ネットワークの更改に関する次の記述を読んで,設問1〜3に答えよ。
〔現状のネットワーク〕
A社は,精密機械部品を製造する中小企業であり,敷地内に事務所と工場がある。事務所には電子メール(以下,メールという)送受信やビジネス資料作成などのためのOAセグメントと,社外との通信を行うDMZが設置されている。工場には工作機械やセンサを制御するための制御セグメントと,制御サーバと操作端末のアクセスログ(以下,ログデータという)や制御セグメントからの測定データを管理するための管理セグメントが設置されている。
センサや工作機械を制御するコントローラの通信は制御セグメントに閉じた設計としているので,事務所と工場の間は,ネットワークで接続されていない。また制御セグメントと管理セグメントの間には,制御サーバが設置されているがルーティングは行わない。
操作端末は,制御サーバを介してコントローラに対し設定値やコマンドを送出する。コントローラは,常に測定データを制御サーバに送信する。制御サーバは,収集した測定データを1日1回データヒストリアンに送る。データヒストリアンは,ログデータ及び測定データを蓄積する。
A社ネットワークの構成を,図1に示す。
図1 A社ネットワークの構成(抜粋)
ログデータの転送は,イベント通知を転送する標準規格(RFC5424)の a プロトコルを利用している。データヒストリアンに蓄積された測定データとログデータは,ファイル共有プロトコルで操作端末に共有され,社員がUSBメモリを用いてOAセグメント内のPCに1週間に1回複製する。
制御サーバ,操作端末及びデータヒストリアンのソフトウェア更新は,必要の都度,OAセグメントのPCでインターネットからダウンロードしたソフトウェア更新ファイルを,USBメモリを用いて操作端末に複製した上で実施される。
A社の社員は,PCでメールの閲覧やインターネットアクセスを行う。OAセグメントからインターネットへの通信はDMZ経由としており,DMZには社外とのメールを中継する外部メールサーバと,OAセグメントからインターネットへのWeb通信を中継するプロキシサーバがある。DMZにはグローバルIPアドレスが,OAセグメントにはプライベートIPアドレスがそれぞれ用いられている。
社員のメールボックスをもつ内部メールサーバと,プロキシサーバは,ユーザ認証のためにLDAPサーバを参照する。プロキシサーバのユーザ認証には,Base64でエンコードするBasic認証方式と,MD5やSHA-256でハッシュ化する b 認証方式があるが,A社では後者の方式を採用している。また,プロキシサーバは,HTTPの c メソッドでトンネリング通信を提供し,トンネリング通信に利用する通信ポートを443に限定する。
〔ネットワークの更改方針〕
A社では,USBメモリ紛失によるデータ漏えいの防止,測定データのリアルタイムの可視化,及び過去の測定データの蓄積のために,USBメモリの利用を廃止し,工場と事務所をネットワークで接続することにした。A社技術部のBさんが指示された内容を次に示す。
(a)データヒストリアンにあるログデータをPCにファイル送信できるようにする。またPCにダウンロードしたソフトウェア更新ファイルを操作端末にファイル送信できるようにする。
(b)測定データの統計処理を行い時系列グラフとして可視化するサーバと,長期間の測定データを加工せずそのまま蓄積するサーバをOAセグメントに設置する。
(c)セキュリティ維持のために,工場の制御セグメント及び管理セグメントと,事務所のOAセグメントとの間はルーティングを行わない。
Bさんは,工場のネットワークを設計したベンダに実現方式を相談した。指示(a)と(c)については,ファイル転送アプライアンス(以下,FTAという)がベンダから提案された。指示(b)と(c)については,ネットワークパケットブローカ(以下,NPBという),可視化サーバ,キャプチャサーバがベンダから提案された。
Bさんがベンダから提案を受けた,A社ネットワークの構成を図2に示す。
図2 ベンダが提案したA社ネットワークの構成(抜粋)
〔管理セグメントとOAセグメント間のファイルの受渡し〕
FTAは,分離された二つのネットワークでルーティングすることなくファイルの受渡しができるアプライアンスである。ファイルの送信者は,①FTAにWebブラウザを使ってログインし,受信者を指定してファイルをアップロードする。ファイルの受信者は,FTAにWebブラウザを使ってログインし,自身が受信者として指定されたファイルだけをダウンロードできる。
FTAの機能を使い,ファイルの受渡しの際に上長承認手続を必須にする。上長への承認依頼,受信者へのファイルアップロード通知は,FTAが自動的にメールを送信して通知する。承認は設定された上長だけが行うことができる。
Bさんが検討したFTAの利用時の流れを,表1に示す。
表1 FTAの利用時の流れ
②指示(c)のとおり,FTAには静的経路や経路制御プロトコルの設定は行わない。③FTAは,認証及び認可に必要な情報について,既存のサーバを参照する。
Bさんは,ベンダからFTAを借りて想定どおりに動作をすることを確認した。
〔測定データの可視化〕
NPBは事前に入力ポート,出力ポートを設定し,入力したパケットを複数の出力ポートに複製する装置である。NPBではフィルタリングを設定して,複製するパケットを絞り込むことができる。可視化サーバは複製されたパケット(以下,ミラーパケットという)を受信して統計処理を行い,時系列グラフによって可視化をすることができる。キャプチャサーバは大容量のストレージをもち,ミラーパケットをそのまま長期間保存することができ,必要時にファイルに書き出すことができる。
Bさんは,NPBの動作の詳細についてベンダに確認した。Bさんとベンダの会話を次に示す。
Bさん:L2SWとNPBの転送方式は,何が違うのですか。
ベンダ:L2SWの転送方式では,受信したイーサネットフレームのヘッダにある送信元MACアドレスとL2SWの入力ポートをMACアドレステーブルに追加します。フレームを転送するときは,宛先MACアドレスがMACアドレステーブルに学習済みかどうかを確認した上で,学習済みの場合には学習されているポートに転送します。宛先MACアドレスが学習されていない場合は d します。
これに対してNPBの転送方式では,入力ポートと出力ポートの組合せを事前に定義して通信路を設定します。今回のA社の構成では,一つの入力ポートに対して出力ポートを二つ設定し,パケットの複製を行っています。
NPBの入力は,L2SWからのミラーポートと接続する方法と,ネットワークタップと接続する方法の二つがあります。ネットワークタップは,既存の配線にインラインで接続し,パケットをNPBに複製する装置です。今回検討したネットワークタップを使う方法では,送信側,受信側,それぞれの配線でパケットを複製するので,NPBの入力ポートは2ポート必要です。④今回採用する方法では,想定トラフィック量が少ないので既存のL2SWのミラーポートを用います。NPBにつながるケーブルは全て1000BASE-SXです。
Bさんは,ベンダへの確認結果を基にA社におけるNPBによる測定データの送信について整理した。その内容を次に示す。
・可視化サーバとキャプチャサーバをOAセグメントに設置する。
・コントローラは,更改前と同様に測定データを制御サーバに常時送信する。
・⑤制御セグメントに設置されているL2SWの特定ポートにミラー設定を行い,L2SWの該当ポートの送信側,受信側,双方のパケットを複製してNPBに送信させる。
・NPBは受信したミラーパケットを必要なパケットだけにフィルタリングした後に再度複製し,⑥可視化サーバとキャプチャサーバに送信する。
Bさんは,FTA,NPBによるネットワーク接続方式を上司に説明し,承認を得た。
設問1 〔現状のネットワーク〕について(1),(2)に答えよ。
(1)本文中の a 〜 c に入れる適切な字句を答えよ。
解答・解説
解答例
a:Syslog
b:ダイジェスト
c:CONNECT
解説
ー
(2)外部からアクセスできるサーバをFWによって独立したDMZに設置すると,OAセグメントに設置するのに比べて,どのようなセキュリティリスクが軽減されるか。40字以内で答えよ。
解答・解説
解答例
社外からサーバに侵入されたときに OA セグメントの機器に侵入されるリスク
解説
ー
設問2 〔管理セグメントとOAセグメント間のファイルの受渡し〕について,(1)〜(3)に答えよ。
(1)本文中の下線①について,利用者の認証を既存のサーバで一元的に管理する場合,どのサーバから認証情報を取得するのが良いか。図2中の字句を用いて答えよ。
解答・解説
解答例
LDAP サーバ
解説
ー
(2)本文中の下線②について,FTAにアクセスできるのはどのセグメントか。図2中の字句を用いて全て答えよ。
解答・解説
解答例
管理セグメント,OA セグメント
解説
ー
(3)本文中の下線③について,FTAにおいて認証と認可はそれぞれ何をするために使われるか。違いが分かるようにそれぞれ25字以内で述べよ。
解答・解説
解答例
認証:FTA の利用者が本人であることを確認するため
認可:操作ごとに実行権限を有するかを確認するため
解説
ー
設問3 〔測定データの可視化〕について(1)〜(5)に答えよ。
(1)本文中の d に入れる適切な字句を答えよ。
解答・解説
解答例
フラッディング
解説
ー
(2)本文中の下線④について,L2SWからミラーパケットでNPBにデータを入力する場合,ネットワークタップを用いてNPBにデータを入力する方式と比べて,性能面でどのような制約が生じるか。40字以内で述べよ。
解答・解説
解答例
送信側と受信側のトラフィックを合計 1G ビット/秒までしか取り込めない。
解説
ー
(3)本文中の下線⑤について,1ポートだけからミラーパケットを取得する設定にする場合には,どの装置が接続されているポートからミラーパケットを取得するように設定する必要があるか。図2中の字句を用いて答えよ。
解答・解説
解答例
制御サーバ
解説
ー
(4)本文中の下線6について,サーバでミラーパケットを受信するためにはサーバのインタフェースを何というモードに設定する必要があるか答えよ。また,このモードを設定することによって,設定しない場合と比べどのようなフレームを受信できるようになるか。30字以内で答えよ。
解答・解説
解答例
モード:プロミスキャス
フレーム:宛先 MAC アドレスが自分の MAC アドレス以外のフレーム
解説
ー
(5)キャプチャサーバに流れるミラーパケットが平均100kビット/秒であるとき,1,000日間のミラーパケットを保存するのに必要なディスク容量は何Gバイトになるか。ここで,1kビット/秒は10³ビット/秒,1Gバイトは10⁹バイトとする。ミラーパケットは無圧縮で保存するものとし,ミラーパケット以外のメタデータの大きさは無視するものとする。
解答・解説
解答例
1,080
解説
ー
IPA公開情報
出題趣旨
IoT 技術が普及・拡大していく中で,これまで閉域で利用する前提であったネットワークをほかのネットワークに接続しなければならないという利用シーンが増えている。
事務所の OA セグメントにある IT システムと,センサや工作機械を接続する制御セグメントにある OT(Operational Technology)システムの連携がその例である。
両システムの連携では,特に OT システムについて,増大するセキュリティ脅威とそれに対するセキュリティ対策が課題になっている。
本問では,IT システムと OT システムの接続を題材に,認証,認可及びパケット転送についての知識・経験を問う。
採点講評
問 1 では,IT システムと OT(Operational Technology)システムの接続を題材に,認証,認可及びパケット転送について出題した。全体として正答率は平均的であった。
設問 1(1)は,正答率が低かった。ネットワーク運用において Syslog プロトコルによるログ収集は,故障時やセキュリティインシデント発生時の分析によく実施される。プロトコル名だけでなく,内容についても理解を深めてほしい。
設問 2(3)は,正答率がやや高かった。ゼロトラストセキュリティの普及に伴い,認証と認可はネットワーク技術者にとっても必須の知識となっている。認証と認可をセットで覚えるだけではなく,それらの違いについてもよく理解しておいてほしい。
設問 3(2)は,正答率がやや低かった。本問ではボトルネックが存在する構成であったが,そこに気づいていない受験者が多かった。解答の際には,下線部だけを読んで解答するのではなく,本文全体を理解するよう心掛けてほしい。
