基本情報技術者試験　令和元年秋　午後問１（情報セキュリティ　テレワーク）

基本情報技術者試験の令和元年秋　午後問１を解説していきます。

テレワークってあったので、（現在令和２年秋）IPAコロナウィルスの話題取り込むの早！と思ったのですが、、

令和元年なのでコロナが流行る半年前に、IPAは既に予言していたの！？っとびっくりする問題でした。

当問題はセキュリティの知識も大切ですが、ファイアーウォールのアクセス制御技術を読み解くのに　１９２．１６８．１．１／２８の　／以降にあたるプレフィックス長の知識が大切になってきます。

実際に問題を解きながら解説していきます。

本文は軽く一読していることを前提に設問部分から、対応する本文部分を見ていきましょう

設問１　本文中の□に入れる適切な答えを，解答群の中から選べ。

a に関する解答群

ア　開発PCから開発サーバにアクセスできない

イ　開発VMから開発サーバにアクセスできない

ウ　事務PCから開発サーバにアクセスできる

エ　事務VMから開発サーバにアクセスできる

まずaに該当する本文を見ていきましょう。

「表1のルール案ではルール番号7の条件に誤りがあり，a　ことが分かった。」

表１とあるのでそれをみていきましょう

ファイヤーウォールのパケットフィルタリングルールの問題ということが分かります。

ルール番号７の宛先が何を意味するかを確認しましょう。

１９２．１６８．１２８．０/２０

この図から　開発サーバがあるセグメントだということがわかります。

では、開発サーバにアクセスできるのは、どこからだったかということを本文部分を探していきます。

「　A社FWでは，開発室のネットワークだけから開発サーバにHTTP over TLS(以下，HTTPSという)又はSSHでアクセスできるように通信を制限している。」

では、リモートワーク時は開発サーバにアクセスできるのはどのIPからかということを確認していきましょう。

「VDIサーバは，VPNサーバで認証された利用者が開発部以外の従業員であれば事務業務だけが行える仮想マシン(以下，事務VMという)を，開発部の従業員であれば事務業務及びソフトウェア開発業務が行える仮想マシン(以下，開発VMという)を割り当てる。また，VDIサーバは，事務VMには 192.168.64.0/24，開発VMには 192.168.65.0/24 の範囲で使用されていないIPアドレスを一つ選択して割り当てる。」

FWのルールでは送信元のIPアドレスを

192.168.64.0/２３　

としています。

/２３　は　プレフィックス長といい　ネットワーク部の長さを表しています。

この数値が小さくなると、FW許容する範囲が広くなります。（言い換えるとざるになる）

あて先は開発サーバセグメントなので、開発VDIのみを許可する場合は

192.168.65.0/24　でいいはずですよね？

どこのセグメントからの通信を許可しているかを確認するためには

IPアドレスは８ビットづつピリオドがついているのでプレフィックス長が８、１６、２４の場合はピリオドを基準にネットワーク部とホスト部の区切りが分かります。

ただ、今回は/23と中途半端なので１０進数を２進数に直してどこからの通信を許可しているかを見ていきましょう。

ただ、やみくもにすべてのセグメントを行う必要はなく、選択肢に

事務用VM、開発用VMとあるのでそれに特化してみていきましょう。

【事務用VM】192.168.64.0/24
 11000000 10101000 01000000 00000000
【開発用VM】192.168.65.0/24
 11000000 10101000 01000001 00000000

【FWルール】192.168.64.0/23
11000000 10101000 01000000 00000000

太字部分が事務用VM,開発用VMと一致しているので事務用VMからアクセスできてしまいます。

ア　開発PCから開発サーバにアクセスできない
　　→No６のルールでアクセス可能
イ　開発VMから開発サーバにアクセスできない
　　→No７のルールでアクセス可能
ウ　事務PCから開発サーバにアクセスできる
　　→定義されていないのでアクセスできない

エ　事務VMから開発サーバにアクセスできる
　　→先ほどの説明の通り

では次の　b　の部分を見ていきましょう

「ルール番号7の条件について，送信元をbに変更した。」

先ほど説明したように開発VMに特化すればいいですよね？

【開発用VM】192.168.65.0/24
 11000000 10101000 01000001 00000000

オが該当します（aを解いている間におのずとbが導けます）

設問2
シンクライアント端末から開発サーバにアクセスするときの接続経路として適切な答えを，解答群の中から選べ。

解答群
ア　シンクライアント端末→VDIサーバ→VPNサーバ→開発PC→開発サーバ

イ　シンクライアント端末→VDIサーバ→VPNサーバ→開発VM→開発サーバ

ウ　シンクライアント端末→VDIサーバ→開発VM→開発PC→開発サーバ

エ　シンクライアント端末→VPNサーバ→VDIサーバ→開発PC→開発サーバ

オ　シンクライアント端末→VPNサーバ→VDIサーバ→開発VM→開発サーバ

カ　シンクライアント端末→VPNサーバ→開発PC→開発VM→開発サーバ

これは問題本文とネットワーク構成図を突き合わせながら、経路を確認すれば答えが導けます。

①利用者は，シンクライアント端末のVPNクライアントを起動して，VPNサーバに接続する。

②VPNサーバは，VPNクライアントが提示するクライアント証明書を検証する。検証に成功した場合，処理を継続する。

③VPNサーバは，利用者を認証する。認証が成功した場合，VPNクライアントに対して，192.168.16.0/24 の範囲で使用されていないIPアドレスを一つ選択して割り当てる。

④VPNクライアントは，③で割り当てられたIPアドレスを使用して，VPNサーバ経由でA社のネットワークに接続する。

⑤利用者は，シンクライアント端末のVDIクライアントを起動して，VDIサーバに接続する。

⑥VDIサーバは，VPNサーバで認証された利用者が開発部以外の従業員であれば事務業務だけが行える仮想マシン(以下，事務VMという)を，開発部の従業員であれば事務業務及びソフトウェア開発業務が行える仮想マシン(以下，開発VMという)を割り当てる。また，VDIサーバは，事務VMには 192.168.64.0/24，開発VMには 192.168.65.0/24 の範囲で使用されていないIPアドレスを一つ選択して割り当てる。

⓻利用者は，仮想マシンにログインして業務を開始する。VDIクライアントと仮想マシンとの間では，画面データ，並びにキーボード及びマウスの操作データだけが送受信される

設問３　
A社がテレワークの検討を進める過程で，"常に同一の業務環境を使用できるように，テレワークで働くときだけでなく，事務PC及び開発PCからも仮想マシンを使用したい"との要望が挙がった。検討した結果，この要望に応えてもセキュリティ上のリスクは変わらないと判断した。また，A社のネットワーク内からアクセスするのでVPNで接続する必要はなく，利用者認証をVPNサーバではなくVDIサーバで行えばよいことを確認した。
　この要望に応えるとき，表1のルール案に必要な変更として適切な答えを，解答群の中から選べ。ここで，表1のルール番号7の送信元には，設問1で選択した適切な答えが設定されているものとする。

ア　変更する必要はない。

イ　ルール番号3と4の間に，送信元を 192.168.0.0/23，宛先を 192.168.64.0/20，
　　サービスをVDI，及び動作を許可とするルールを新たに挿入する必要がある。

ウ　ルール番号3と4の間に，送信元を 192.168.64.0/23，宛先を 192.168.0.0/23，
　　サービスをVDI，及び動作を許可とするルールを新たに挿入する必要がある。

エ　ルール番号3と4の間に，送信元をインターネット，宛先を 192.168.64.0/20，
　　サービスをVDI，及び動作を許可とするルールを新たに挿入する必要がある。

一言でいえば事務PC,開発PCからVDIを使いたい
↓
今のFWルールでは当てはまるものが無くはじかれる
↓
追加すべきルール
ア→　変更する必要ある
エ→　社内からのアクセスなので　送信元はインターネットはあり得ない

送信元を 192.168.0.0/23
　→先ほどのプレフィックス長の考え方より
以下、両方OK

事務PC
192.168.0.0/24
開発PC
192.168.1.0/24

宛先を 192.168.64.0/20
　→VDIサーバなので正しい

よって、イ　ルール番号3と4の間に，送信元を 192.168.0.0/23，宛先を 192.168.64.0/20，
　　サービスをVDI，及び動作を許可とするルールを新たに挿入する必要がある。

【IT用語辞典】高校情報１プログラミング／ 情報処理技術者試験対策