NW 令和4年度春期午後Ⅱ 問1

テレワーク環境の導入に関する次の記述を読んで，設問1〜5に答えよ。

　K社は，東京に本社を構える中堅の製造業者である。東京の本社のほかに，大阪の支社，及び関東圏内のデータセンタがある。このたびK社では，テレワーク環境を導入し，K社社員が自宅などをテレワーク拠点として，個人所有のPC（以下，個人PCという）を利用して業務を行う方針を立てた。また，業務の重要性から，ネットワークの冗長化を行うことにした。これらの要件に対応するために，情報システム部のP主任が任命された。K社の現行のネットワーク及び導入予定の機器を図1に示す。

図1　K社の現行のネットワーク及び導入予定の機器（抜粋）

〔現行のネットワーク構成〕
　図1の概要を次に示す。

・本社，支社，データセンタはM社の広域イーサネットで接続されている。

・サーバセグメントに設置された業務サーバに，社内のPCからアクセスして各種業務を行っている。

・FWは，社内からインターネットへのアクセスのためにアドレス変換（NAPT）を行っている。

・FWでDMZを構成し，DMZにはグローバルIPアドレスが割り当てられている。

・DMZ以外の社内の全てのセグメントは，プライベートIPアドレスが割り当てられている。

・経路制御の方式は，OSPFが用いられている。

・本社のネットワークアドレスには，172.16.1.0/24を割り当てている。

・支社のネットワークアドレスには，172.16.2.0/24を割り当てている。

・データセンタのネットワークアドレスには，172.17.0.0/16を割り当てている。

〔テレワーク環境導入方針〕
　P主任は，テレワーク環境構築に当たって，導入方針を次のように定め，技術検討を進めることにした。

・テレワーク拠点の個人PCには業務上のデータを一切置かない運用とするために，仮想デスクトップ基盤（以下，VDIという）の技術を採用する。

・データセンタのテレワークサーバセグメントにVDIサーバを導入する。VDIサーバでは，個人ごとの仮想化されたPC（以下，仮想PCという）を稼働させ，個人PCから遠隔で仮想PCを利用可能にする。

・個人PCには，仮想PCの画面を操作するソフトウェア（以下，VDIクライアントという）を導入する。

・仮想PCから，業務サーバへアクセスして業務を行う。社内のPCからは直接業務サーバへアクセスできるので，社内のPCから仮想PCは利用しない。

・DMZにSSL-VPN装置を導入して，テレワーク拠点の個人PCからデータセンタのテレワークサーバセグメントへのアクセスを実現する。

・情報セキュリティの観点から，SSL-VPNアクセスのための認証は，個人ごとに事前に発行したクライアント証明書を用いて行う。

・SSL-VPN装置は，個人PCからの接続時の認証に応じて適切な仮想PCを特定する。そして，個人PCからその仮想PCへのVDIの通信を中継する。このような機能をもつSSL-VPN装置を選定する。

・テレワークを行う利用者は最大200人とする。

〔SSL-VPN技術調査とテレワーク環境への適用〕
　P主任は，テレワーク拠点からインターネットを介した社内へのアクセスを想定して，SSL-VPNの技術について調査を行い，結果を次のようにまとめた。

・SSL-VPNは，TLSプロトコルを利用したVPN技術である。

・TLSプロトコルは，HTTPS（HTTPoverTLS）通信で用いられる暗号化プロトコルであり，インターネットのような公開ネットワーク上などで安全な通信を可能にする。

・TLSプロトコルのセキュリティ機能は，暗号化，通信相手の認証，及び　　ア　　である。

・SSL-VPNは，リバースプロキシ方式，ポートフォワーディング方式，　　イ　　方式の3方式がある。

・リバースプロキシ方式のSSL-VPNは，インターネットからアクセスできない社内のWebアプリケーションへのアクセスを可能にする。

・ポートフォワーディング方式のSSL-VPNは，社内のノードに対してTCP又はUDPの任意の　　ウ　　へのアクセスを可能にする。

・　　イ　　方式のSSL-VPNは，動的にポート番号が変わるアプリケーションプログラムでも社内のノードへのアクセスを可能にする。

・リバースプロキシ方式以外のSSL-VPNを利用するためには，SSL-VPN接続を開始するテレワーク拠点のPCに，SSL-VPN接続を行うためのクライアントソフトウェモジュール（以下，SSL-VPNクライアントという）が必要である。

・TLSプロトコルは，複数のバージョンが存在するが，TLS1.3はTLS1.2よりも安全性が高められている。一例を挙げると，TLS1.3ではAEAD（Authenticated Encryption with Associated Data）暗号利用モードの利用が必須となっており，①セキュリティに関する二つの処理が同時に行われる。

・TLSプロトコルで用いられる電子証明書の形式は，X.509によって定められている。

・認証局（以下，CAという）によって発行された電子証明書には，②証明対象を識別する情報，有効期限，　　エ　　鍵，シリアル番号，CAのデジタル署名といった情報が含まれる。

　P主任は，SSL-VPNの技術調査結果を踏まえ，テレワーク環境への適用を次のとおり定めた。

・SSL-VPNクライアント，クライアント証明書，及びVDIクライアントを，あらかじめ個人PCに導入する。

・SSL-VPN装置へのアクセスポートは，TCPの443番ポートとする。

・SSL-VPN装置で利用するTLSプロトコルのバージョンは，TLS1.3を用い，それ以外のバージョンが使われないようにする。

・仮想PCへのアクセスのプロトコルはRDPとし，TCPの3389番ポートを利用する。

・SSL-VPN装置がRDPだけで利用されることを踏まえ，SSL-VPNの接続方式は　　オ　　方式とする。

〔SSL-VPNクライアント認証方式の検討〕
　P主任は，個人PCからSSL-VPN装置に接続する際のクライアント認証の利用について整理した。

・個人PCからSSL-VPN装置に接続を行う時に利用者のクライアント証明書がSSL-VPN装置に送られ，③SSL-VPN装置はクライアント証明書を基にして接続元の身元特定を行う。K社においては，社員番号を利用者IDとしてクライアント証明書に含めることにする。

・TLSプロトコルのネゴシエーション中に，④クライアント証明書がSSL-VPN装置に送信され，SSL-VPN装置で検証される。

・⑤SSL-VPN装置からサーバ証明書が個人PCに送られ，個人PCで検証される。

　TLSプロトコルにおける鍵交換の方式には，クライアント側でランダムなプリマスタシークレットを生成して，サーバのRSA　　エ　　鍵で暗号化してサーバに送付することで共通鍵の共有を実現する，RSA鍵交換方式がある。また，Diffie-Hellmanアルゴリズムを利用する鍵交換方式で，DH公開鍵を静的に用いる方式もある。これらの方式は，⑥秘密鍵が漏えいしてしまったときに不正に復号されてしまう通信のデータの範囲が大きいという問題があり，TLS1.3以降では利用できなくなっている。TLS1.3で規定されている鍵交換方式は，　　カ　　，ECDHE，PSKの3方式である。

　さらにP主任は，クライアント証明書の発行に関して次のように検討した。

・クライアント証明書の発行に必要なCAを自社で構築して運用するのは手間が掛かるので，セキュリティ会社であるS社がSaaSとして提供する第三者認証局サービス（以下，CAサービスという）を利用する。

・新しいクライアント証明書が必要なときは，利用者の公開鍵と秘密鍵を生成し，公開鍵から証明書署名要求（CSR）を作成して，CAサービスへ提出する。CAサービスは，クライアント証明書を発行してよいかどうかをK社の管理者に確認するとともに，⑦CSRの署名を検証して，クライアント証明書を発行する。

・クライアント証明書の失効が必要なときは，S社のCAサービスによって証明書失効手続を行うことによって，CAの証明書失効リストが更新される。証明書失効リストは，失効した日時と⑧クライアント証明書を一意に示す情報のリストになっている。

〔テレワーク環境構成の検討〕
　P主任は，ネットワーク構築ベンダQ社の担当者に相談して，Q社の製品を利用したテレワーク環境の構成を検討した。P主任が考えたテレワーク環境を図2に示す。また，図2の主要な構成要素の説明を表1に示す。

図2　P主任が考えたテレワーク環境

表1　図2の主要な構成要素

　SSL-VPN装置の⑨ユーザテーブルは，SSL-VPN接続時の処理に必要な情報が含まれるテーブルであり，仮想PCの起動時に自動設定される。
　SSL-VPN装置のNATテーブルは，SSL-VPNクライアントからの通信を適切な仮想PCに振り向けるためのテーブルである。SSL-VPN装置がSSL-VPNトンネルからVIP宛てのパケットを受けると，適切な仮想PCのIPアドレスにDNAT処理して送る。この処理のためにNATテーブルがあり，SSL-VPNで認証処理中にエントリが作成される。
　IPアドレスプールは，SSL-VPNクライアントに付与するIPアドレスのためのアドレスプールであり，172.16.3.1〜172.16.3.254を設定する。
　P主任が考えた，図2のテレワーク環境のVDIクライアントから仮想PCまでの接続シーケンスを図3に示す。

図3　VDIクライアントから仮想PCまでの接続シーケンス（抜粋）

図3の動作の概要を次に示す。

（1）個人PCでSSL-VPNクライアントとVDIクライアントを起動する。

（2）SSL-VPNクライアントは，SSL-VPN装置に対するアクセスを開始する。

（3）SSL-VPN装置は，クライアント証明書による認証を行う。

（4）SSL-VPNクライアントとSSL-VPN装置間に，TLSセッションが確立される。このTLSセッションはSSL-VPNトンネルとして利用する。

（5）SSL-VPN装置は，SSL-VPNクライアントに割り当てるIPアドレスを管理するためのIPアドレスプールからIPアドレスを割り当て，SSL-VPNクライアントに通知する。この割り当てられたIPアドレスを，クライアントIPという。

（6）SSL-VPN装置は，⑩ユーザテーブルを検索して得られるIPアドレスを用いて，NATテーブルのエントリを作成する。

（7）SSL-VPNクライアントは，localhost:3389の待ち受けを開始する。

（8）VDIクライアントは，localhost:3389へTCP接続を行う。

（9）SSL-VPNクライアントは，SSL-VPNトンネルを通じて，VIPの3389番ポートへ向けてのTCP接続を開始する。

（10）SSL-VPN装置は，VIPに届いた一連のパケットをDNAT処理して仮想PCに転送する。これによって，SSL-VPNクライアントと仮想PCの間にTCP接続が確立する（以下，この接続をリモート接続という）。

（11）SSL-VPNクライアントは，localhost:3389とリモート接続の間のデータ中継を行う。

上記の（1）〜（11）によって，VDIクライアントから仮想PCまでの接続が確立し，個人PCから仮想PCのデスクトップ環境が利用可能になる。

〔ネットワーク冗長化の検討〕
　次にP主任は，次のようにネットワークの冗長化を考えた。P主任が考えた新たな冗長化構成を図4に示す。

・PCと業務サーバの間のネットワーク機器のうち，PCを収容するL2SW以外の機器障害時に，PCから業務サーバの利用に影響がないようにする。

・拠点間接続の冗長化のために，新たにN社の広域イーサネットを契約する。その回線速度と接続トポロジは現行のM社広域イーサネットと同等とする。

・通常は，M社とN社の広域イーサネットの両方を利用する。

・本社にL2SW13，L2SW14，L3SW12，支社にL2SW23，L2SW24，L3SW22，データセンタにL2SW32〜L2SW35，L3SW32を新たに導入する。

・業務サーバのNICはチーミングを行う。

・サーバセグメントに接続されているL3SWはVRRPによって冗長化を行う。

・ネットワーク全体の経路制御はこれまでどおり，OSPFを利用し，OSPFエリアは全体でエリア0とする。

図4　P主任が考えた新たな冗長化構成（抜粋）

　全てのL3SWでOSPFを動作させ，冗長経路のOSPFのコストを適切に設定することによって，⑪OSPFのEqual Cost Multi-path機能（以下，ECMPという）が利用できると考え，図4に示すコスト設定を行うことにした。その場合，例えば⑫L3SW11のルーティングテーブル上には，サーバセグメントへの同一コストの複数の経路が確認できる。

　K社で利用しているL3SWのベンダにECMPの経路選択の仕様を問い合わせたところ，次の仕様であることが分かった。

・最大で四つの同一コストルートまでサポートする。

・動作モードとして，パケットモードとフローモードがある。

・パケットモードの場合，パケットごとにランダムに経路を選択し，フローモードの場合は，送信元IPアドレスと宛先IPアドレスからハッシュ値を計算して経路選択を行う。

　P主任は，K社の社内のPCと業務サーバ間の通信における⑬通信品質への影響を考慮して，フローモードを選択することにした。また，フローモードでも⑭複数回線の利用率がほぼ均等になると判断した。
次に，P主任は，サーバセグメントに接続されているL3SWの冗長化について，図5のように行うことにした。

図5　サーバセグメントに接続されているL3SWの冗長化

　図5において，L3SW31とL3SW32でVRRPを構成し，L3SW31がVRRPマスタとなるように優先度を設定する。また，L3SW31において，⑮図5中のa又はbでの障害をトラッキングするようにVRRPの設定を行う。これによって，a又はbのインタフェースでリンク障害が発生した場合でも，業務サーバからPCへのトラフィックの分散が損なわれないと考えた。

　P主任は，以上の技術項目の検討結果について情報システム部長に報告し，SSL-VPN導入，N社とS社サービス利用及びネットワーク冗長化について承認された。

設問1　本文中の　　ア　　〜　　カ　　に入れる適切な字句を答えよ。

解答・解説

解答例

　ア：改ざん検知
　イ：L2 フォワーディング
　ウ：ポート
　エ：公開
　オ：ポートフォワーディング
　カ：DHE

解説

　ー

設問2　〔SSL-VPN技術調査とテレワーク環境への適用]について，（1），（2）に答えよ。

（1）本文中の下線①について，同時に行われる二つのセキュリティ処理を答えよ。

解答・解説

解答例

　・暗号化
　・メッセージ認証

解説

　ー

（2）本文中の下線②について，電子証明書において識別用情報を示すフィールドは何か。フィールド名を答えよ。

解答・解説

解答例

　Subject

解説

　ー

　ー

設問4　〔テレワーク環境構成の検討〕について，（1），（2）に答えよ。

（1）本文中の下線⑨について，ユーザテーブルに含まれる情報を40字以内で答えよ。

解答・解説

解答例

　VDI 利用者の利用者 ID とその利用者の仮想 PC の IP アドレスの組

解説

　ー

（2）本文中の下線⑩について，検索のキーとなる情報はどこから得られるどの情報か。25字以内で答えよ。また，SSL-VPN装置は，その情報をどのタイミングで得るか。図3中の（I）〜（Ⅹ）の記号で答えよ。

解答・解説

解答例

　情報：クライアント証明書から得られる利用者 ID 情報タイミング：Ⅷ

解説

　ー

　ー

IPA公開情報

出題趣旨

　近年，企業におけるテレワーク導入が進みつつある。テレワークを実現するためには，社員が自宅にいながら会社の業務を安全に行えるネットワーク環境が求められる。そのために必要となる，重要なネットワーク技術の一つとして，VPN 技術を挙げることができる。また，テレワークにおける情報漏えいリスクを避けるための方策として，仮想デスクトップ基盤（VDI）環境が利用されることも一般的である。
　本問では，企業におけるテレワーク実現のための SSL-VPN 環境の構築，VDI 環境に関する技術的な考察，及び冗長ネットワーク構築を題材に，テレワーク時代に必要となるネットワーク構築スキルを問う。

採点講評

　問 1 では，企業におけるテレワークのための SSL-VPN 環境の構築，仮想デスクトップ基盤（VDI）環境に関する技術的な考察，及び冗長ネットワーク構築を題材に，テレワーク時代に必要となるネットワークを構築するための技術について出題した。全体として正答率は平均的であった。
　設問 3 は，TLS プロトコルのベースとなっている PKI 技術の基本や，クライアント証明書による認証の基本を問う問題であるが，(1)，(4)の正答率が低かった。基本的な事柄を理解していないと思われる解答が散見されたが，これらの技術は安全なネットワークの構築のために重要なので，正確に理解してほしい。
　設問 5 は，OSPF の等コスト経路の経路選択や VRRP と合わせた冗長経路に関する問題であるが，(2)のうち，コストの正答率が低かった。OSPF による経路制御や VRRP と組み合わせた経路冗長化はよく利用されるので，理解を深めてほしい。

前問ナビ次問

資格部

資格・検定の試験情報、対策方法、問題解説などをご紹介

NW 令和4年度春期午後Ⅱ 問1

解答例

解説

解答例

解説

解答例

解説

解答例

解説

解答例

解説

解答例

解説

解答例

解説

解答例

解説

解答例

解説

解答例

解説

解答例

解説

解答例

解説

解答例

解説

解答例

解説

解答例

解説

解答例

解説

IPA公開情報

出題趣旨

採点講評