応用情報技術者試験の令和6年度 秋季試験 午後 問5:ネットワークの解説を行ってきます。
出題テーマ:セキュアゲートウェイサービスの導入
出題テーマは『セキュアゲートウェイの導入』です。
セキュアゲートウェイ自体を知らなくても問題文をしっかりと読み込めば回答することができます。
その他NAPTやFWなどの過去にも出題された基本的な知識も出題されていました。
一部の問題では知識が必要ですが、問題文をしっかりと読み込み、過去問対策を行っていれば高得点が狙える問題だったと思います。
設問1 (1)
知識の問題です。
【a】の部分として、『E社のルータでは、【a】機能を用いて、E社に割り当てられたプライベートIPアドレスをグローバルIPアドレス及びポート番号に変換している。』とあります。
IPアドレスを変換するのはNATですが、今回はポート番号も変換していますので、解答は『NAPT』となります。
知識の問題ではありますが、NATを含めてNAPTは過去にも出題されている内容ですので、回答できなかった場合は今回でしっかりと抑えておくようにしましょう。
設問1 (2)
下線①として、『Y社SaaSでは、E社からのアクセスに対して送信元IPアドレスでアクセス制限を行っている。』とあります。
先程の問題で、『E社のルータでは、【a】機能を用いて、E社に割り当てられたプライベートIPアドレスをグローバルIPアドレス及びポート番号に変換している。』とありました。
また、『プロキシサーバでは、内部のセグメントからインターネット向けのHTTP通信、HTTP Over TLS(以下、HTTPSという)通信を中継し、アクセスログを保管している。』とあります。
これらのことから内部セグメントのPCからY社SaaS(インターネット)へアクセスする際の通信経路はこのようにプロキシサーバを経由して行われるとわかります。
E社のルータでNAPTが行われており、E社ルータにはip1が付与されていますので、送信元IPアドレスがip1に変換されていると考えることができます。
ということで、解答は『ip1』となります。
なぜY社SaaSで送信元IPアドレスによるアクセス制限を行っているかは不正利用や不正アクセスへの対策です。
送信元IPアドレスを制限することによりE社内からしかアクセスすることができませんので、外部からの不正利用や不正アクセスを防ぐことができます。
設問2 (1)
【b】として、『アクセス先の【b】やIPアドレスから悪意のあるWebサイト』とあります。
Webサイトにアクセスする際に何を用いるか思い返してみて頂ければ回答することができますが、解答は『URL』です。
あまりIPアドレスでWebサイトにアクセスすることはないかもしれませんが、IPアドレスでもアクセスは可能になっています。
設問2 (2)
知識の問題です。
下線②として、『インターネット上のWebサイトから受け取ったプログラムをサービスZ内の保護された領域で動作させ、E社システムが不正に操作されるおそれがないことを確認する機能』とあります。
こちらは『ウ:サンドボックス』が解答になります。
サンドボックスは砂場という意味で、下線の説明の通りですが、保護された仮想環境で動作させ問題がないかなどの確認を行います。
仮にマルウェアが含まれているなどの問題があったとしても、保護された仮想環境であるので、実ネットワークなどに感染拡大などの影響はありません。
メリットとしては、動作をさせるので、未知のマルウェアなどの検知を行うことも可能となっています。
一方でデメリットとしては、実際に動作させなければいけないので、リアルタイムで検知を行うことができないということが挙げられます。
設問3 (1)
【c】の部分として、『現行のE社のネットワーク構成からプロキシサーバを廃止し、社内のPCからインターネット上のWebサイトへのアクセスは、宛先IPアドレスが【c】のものだけを許可するように、FWの許可ルールを変更する。』とあります。
セキュアWebゲートウェイサービス(サービスZ)を利用するために、および動作としては、『サービスZを利用するためには、E社の全てのPCに専用のクライアントソフトウェア(以下、ソフトCという)を導入し、PCのWebブラウザからインターネット上のWebサイトへのアクセスを、ソフトCを介して行う必要がある。ソフトCからサービスZにはHTTPS通信を用いて接続する。サービスZは、PCからインターネット上への全てのWebアクセスについて、どのPCからアクセスされたものかを識別して、アクセスの監視や各種制御を行う。』とあります。
つまり、インターネット上へのWebサイトへのアクセスは、PCに導入されたソフトCを経由してサービスZ(Z社SaaS)を経由して行われるということです。
そのため、FWで許可すべき宛先IPアドレスは、Zサービス(Z社SaaS)の『ip8』となります。
設問3 (2)
【d】の部分として、『PCのプロキシ設定で、【d】については、これまで通り直接HTTP通信ができるように設定する。』とあります。
重要な部分として、『HTTP通信でサーバセグメントの業務サーバに直接アクセスして業務を実施したり』とあります。
直接HTTP通信をする必要があるのは『d:業務サーバ』となります。
設問4
まずは【e】について考えていきます。
重要な部分として、『サービスZ導入前のE社FWの許可ルールでは、PCのWebブラウザからインターネットへのHTTP通信やHTTPS通信について、E社プロキシサーバを経由する通信だけを許可する設定になっていた。』とあります。
表1はサービス導入前のE社FWの許可ルールで、『e:プロキシサーバ or ip3』と考えるとこの記述に合致することがわかります。
続いて【f】について考えていきます。
重要な部分として、『PCのWebブラウザからインターネット上のWebサイトへのアクセスを、ソフトCを介して行う必要がある。ソフトCからサービスZには、HTTPS通信を用いて接続する。』とあります。
この点からHTTPS(443)を許可する必要があるので『f:443』であると考えることができます。
公式解答例との比較・予想配点
出題テーマは『セキュアゲートウェイの導入』でした。
NAPT、NAPTによって変換されるIPアドレス、FWルールの穴埋めなどのこれまでにも出題されてきた基本的な内容に関して出題されていました。
サンドボックスに関しては知識が必要でしたが、選択問題でしたので、最悪当てずっぽうで回答すればよいかと思います。
記述問題もなく、問題文を読み込んで過去問対策を行っていれば高得点が狙えたと思います。
総じて難易度としては『やや易しい~普通』だったかと思います。
配点 |
|||
| NAPT | NAPT | ||
| ip1 | ip1 | ||
| URL | URL | ||
| ウ | ウ | ||
| ip8 | ip8 | ||
| 業務サーバ | 業務サーバ | ||
| e:プロキシサーバ or ip3 f:443 |
e:プロキシサーバ or ip3 f:443 |
||
引用元
問題および解答例に関しては、『独立行政法人 情報処理推進機構(IPA)』より引用しています。
YouTube解説動画
公開まで少々お待ち下さい。
応用情報技術者試験解説
その他の年度、問題は『こちら』にてまとめています。
