セキュアゲートウェイサービスの導入に関する次の記述を読んで,設問1〜3に答えよ。
N社は,国内に本社及び一つの営業所をもつ,中堅の機械部品メーカである。従業員は,N社が配布するPCを本社又は営業所のLANに接続して,本社のサーバ,及びSaaSとして提供されるP社の営業支援サービスを利用して業務を行っている。
N社は,クラウドサービスの利用を進め,従業員のテレワーク環境を整備することにした。N社の情報システム部は,本社のオンプレミスのサーバからQ社のPaaSへの移行と,Q社のセキュアゲートウェイサービス(以下,SGWサービスという)の導入を検討することになった。SGWサービスは,PCがインターネット上のサイトに接続する際に,送受信するパケットを本サービス経由とすることによって,ファイアウォール機能などの情報セキュリティ機能を提供する。
〔現行のネットワーク構成〕
N社の現行のネットワーク構成を図1に示す。
図1 N社の現行のネットワーク構成(抜粋)
N社の現行システムの概要を次に示す。
・本社及び営業所のLANは,IPsecルータを利用したIPsec VPNで接続している。
・本社及び営業所のIPsecルータは,IPsec VPNを確立したときに有効化される仮想インタフェース(以下,トンネルIFという)を利用して相互に接続する。
・営業所のPCからP社営業支援サービス宛てのパケットは,営業所のIPsecルータ,本社のIPsecルータ,L3SW,FW及びインターネットを経由してP社営業支援サービスに送信される。
・FWは,パケットフィルタリングによるアクセス制御と,NAPTによるIPアドレスの変換を行う。
・P社営業支援サービスでは,①特定のIPアドレスから送信されたパケットだけを許可するアクセス制御を設定して,本社のFWを経由しない経路からの接続を制限している。
本社及び営業所のIPsecルータは,LAN及びインターネットのそれぞれでデフォルトルートを使用するために,VRF(Virtual Routing and Forwarding)を利用して二つの a テーブルを保持し,経路情報をVRFの識別子(以下,VRF識別子という)によって識別する。ネットワーク機器のVRFとインタフェース情報を表1に,ネットワーク機器に設定しているVRFと経路情報を表2に示す。
表1 ネットワーク機器のVRFとインタフェース情報(抜粋)
表2 ネットワーク機器に設定しているVRFと経路情報(抜粋)
N社のネットワーク機器に設定している経路制御を,次に示す。
・本社のFW,L3SW及びIPsecルータには,OSPFによる経路制御を稼働させるための設定を行っている。
・本社のFWには,OSPFにデフォルトルートを配布する設定を行っている。
・②本社のIPsecルータには,営業所のIPsecルータとIPsec VPNを確立するために,静的なデフォルトルートを設定している。
・本社及び営業所のIPsecルータには,営業所のPCが通信するパケットをIPsecVPNを介して転送するために,トンネルIFをネクストホップとした静的経路を設定している。
・本社のIPsecルータには,OSPFに③静的経路を再配布する設定を行っている。
〔新規ネットワークの検討〕
Q社のPaaS及びSGWサービスの導入は,N社の情報システム部のR主任が担当することになった。R主任が考えた新規ネットワーク構成と通信の流れを図2に示す。
図2 R主任が考えた新規ネットワーク構成と通信の流れ(抜粋)
R主任が考えた新規ネットワーク構成の概要を次に示す。
・本社のサーバ上で稼働するシステムを,Q社PaaSへ移行する。
・Q社SGWサービスを利用するために,本社及び営業所に導入する新IPsecルータ,並びにTPCは,Q社SGWサービスのPOPという接続点にトンネルモードのIPsec VPNを用いて接続する。
・PC及びTPCからP社営業支援サービス宛てのパケットは,Q社SGWサービスのPOPとFW機能及びインターネットを経由してP社営業支援サービスに送信される。
・Q社SGWサービスのFW機能は,パケットフィルタリングによるアクセス制御と,NAPTによるIPアドレスの変換を行う。
R主任は,POPとの接続に利用するIPsec VPNについて,検討した。
IPsec VPNには,IKEバージョン2と,ESPのプロトコルを用いる。新IPsecルータ及びTPCとPOPは,IKESAを確立するために必要な,暗号化アルゴリズム,疑似ランダム関数,完全性アルゴリズム及びDiffie-Hellmanグループ番号を,ネゴシエーションして決定し,IKESAを確立する。次に,新IPsecルータ及びTPCとPOPは認証及びChildSAを確立するために必要な情報を,IKESAを介してネゴシエーションして決定し,ChildSAを確立する。
新IPsecルータ及びTPCは,IPsec VPNを介して転送する必要があるパケットを長さを調整するESPトレーラを付加して e 化する。次に,新しい g ヘッダと, g SAを識別するためのESPヘッダ及びESP認証データを付加して,POP宛てに送信する。
R主任は,IPsec VPNの構成に用いるパラメータについて,現行の設計と比較検討した。検討したパラメータのうち,鍵の生成に用いるアルゴリズムと h を定めているDiffie-Hellmanグループ番号には,現行では1を用いているが,POPとの接続では1よりも h の長い14を用いた方が良いと考えた。
〔接続テスト〕
Q社のPaaS及びSGWサービスの導入を検討するに当たって,Q社からテスト環境を提供してもらい,本社,営業所及びテレワーク拠点から,Q社PaaS及びP社営業支援サービスを利用する接続テストを行うことになった。
R主任は,接続テストを行う準備として,P社営業支援サービスに設定しているアクセス制御を変更する必要があると考えた。P社営業支援サービスへの接続を許可するIPアドレスには,Q社SGWサービスのFW機能でのNAPTのために,Q社SGWサービスから割当てを受けた固定のグローバルIPアドレスを設定する。R主任は,Q社SGWサービスがN社以外にも提供されていると考えて,④NAPTのためにQ社SGWサービスから割当てを受けたグローバルIPアドレスのサービス仕様を,Q社に確認した。
テスト環境を構築したR主任は,Q社PaaS及び⑤P社営業支援サービスの応答時間の測定を確認項目の一つとして,接続テストを実施した。
R主任は,N社の幹部に接続テストの結果に問題がなかったことを報告し,Q社のPaaS及びSGWサービスの導入が承認された。
設問1 〔現行のネットワーク構成〕について,(1)〜(6)に答えよ。
(1)本文中の下線①のIPアドレスを,表1中のIPアドレスで答えよ。
解答・解説
解答例
a.b.c.d
解説
ー
(2)本文中の a に入れる適切な字句を答えよ。
解答・解説
解答例
ルーティング
解説
ー
(3)表2中の b 〜 d に入れる適切な字句を,表2中の字句を用いて答えよ。
解答・解説
解答例
b:本社の L3SW
c:静的経路制御
d:静的経路制御
解説
ー
(4)“本社のIPsecルータ”が,営業所のPCからP社営業支援サービス宛てのパケットを転送するときに選択する経路は,表2中のどれか。VRF識別子及び宛先ネットワークを答えよ。
解答・解説
解答例
VRF 識別子:65000:2
宛先ネットワーク:0.0.0.0/0
解説
ー
(5)本文中の下線②について,デフォルトルート(宛先ネットワーク0.0.0.0/0の経路)が必要になる理由を,40字以内で述べよ。
解答・解説
解答例
ISP が割り当てる営業所の IPsec ルータの IP アドレスが動的だから
解説
ー
(6)本文中の下線③の宛先ネットワークを,表2中の字句を用いて答えよ。
解答・解説
解答例
172.17.1.0/24 又は 営業所の LAN
解説
ー
設問2 〔新規ネットワークの検討〕について,(1),(2)に答えよ。
(1)本文中の e 〜 h に入れる適切な字句を答えよ。
解答・解説
解答例
e:暗号
f:IP
g:Child
h:鍵長
解説
ー
(2)POPとのIPsec VPNを確立できない場合に,失敗しているネゴシエーションを特定するためには,何の状態を確認するべきか。本文中の字句を用いて二つ答えよ。
解答・解説
解答例
・IKE SA
・Child SA
解説
ー
設問3 〔接続テスト〕について(1),(2)に答えよ。
(1)本文中の下線④について,情報セキュリティの観点でR主任が確認した内容を,20字以内で答えよ。
解答・解説
解答例
N 社専用の IP アドレスであること
解説
ー
(2)本文中の下線⑤について,P社営業支援サービスの応答時間が,現行よりも長くなると考えられる要因を30字以内で答えよ。
解答・解説
解答例
Q 社 SGW サービスの経由によって発生する遅延
解説
ー
IPA公開情報
出題趣旨
クラウドサービスの利用が増加し,また,テレワーク環境を導入するに当たり,現行のネットワーク構成を変更して,セキュアゲートウェイサービスを導入する企業が増えている。利用形態に応じた情報セキュリティ対策は,多くの企業において重要な課題である。
このような状況を基に,本問では,セキュアゲートウェイサービスの導入を事例に取り上げ,IPsec VPN を利用した接続,及びセキュアゲートウェイサービス導入後の通信制御を解説した。
VRF を用いたネットワーク設計と,IPsec VPN の設計・構築,セキュアゲートウェイサービス導入後の通信制御を題材に,受験者が修得した技術・経験が,ネットワーク及び情報セキュリティの設計・構築の実務で活用できる水準かどうかを問う。
採点講評
問 2 では,セキュアゲートウェイサービスの導入を題材に,VRF を用いたネットワーク設計,IPsec VPN, IKEv2 及び ESP についての知識,セキュアゲートウェイサービスとの接続について出題した。全体として正答 率は平均的であった。
設問 1(5)は,正答率が低かった。営業所の IPsec ルータには ISP から動的なグローバル IP アドレスが割り当てられるので,インターネットに接続するインタフェースの IP アドレスが変わる可能性がある。本文中に明記されているので,読み取ってほしい。
設問 2(1)は,正答率がやや低かった。IPsec の用語や VPN 確立までの動作について出題した。IPsec VPN を利用する場合は,IKE のバージョンや Diffie-Hellman グループ番号などを選択できるので,正しく理解してほ しい。
設問 3(2)は,正答率がやや高かった。セキュアゲートウェイサービスを経由しており,経路が長くなったり,サービス内で遅延が発生したりする可能性があることを,理解できていることがうかがわれた。
