やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

ネットワークスペシャリスト【H30秋午後Ⅱ問1設問1】

この問題のテーマは「ネットワークシステムの設計」

Webコンピューティングに関する知識と設計能力
メッセージ通信プロトコルMQTT
Webサービスの連携に用いる仕組み

設問1(1)

f:id:aolaniengineer:20190921134605p:plain

f:id:aolaniengineer:20190921135031p:plain

f:id:aolaniengineer:20190921135219p:plain

f:id:aolaniengineer:20190921135410p:plain

f:id:aolaniengineer:20190921135554p:plain

  • (ア)〜(ウ)

 該当箇所は、「TLSには、情報を(ア)する機能、情報の改ざんを(イ)する機能、及び通信相手を(ウ)する機能がある。」です。

 問題文の通り、TLSは情報の漏えい及び改ざんを防ぐために利用します。これはTLSというよりセキュリティ全般にも当てはまる機能が問われていますね。

 正解は以下の通りです。

 「TLSには、情報を暗号化する機能、情報の改ざんを検知する機能、及び通信相手を認証する機能がある。」

  • (エ)

 該当箇所は、「工場内の機器とX社内の機器との通信は、いずれもクライアントサーバ型の通信であり、機器間の(エ)コネクションの確立要求は、工場からX社の方向に行われる。」です。

 クライアントとサーバ間のコネクション型通信ときたらTCPで、コネクションレス型通信はUDPになります。

 正解は以下の通りです。

 「工場内の機器とX社内の機器との通信は、いずれもクライアントサーバ型の通信であり、機器間のTCPコネクションの確立要求は、工場からX社の方向に行われる。」

設問1(2)

f:id:aolaniengineer:20190921194234p:plain

 該当箇所は、「①通信装置内のFWを使った対策」です。

 通信装置内のFWの役割は、通信装置や工作装置をインターネットから守ることです。

 FWには必要最低限の通信のみを許可して、それ以外は拒否するように設定します。

 必要な通信は、「工場内の機器とX社内の機器との通信は、いずれもクライアントサーバ型の通信であり、機器間のTCPコネクションの確立要求は、工場からX社の方向に行われる。」とあります。

 50字以内ですので、ある程度具体的に記載する必要があります。ただ、図1は構成例ですので、FWの対策としては抽象的にならざるを得ないなど、記載方法に工夫が必要です。

 そこで、通信元を顧客の工場に導入される機器である「X社が運用・保守を行う機器」、通信先を「X社FW」として記載します。

 ちなみに、FWでは、許可する通信以外は自動的に拒否するので、記載するのは許可分の対策のみで構いません。

 したがって正解は以下の通りです。

 「X社が運用・保守を行う機器からX社FWの方向に確立されるTCPコネクションだけを許可する。

設問1(3)

f:id:aolaniengineer:20190922043855p:plain

 該当箇所は、「②TLSの機能を使った、デバイス及びエッジサーバに関する対策」です。

 問題文に「それらを踏まえて、次の侵入及びなりすまし対策を採用する」とあり、侵入となりすまし対策の対応は以下のようになります。

X社に設置されたFWを使った対策(侵入対策)
①通信装置内のFWを使った対策(侵入対策)
②TLSの機能を使った、デバイス及びエッジサーバに関する対策(なりすまし対策)

 本設問のデバイス及びエッジサーバでのなりすまし対策としては、TLSのクライアント認証が該当します。

 クライアント側では人による操作があるわけではないので、ユーザID/パスワードでの認証ではなく、クライアント証明書を実装するのがいいでしょう。

 したがって、正解は以下の通りです。

 「クライアント証明書を配布してクライアント認証を行う」