2014年 秋期 応用情報技術者試験 問1
ネットワークやWebアプリケーションプログラムのセキュリティ
次の問1は必須問題です。必ず解答してください。
問1 ネットワークやWebアプリケーションプログラムのセキュリティ
X社は、中堅の機械部品メーカである。X社では、部品製造に関わる特許情報や顧客情報を取り扱うので、社内のネットワークセキュリティを強化している。社内のネットワークの内部セグメントには、内部メールサーバ、内部Webサーバ、ファイルサーバなど社内業務を支援する各種サーバが配置されている。また、DMZには、インターネット向けのメール転送サーバ、DNSサーバ、Webサーバ、プロキシサーバが配置されている。Webサーバでは、製品情報や特定顧客向けの部品情報の検索システムを社外に提供しており、内部Webサーバやファイルサーバでは、特許情報や顧客情報の検索システムを社内に提供している。X社のネットワーク構成を図1に示す。
L3SW:レイヤ3スイッチ
先日、同業他社の社外向けWebサイトが外部からの攻撃を受けるというセキュリティインシデントが発生したことを聞いた情報システム部のY部長は、特にFWに関するネットワークセキュリティの強化を検討するように部下のZさんに指示した。
X社の社内ネットワークのセキュリティ要件を図2に示す。
| 1. 共通事項 |
|---|
| 1.1 社内の通信機器やサーバがインターネットと通信する場合には、FWなどの装置を用いてアクセス制御を行うこと。 |
| 1.2 業務上必要がない通信は全て禁止すること。 |
| 1.3 インターネットに公開する社内のサーバは必要最小限にとどめること。 |
| 2. Web |
|---|
| 2.1 社内のPCから社外WebサイトへのHTTP通信(HTTPSを含む。以下同じ)は、プロキシサーバ経由で行うこと。 |
| 2.2 社外から社内へのHTTP通信は、インターネットからWebサーバへのHTTP通信だけを許可すること。 |
| 2.3 Webアプリケーションプログラムの脆弱性を悪用した攻撃を防ぐために、インターネットからWebサーバにアクセスする通信は、あらかじめ定められた一連の手続のHTTP通信だけを許可すること。 |
| 3. 電子メール |
|---|
| 3.1 社内のPC間のメール通信は、内部メールサーバを介して行うこと。 |
| 3.2 内部セグメントとDMZの間のメール通信は、内部メールサーバとメール転送サーバの間だけを許可すること。 |
| 3.3 社内と社外の間のメール通信は、メール転送サーバとインターネットの間だけを許可すること。 |
| 4. DNS |
|---|
| (以下省略) |
Zさんは、①FWによるIPアドレスやポート番号を用いたパケットフィルタリングだけでは外部からの攻撃を十分に防ぐことができないと考えた。そこで、より高度なセキュリティ製品の追加導入を検討するために、IDS、IPSやWAFの基本的な機能について調査した。調査の結果、IDSは、X社の外部からのaことができ、IPSは、X社の外部からのbことができ、一方、WAFは、cことができるということが分かった。
この結果から、Zさんは、次の二つの案を考えた。
案1:社内ネットワークのルータとFWの間にネットワーク型のIPSを導入する。
案2:セキュリティ強化の対象とするサーバにWAFを導入する。
今回、dを目的とする場合には案1を、eを目的とする場合には案2を選択することがそれぞれ有効であると分かった。
特に案2のWAFは、ブラックリストや②ホワイトリストの情報を有効に活用することで、社内ネットワークのセキュリティ要件2.3を満たすことができる。
Zさんは、それぞれの案について、費用面や運用面での課題の比較検討も行い、結果を取りまとめてY部長に報告した。これを受けてY部長は、案2を採用することを決め、具体的な実施策を検討するようにZさんに指示した。