NW 令和5年度春期午後Ⅱ 問2

ECサーバの増強に関する次の記述を読んで，設問に答えよ。

　Y社は，従業員300名の事務用品の販売会社であり，会員企業向けにインターネットを利用して通信販売を行っている。ECサイトは，Z社のデータセンター（以下，z-DCという）に構築されており，Y社の運用PCを使用して運用管理を行っている。
　ECサイトに関連するシステムの構成を図1に示し，DNSサーバに設定されているゾーン情報を図2に示す。

図1　ECサイトに関連するシステムの構成（抜粋）

図2　DNSサーバに設定されているゾーン情報（抜粋）

〔ECサイトに関連するシステムの構成，運用及びセッション管理方法〕

・会員企業の事務用品購入の担当者（以下，購買担当者という）は，Webブラウザでhttps://ecsv.example.jp/を指定してECサーバにアクセスする。

・運用担当者は，運用PCのWebブラウザでhttps://ecsv.y-sha.example.lan/を指定して，広域イーサ網経由でECサーバにアクセスする。

・ECサーバに登録されているサーバ証明書は一つであり，マルチドメインに対応していない。

・ECサーバは，アクセス元のIPアドレスなどをログとして管理している。

・DMZのDNSサーバは，ECサイトのインターネット向けドメインexample.jpと，社内向けドメインy-sha.example.lanの二つのドメインのゾーン情報を管理する。

・L3SWには，DMZへの経路とデフォルトルートが設定されている。

・運用PCは，DMZのDNSサーバで名前解決を行う。

・FWzには，表1に示す静的NATが設定されている。

表1　FWzに設定されている静的NATの内容（抜粋）

　ECサーバは，次の方法でセッション管理を行っている。

・Webブラウザから最初にアクセスを受けたときに，ランダムな値のセッションIDを生成する。

・Webブラウザへの応答時に，CookieにセッションIDを書き込んで送信する。

・WebブラウザによるECサーバへのアクセスの開始から終了までの一連の通信を，セッションIDを基に，同一のセッションとして管理する。

〔ECサイトの応答速度の低下〕
　最近，購買担当者から，ECサイト利用時の応答が遅くなったというクレームが入るようになった。そこで，Y社の情報システム部（以下，情シスという）のネットワークチームのX主任は，運用PCを使用して次の手順で原因究明を行った。

（1）購買担当者と同じURLでアクセスし，応答が遅いことを確認した。

（2）ecsv.example.jp及びecsv.y-sha.example

z.Lan宛てに，それぞれpingコマンドを発行して応答時間を測定したところ，両者の測定結果に大きな違いはなかった。

（3）FWzのログからはサイバー攻撃の兆候は検出されなかった。

（4）sshコマンドで①ecsv.y-sha.example.lanにアクセスしてCPU使用率を調べたところ，設計値を大きく超えていた。

　この結果から，X主任は，ECサーバが処理能力不足になったと判断した。

〔ECサーバの増強構成の設計〕
　X主任は，ECサーバの増強が必要になったことを上司のW課長に報告し，W課長からECサーバの増強構成の設計指示を受けた。
　ECサーバの増強策としてスケール　　g　　方式とスケール　　h　　方式を比較検討し，ECサイトを停止せずにECサーバの増強を行える，スケール　　h　　方式を採用することを考えた。
　X主任は，②ECサーバを2台にすればECサイトは十分な処理能力をもつことになるが，2台増設して3台にし，負荷分散装置（以下，LBという）によって処理を振り分ける構成を設計した。ECサーバの増強構成を図3に示し，DNSサーバに追加する社内向けドメインのリソースレコードを図4に示す。

図3　ECサーバの増強構成（抜粋）

図4　DNSサーバに追加する社内向けドメインのリソースレコード

　ECサーバ増強後，購買担当者がWebブラウザでhttps://ecsv.example.jp/を指定してECサーバにアクセスし，アクセス先が既設ECサーバに振り分けられたときのパケットの転送経路を図5に示す。

図5　既設ECサーバに振り分けられたときのパケットの転送経路

　導入するLBには，負荷分散用のIPアドレスである仮想IPアドレスで受信したパケットをECサーバに振り分けるとき，送信元IPアドレスを変換する方式（以下，ソースNATという）と変換しない方式の二つがある。図5中の（i）〜（ⅵ）でのIPヘッダーのIPアドレスの内容を表2に示す。

表2　図5中の（i）〜（vi）でのIPヘッダーのIPアドレスの内容

〔ECサーバの増強構成とLBの設定〕
　X主任が設計した内容をW課長に説明したときの，2人の会話を次に示す。

X主任：LBを利用してECサーバを増強する構成を考えました。購買担当者がECサーバにアクセスするときのURLの変更は不要です。

W課長：DNSサーバに対しては，図4のレコードを追加するだけで良いのでしょうか。

X主任：そうです。ECサーバの増強後も，図2で示したゾーン情報の変更は不要ですが，③図2中の項番5と項番11のリソースレコードは，図3の構成では図1とは違う機器の特別なIPアドレスを示すことになります。また，④図4のリソースレコードの追加に対応して，既設ECサーバに設定されている二つの情報を変更します。

W課長：分かりました。LBではソースNATを行うのでしょうか。

X主任：現在のECサーバの運用を変更しないために，ソースNATは行わない予定です。この場合，パケットの転送を図5の経路にするために，⑤既設ECサーバでは，デフォルトゲートウェイのIPアドレスを変更します。

W課長：次に，ECサーバのメンテナンス方法を説明してください。

X主任：はい。まず，メンテナンスを行うECサーバを負荷分散の対象から外し，その後に，運用PCから当該ECサーバにアクセスして，メンテナンス作業を行います。

W課長：X主任が考えている設定では，運用PCからECサーバとは通信できないと思いますが，どうでしょうか。

X主任：うっかりしていました。導入予定のLBはルータとしては動作しませんから，ご指摘の問題が発生してしまいます。対策方法として，ECサーバに設定するデフォルトゲートウェイを図1の構成時のままとし，LBではソースNATを行うとともに，⑥ECサーバ宛てに送信するHTTPヘッダーにX-Forwarded-Forフィールドを追加するようにします。

W課長：それで良いでしょう。ところで，図3の構成では，増設ECサーバにもサーバ証明書をインストールすることになるのでしょうか。

X主任：いいえ。増設ECサーバにはインストールせずに⑦既設ECサーバ内のサーバ証明書の流用で対応できます。

W課長：分かりました。負荷分散やセッション維持などの方法は設計済みでしょうか。

X主任：構成が決まりましたので，これからLBの制御方式について検討します。

〔LBの制御方式の検討〕
　X主任は，導入予定のLBがもつ負荷分散機能，セッション維持機能，ヘルスチェック機能の三つについて調査し，次の方式を利用することにした。

・負荷分散機能
　アクセス元であるクライアントからのリクエストを，負荷分散対象のサーバに振り分ける機能である。Y社のECサーバは，リクエストの内容によってサーバに掛かる負荷が大きく異なるので，ECサーバにエージェントを導入し，エージェントが取得した情報を基に，ECサーバに掛かる負荷の偏りを小さくすることが可能な動的振分け方式を利用する。

・セッション維持機能
　同一のアクセス元からのリクエストを，同一セッションの間は同じサーバに転送する機能である。アクセス元の識別は，IPアドレス，IPアドレスとポート番号との組合せ，及びCookieに記録された情報によって行う，三つの方式がある。IPアドレスでアクセス元を識別する場合，インターネットアクセス時に送信元IPアドレスが同じアドレスになる会員企業では，複数の購買担当者がアクセスするECサーバが同一になってしまう問題が発生する。⑧IPアドレスとポート番号との組合せでアクセス元を識別する場合は，TCPコネクションが切断されると再接続時にセッション維持ができなくなる問題が発生する。そこで，⑨Cookie中のセッションIDと振分け先のサーバから構成されるセッション管理テーブルをLBが作成し，このテーブルを使用してセッションを維持する方式を利用する。

・ヘルスチェック機能
　振分け先のサーバの稼働状態を定期的に監視し，障害が発生したサーバを負荷分散の対象から外す機能である。⑩ヘルスチェックは，レイヤー3，4及び7の各レイヤーで稼働状態を監視する方式があり，ここではレイヤー7方式を利用する。

　X主任が，LBの制御方式の検討結果をW課長に説明した後，W課長から新たな検討事項の指示を受けた。そのときの，2人の会話を次に示す。

W課長：運用チームから，ECサイトのアカウント情報の管理負荷が大きくなってきたので，管理負荷の軽減策の検討要望が挙がっています。会員企業からは自社で管理しているアカウント情報を使ってECサーバにログインできるようにして欲しいとの要望があります。これらの要望に応えるために，ECサーバのSAML2.0（Security Assertion Markup Language 2.0）への対応について検討してください。

X主任：分かりました。検討してみます。

〔SAML2.0の調査とECサーバへの対応の検討〕
　X主任がSAML2.0について調査して理解した内容を次に示す。

・SAMLは，認証・認可の要求/応答のプロトコルとその情報を表現するための標準規格であり，一度の認証で複数のサービスが利用できるシングルサインオン（以下，SSOという）を実現することができる。

・SAMLでは，利用者にサービスを提供するSP（Service Provider）と，利用者の認証・認可の情報をSPに提供するIdP（Identity Provider）との間で，情報の交換を行う。

・IdPは，SAMLアサーションと呼ばれるXMLドキュメントを作成し，利用者を介してSPに送信する。SAMLアサーションには，次の三つの種類がある。

（a）利用者がIdPにログインした時刻，場所，使用した認証の種類などの情報が記述される。

（b）利用者の名前，生年月日など利用者を識別する情報が記述される。

（c）利用者がもつサービスを利用する権限などの情報が記述される。

・SPは，IdPから提供されたSAMLアサーションを基に，利用者にサービスを提供する。

・IdP，SP及び利用者間の情報の交換方法は，SAMLプロトコルとしてまとめられており，メッセージの送受信にはHTTPなどが使われる。

・z-DCで稼働するY社のECサーバがSAMLのSPに対応すれば，購買担当者は，自社内のディレクトリサーバ（以下，DSという）などで管理するアカウント情報を使って，ECサーバに安全にSSOでアクセスできる。

　X主任は，ケルベロス認証を利用して社内のサーバにSSOでアクセスしている会員企業e社を例として取り上げ，e社内のPCがSAMLを利用してY社のECサーバにもSSOでアクセスする場合のシステム構成及び通信手順について考えた。
　会員企業e社のシステム構成を図6に示す。

図6　会員企業e社のシステム構成（抜粋）

　図6で示した会員企業e社のシステムの概要を次に示す。

・e社ではケルベロス認証を利用し，社内サーバにSSOでアクセスしている。

・e社内のDSは，従業員のアカウント情報を管理している。

・PC及び社内サーバは，それぞれ自身の共通鍵を保有している。

・DSは，PC及び社内サーバそれぞれの共通鍵の管理を行うとともに，チケットの発行を行う鍵配布センター（以下，KDCという）機能をもっている。

・KDCが発行するチケットには，PCの利用者の身分証明書に相当するチケット（以下，TGTという）とPCの利用者がアクセスするサーバで認証を受けるためのチケット（以下，STという）の2種類がある。

・認証連携サーバはIdPとして働き，ケルベロス認証とSAMLとの間で認証連携を行う。

　X主任は，e社内のPCからY社のECサーバにSAMLを利用してSSOでアクセスするときの通信手順と処理の概要を，次のようにまとめた。
　e社内のPCからECサーバにSSOでアクセスするときの通信手順を図7に示す。

図7　e社内のPCからECサーバにSSOでアクセスするときの通信手順（抜粋）

　図7中の，（i）〜（ⅸ）の処理の概要を次に示す。

（i）購買担当者がPCを使用してECサーバにログイン要求を行う。

（ⅱ）SPであるECサーバは，⑪SAML認証要求（SAMLRequest）を作成しIdPである認証連携サーバにリダイレクトを要求する応答を行う。
ここで，ECサーバには，⑫IdPが作成するデジタル署名の検証に必要な情報などが設定され，IdPとの間で信頼関係が構築されている。

（ⅲ）PCはSAMLRequestをIdPに転送する。

（ⅳ）IdPはPCに認証を求める。

（ⅴ）PCは，KDCにTGTを提示してIdPへのアクセスに必要なSTの発行を要求する。

（ⅵ）KDCは，TGTを基に，購買担当者の身元情報やセッション鍵が含まれたSTを発行し，IdPの鍵でSTを暗号化する。さらに，KDCは，暗号化したSTにセッション鍵などを付加し，全体をPCの鍵で暗号化した情報をPCに払い出す。

（ⅶ）PCは，⑬受信した情報の中からSTを取り出し，ケルベロス認証向けのAPIを利用して，STをIdPに提示する。

（ⅷ）IdPは，STの内容を基に購買担当者を認証し，デジタル署名付きのSAMLアサーションを含むSAML応答（SAMLResponse）を作成して，SPにリダイレクトを要求する応答を行う。

（ⅸ）PCは，SAMLResponseをSPに転送する。SPは，SAMLResponseに含まれる⑭デジタル署名を検証し，検証結果に問題がない場合，SAMLアサーションを基に，購買担当者が正当な利用者であることの確認，及び購買担当者に対して提供するサービス範囲を定めた利用権限の付与の，二つの処理を行う。

　X主任は，ECサーバのSAML2.0対応の検討結果を基に，SAML2.0に対応する場合のECサーバプログラムの改修作業の概要をW課長に説明した。
　W課長は，X主任の設計したECサーバの増強案，及びSAML2.0対応のためのECサーバの改修などについて，経営会議で提案して承認を得ることができた。

設問1　図2中の　　a　　，　　b　　に入れる適切なリソースレコード名を，　　c　　〜　　f　　に入れる適切なIPアドレスを，それぞれ答えよ。

解答・解説

解答例

　a：NS
　b：MX
　c：100.α.β.1
　d：100.α.β.3
　e：192.168.1.1
　f：192.168.1.3

解説

　ー

設問2　〔ECサイトの応答速度の低下〕について答えよ。

（1）URLをhttps://ecsv.y-sha.example.lan/に設定してECサーバにアクセスすると，TLSのハンドシェイク中にエラーメッセージがWebブラウザに表示される。その理由を，サーバ証明書のコモン名に着目して，25字以内で答えよ。

解答・解説

解答例

　コモン名と URL のドメインとが異なるから

解説

　ー

（2）本文中の下線①でアクセスしたとき，運用PCが送信したパケットがECサーバに届くまでに経由する機器を，図1中の機器名で全て答えよ。

解答・解説

解答例

　L3SW，FWｚ，L2SW

解説

　ー

　ー

　ー

　ー

　ー

IPA公開情報

出題趣旨

　インターネット上でサービスを提供するシステムは，顧客数の変化に対応して適切な処理能力をもつ構成を維持することが重要である。また，登録する顧客数の増加によって，顧客のアカウント情報の管理負荷も増大するので，異なるドメイン間で認証，認可情報の交換が可能な認証連携技術の活用も求められる。
　このような状況を基に，本問では，サーバ負荷分散装置（以下，LB という）によってシステムの処理能力を増強させる構成設計と，SAML2.0 を利用するための方式検討を事例として取り上げた。本問では，EC サーバの増強を題材として，LB 導入に伴う構成設計及び SAML2.0 を利用するための方式検討において，受験者が習得した技術が活用できる水準かどうかを問う。

採点講評

　問 2 では，EC サーバの増強を題材に，サーバ負荷分散装置（以下，LB という）を導入するときの構成設計と，SAML2.0 を利用するための方式検討について出題した。全体として正答率は平均的であった。設問 3 では，(3)j の正答率が低かった。図 5 の構成では，PC は LB に設定された仮想 IP アドレス宛てにパケットを送信するが，ファイアウォールに設定された NAT は変更されないことから，表 1 を基に正答を導き出してほしい。
　設問 4 では，(5)の正答率が低かった。サーバ証明書は，サーバの公開鍵の正当性を CA が保証するものであり，秘密鍵とサーバ証明書とが一緒に管理されることで，TLS では，サーバの認証及びデータの暗号化に用いられる共通鍵の安全な配送が可能になることを理解してほしい。
　設問 5 では，(2)の正答率が低かった。本文中の記述から，サーバがセッション ID を生成する条件，cookie にセッション ID を書き込む条件，及び導入予定の LB がセッション管理テーブルを作成する条件が分かるので，これら三つの条件を基に，セッション管理テーブルに新たなレコードが登録される場合を導き出してほしい。

前問ナビ次問