップロード/ダウンロードのログと利用者ID」とあります。

付加情報は「利用者ID」と「GSaaSのファイルアップロード/ダウンロードのログ」になりますが、認証を行うことで付加できる情報は「利用者ID」です。

したがって正解は以下の通りです。

利用者ID

「SaaS導入時のセキュリティ対策」を参考にしましょう

SaaSとの通信は、HTTPSによって暗号化する。
出張先のPCから直接SaaSを利用できるようにするために、SaaSでは送信元IPアドレスの制限を行わない。
プロキシサーバでユーザ認証を行い、利用者のアクセス状況を管理する。

www.aolaniengineer.com

www.aolaniengineer.com