テクニカルエンジニア(ネットワーク)過去出題問題平成10年 午後2 問3最終更新日 2006/02/26
|
Tomのネットワーク勉強ノート |
過去問(午後) |
テクニカルエンジニア (ネットワーク)過去問(午後) |
テクニカルエンジニア(ネットワーク)過去問 平成10年 午後2 問3 |
問3
ネットワークのセキュリティに関する次の記述を読んで、設問1〜4に答えよ。
A社は、社員数が数万人規模の製造業である。本社組織と複数の事業部があり、本社と各
事業部は複数の部から構成されている。
A社では"A-NET"と呼ばれる全社TCP/IPネットワークが稼働している。A-NET稼
働前は、幾つかの事業部ネットワークが独立して使われていた。それらのネットワークを相
互接続しながら、A-NETは構築されてきた。現在、本社とすべての事業部がA-NETで
相互接続され、業務システム、電子メール、WWW、ファイル転送などに広く利用されてい
る。図1にA-NETの概要と管理範図を示す。
図1 A-NETの概要と管理範図
[サイトLANと基幹ネットワーク]
A-NETは一つの"基幹ネットワーク"と複数の"サイトLAN"から構成される。サ
イトLANは、"基幹ルータ"経由で基幹ネットワークと接続されている。基幹ルータを
含む基幹ネットワークは、本社の情報システム部が運用管理を行っている。
A-NETでは、社内の組織を "サイト"という単位に分けて管理している。サイトと
事業部又は部とは、必ずしも1:1に対応しない。サイトLANはサイトが運用管理を行
うネットワークで、A-NETへの加入単位でもある。
[アドレス体系]
A-NETは、クラスAのプライベートアドレスを採用している。各サイトLANのネッ
トワークアドレスは、A-NET加入申請時に、情報システム部からそのサイトに与えら
れる。サイトLANのホストアドレスはサイトが管理する。
A-NETに接続されていないLANや、ほかのサイトとは通信を行わないLANがサイト
LANに含まれている場合もある。このようなLANのために、情報システム部では"サイ
ト内アドレス"という特別なアドレス範図を、クラスAのプライベートアドレス内に定
義している。すべてのサイトは、サイト内の通信用に限り、与えられたアドレス以外に、
サイト内アドレスを自由に使用することができる。
[A-NETセキュリティガイド]
A-NETを計画する際、A社のトップは次のような基本方針を情報システム部に示し、
セキュリティに関する基準と運用規則の立案を指示した。
(1)A-NETは、各種の資産(情報や機器)が接続される汎用のネットワークである。
セキュリティに関する問題の発生防止、発生した問題の速やかな検出、問題波及の防
止、問題解決の仕組みを考慮したセキュリティ対策をたてること。
(2)情報システム部を全社のセキュリティ管理部門とし、A-NETのセキュリティ管
理に関する責任と権限を与える。
(3)セキュリティ管理を行う技術者を、各利用部門(本社と事業部)から選出させ、そ
の技術者を"サイトLAN管理者"と呼ぶ。A-NETのセキュリティ管理体制は、サ
イトLAN管理者と情報システム部の技術者を中心に作ること。
情報システム部は、A-NETのセキュリティ基準と運用規則を作成し、トップの承認
を得た。そして、サイトLAN管理者向けの内容をまとめ、"A-NETセキュリティガイ
ド"として、全サイトLAN管理者に配布した。図2にA-NETセキュリティガイドの構
成を、図3、4にその一部を要約したものを示す。
[基本編]
1.はじめに [技術編]
1.サイトLAN運用のガイドライン |
図2 A-NETセキュリティガイドの構成
@ ホスト : パソコン、ワークステーション、ルータなどのネットワーク機器の総称。 Aクライアントとサーバ : ほかのホストへサービスの要求を行うホストをクライアント、要求を受け るホストをサーバと呼ぶ。 B アクセス可能(性) : ホストにアクセス可能とは、IPによってそのホストに到達可能であることを いう。 C 社外 : A社社員以外の者が、A社の許可なく出入りできる場所をいう(取引先、社員の自宅なども社 外に含む)。 |
図3 "1.2用語の定義"の一部(要約)
[管理領域の明確化]
@ A-NET上のすべてのホストは、いずれかのサイト又は情報システム部の管理下に置かれる。 [サイトLAN管理者]
C サイトLAN管理者は、サイト単位に、そのサイトを統轄する事業部長(本社においては情報システ [問題発生時の対応]
F 自サイトにおいてセキュリテイ上の問題が発生した場合、サイトLAN管理者は速やかに事業部長 [サイトLANの運用ポリシとセキュリティ対策]
I サイトLAN管理者は、サイトLANの運用ポリシを定め、セキュリティ対策を計画し、それを実行し |
図4 "2.A-NETのセキュリティポリシ"の一部(要約)
[社外接続]
図4のA-NETセキュリティポリシに示すように、社外からサイトLAN上のサーバ
アクセスすることは許されていない。社外から利用するサーバは、A-NETには接続
れていないLAN上で動作する必要がある。しかし、最近、A-NETに接続きれたサー
を社外からも利用したい、すなわち"社外公開サーバ"を設置したいという要求が多い。
これを受けて、情報システム部は、十分なセキュリティ対策を前提とした上で、"社外
公開サーバ"設置の個別認可を行うことにした。図5はその運用ポリシ案であり、試
の後、A-NETセキュリティガイドに盛り込まれる予定である。
サイトLANにおける社外公開サーバ設置は、情報システム部の個別認可が必要である。個別認可を受 [個別認可の対象]
@ 個別認可の対象となる社外接続は、次の条件をすべて満たす必要がある。 [認証]
Aアクセスしようとする利用者が、許可された者かどうかを判別するために、次の中から少なくとも [アクセス制御]
B 外部クライアントがアクセスできる社外公開サーバは.必要最小限に限定されなければならない。 [ログ監視]
D 【 c 】 |
図5 A-NET社外接続の運用ポリシ案
[BビルのサイトLAN]
A社のB事業部は、BビルとB工場の二拠点に分かれている。技術部と営業部だけがB
ビルにあり、製造部などのほかの部はB工場にある。
Bビルは3階建てで、営業部は2、3階に、技術部は3階に入居している。1階は両
部の共通フロアとなっている。取引先など社員以外は、すべて1階の受付けで入退館の
手続を受けることになっている。
図6に、Bビルのネットワーク構成を示す。技術部と営業部は、それぞれ別のLANを
もっている。これらのLANは、ルータで接続されているが、特にパケットフィルタリン
グは行っていない。これらのLANは、一つのサイトLAN(BビルサイトLAN)として、
A-NETに加入している。このほか、BビルサイトLANとは独立したLAN(営業部独立
LAN)がある。
図6 Bビルのネットワーク構成
技術部は、技術情報サーバを用い技術情報システムを稼働させている。このサーバに
は、B事業部の技術部と製造部がアクセスする。技術情報システムは、顧客製品の仕様
情報など、機密性の高いデータを扱ったシステムである。営業部は、営業情報サーバを
用い営業情報システムを稼働させている。営業情報システムは、ホテル、自宅など、社
外から営業部員が利用するシステムなので、A-NETとは独立したLANで運用している。
そのほか、全社サーバとして、技術部にメールサーバがある。表1にこれらのサーバの
利用状況を示す。
表1 Bビルのサーバの利用状況
サーバ (所在) |
利用目的 | サーバ利用者 | 実施している アクセス制御と認証 |
技術情報サーバ (BビルサイトLAN) |
技術情報 システム |
技術部、 製造部 |
ログイン時のアカウントと パスワードの照合 |
営業情報サーバ (営業部独立LAN) |
営業情報 システム |
営業部 | ログイン時のアカウントと パスワードの照合 |
リモートアクセスサーバ (営業部独立LAN) |
営業情報 システム |
営業部 | 着呼時のアカウントと パスワードの照合 |
メールサーバ (BビルサイトLAN) |
A社電子 メールシステム |
技術部、 営業部 |
ログイン時のアカウントと パスワードの照合 |
BビルサイトLANのサイトLAN管理者は、技術部に所属しているC氏である。ネット
ワーク機器と表1のサーバの運用管理は、C氏が行っている。
[BピルサイトLANの見直し構想]
技術情報システムの運用担当者は、現在の技術情報サーバのセキュリティ対策は不十
分であり、利用できるパソコンを必要なものだけに限定したいと考えている。営業情報
システムの運用担当者は、営業部独立LANをA-NETと接続し、社内にある営業部員の
パソコンからも営業情報システムを利用できるようにしたいと考えている。これらのシ
ステムの利用者は、そのほとんどが業務に必要なパソコン操作ができるだけで、ネット
ワークやサーバの知識はない。セキュリティに対する認識もまだ十分とはいえない。
B事業部長は、両システムの運用担当者の意見を聞き、Bビルのネットワークを見直す
ようC氏に指示した。また、セキュリティへの意識が低いことを危ぐし、技術部と営業
部の全員にセキュリティに関する集合教育を行うよう併せて指示した。
指示を受けたC氏は、図7のような改善案を作成した。その内容は次のとおりである。
(1)BビルサイトLANを、技術部サイトLAN、営業部サイトLANの二つに分ける。
(2)基幹ネットワークと技術部サイトLANの間、及び営業部サイトLANと営業部独立
LANの間に、ルータ(ファイアウォール)を設置し、"パケットフィルタリング'を
行う。パケットフィルタリングの定義には、クライアントのIPアドレス及びサーバの
IPアドレスとTCPポート番号を用いる。許可する通信をこれらの組合せで定義し、
それ以外のパケットはすべて破棄する運用とする。
(3)営業部のサイトLANに認証サーバを設置し、リモートアクセスサーバが外部クラ
イアントから接続要求を受けた時の認証強化と、そのログ管理を行う。
図7 Bビルネットワークの改善案
[情報システム部の見解]
C氏は、図7の改善案を情報システム部に提示し、セキュリティ対策の妥当性につい
て見解を求めた。情報システム部では、図8の検討結果をC氏に回答した。
次の点を再検討した上で、A-NET接続の再申請を行うこと。 [BビルサイトLANの分割について]
@ サイトLAN管理者については、C氏が両方を兼務してもよいが、営業部の中から新たに管理者を選
A サイトLANのアドレスについては、現在使っているネットワークアドレスをサブネットに分割して [技術部サイトLANについて]
B サイト独白にファイアウォールを設置することは、A-NETのセキュリティ上、特に問題はない。 [営業部サイトLANの社外接続について]
C 運用ポリシ案(図5)に準拠していると見なせるので、社外接続のパイロットケースとして認可で
D 認証サーバに関する考察
E 営業情報サーバに関する考察
F D、Eで指摘した問題点の解決案 |
図8 改善案(図7)に対する情報システム部の回答
[BビルサイトLANの改善作業]
C氏は、図8の内容を盛り込んだ改善計画書を作成し、B事業部長に了解を求めた。B
事業部長はその計画を承認し、C氏に具体的な作業を進めるよう指示した。また、サイ
トLAN分割後は、C氏を技術部サイトLANのサイトLAN管理者とし、営業部のD氏を営
業部サイトLANのサイトLAN管理者にすることを決めた。
C氏は、表2のように今後の作業と担当者を決め、BビルサイトLANの改善を推進す
ることにした。
表2 今後の作業と担当者
作業項目 | 作業内容 | 担当者 |
サイトLAN運用 ポリシの作成 |
技術部サイトLANと営業部サイトLANの運用ポリシを決 定し、新サイトLANの正式申請を情報システム部に行う。 |
C氏、D氏 |
利用者集合教育 | ネットワーク移行前に、技術部と営業部の全員に対しセキ ュリティに関する必要最小限の知識について説明する。 |
C氏 |
新ネットワーク の設計と構築 |
改善案を基に、Bビルネットワークシステムの再設計、構築、 移行を行う。 |
C氏、D氏 |
LAN管理業務の 引継ぎ |
営業部サイトLANの運用に必要な管理業務を引き継ぐ | D氏 |
設問1
A-NETのセキュリティポリシに関する次の問いに答えよ。
(1) "サイト内アドレス"を運用するために、基幹ルータで必要となる設定内容を30字
以内で述べよ。
(2)A-NETの加入単位として、会社の組織(例えば事業部・部)を採用しなかった
理由を30字以内で述べよ。
(3)加入単位である"サイト"と会社の組織単位が一致しないことで生じるネットワー
ク運用上の問題点を25字以内で述べよ。
(4)(3)の問題点に対し、A-NETはどのような対策を講じているか。40字以内で述べ
よ。
(5)図5中の【 a 】〜【 d 】に入れる適切な字句を、それぞれ30字以内で答えよ。
設問2
BビルサイトLANの見直しに関する次の問いに答えよ。
(1)A-NETセキュリティポリシに従い、技術情報サーバを守るために必要なセキュ
リティ対策を二つ挙げ、それぞれ20字以内で述べよ。
(2)図8のBで情報システム部が指摘している、ファイアウォール運用の複雑さとは何
か。40字以内で述べよ。
(3)図8中の【 e 】、【 j 】に入れる適切な記号を、図7にある(ア)〜(ケ)の中
から選べ。
(4)図8中の【 f 】〜【 i 】に入れる適切な字句を、それぞれ10字以内で答えよ。
(5)営業部員が社外からもA社のメールシステムを利用できるようにしたい。この場合
に必要な改善案(図7)の変更点を40字以内で述べよ。
設問3
BピルサイトLANの改善に伴う今後の作業(表2)に関する次の問いに答えよ。
(1)セキュリティ維持のため、今後、D氏が行わなければならない日常の作業のうち、
認証にかかわる作業を三つ挙げ、それぞれ20字以内で述べよ。
(2)情報システム部の回答以外にも、BピルのサイトLANを分割することによって、セ
キュリティ管理上の問題が幾つか発生する。この中から、新しいサイトLANの運用
ポリシ作成において検討が必要な問題を二つ挙げ、それぞれ30字以内で述べよ。
設問4
社外接続の試行期間中、営業部サイトLANが運用ポリシ案(図5)に準拠し適正に
運用されていることを、情報システム部も定期的に確認すべきである。そのために、情
報システム部が行うべき作業は何か。D氏から定期的に運用状況の報告を受け取りその
内容を確認すること以外に必要な作業を二つ挙げ、それぞれ50字以内で述べよ。
Tomのネットワーク勉強ノート |
過去問(午後) |
テクニカルエンジニア (ネットワーク)過去問(午後) |
テクニカルエンジニア(ネットワーク)過去問 平成10年 午後2 問3 |