2014年 春期 応用情報技術者試験 問1

営業支援サーバへのSSLの導入

次の問1は必須問題です。必ず解答してください。

問1 営業支援サーバへのSSLの導入に関する次の記述を読んで,設問1~4に答えよ。

P社は,コンピュータ関連製品の販売会社である。P社では,営業支援システムと販売管理システムを運用している。営業支援システムでは,製品資料,顧客情報,プレゼンテーション資料などが参照できる。営業支援システムは,販売管理システムと連携しており,在庫数の確認や在庫の引当てもできる。各システムは,それぞれのサーバで稼働している。

P社では,全社員がノートPC(以下,PCという)を業務で使用している。営業員は,社内で営業支援サーバから各種資料をPCにダウンロードした後,PCを顧客先に持参して製品説明やプレゼンテーションなどを行っている。営業支援サーバへは,PCのブラウザを利用してアクセスしている。

P社のシステム構成を図1に示す。

注記:FW:ファイアウォール

P社では,情報システム部が許可したアプリケーションプログラムだけを,PCにインストールさせている。PCは,社内LANに接続されたときにPC管理サーバにアクセスして,ウイルス対策ソフトの最新のパターンファイル,及びOSとアプリケーションプログラムのセキュリティパッチを適用する。

最近,営業員から,最新の在庫数の確認や在庫の引当てを社外からも行えるようにしてほしいとの要望が強くなった。そこで,情報システム部のQ課長は,営業支援システムをインターネット経由で利用できるようにするために,SSLの導入についての検討を,サーバ運用担当のR君に指示した。指示を受けたR君は,まず,SSLについて調査した。

【SSLの機能概要】

インターネットはオープンなネットワークなので,多くの脅威が存在する。これらの脅威に対応するために SSLが利用される。SSLでは,a,なりすまし及びbに対する対応策が提供される。

a防止は,公開鍵暗号方式と共通鍵暗号方式を組み合わせて実現される。なりすまし防止は,サーバ認証とクライアント認証によって行われる。送受信されるメッセージのb検知は,メッセージの中に埋め込まれる,MAC(Message Authentication Code)を基に行われる。

R君は,社外から営業支援サーバへのアクセスをSSLで行えば,営業支援システムの安全な利用が可能になると考え,営業支援サーバへのSSLの導入方法の検討を行うことにした。

【クライアント認証の検討】

営業支援サーバには,信頼できる認証機関によって発行されたサーバ証明書を導入して,営業支援サーバの正当性を証明する。

営業支援サーバにSSLを導入しても,社外から営業支援サーバへのアクセスが不特定のPCによって行われると,新たなセキュリティリスクが発生してしまう。そこで,R君は,社外から営業支援サーバにアクセスするときに,利用者IDとパスワードによる認証に加えて,SSLがもつ,クライアント証明書を用いたクライアント認証機能も利用することを考えた。クライアント認証には,クライアント証明書をインストールしたICカードやUSBトークンを利用することができるが,今回はこれらを利用せず,①クライアント証明書をPC自体にインストールする方式を採用することにした

【営業支援サーバを社外に公開する構成】

次に,R君は,営業支援サーバを社外に公開する構成について検討した。

R君が考えた営業支援サーバを社外に公開するための二つの構成案を図2に示す。

案1は,営業支援サーバにSSLを導入して,DMZに移設するものであり,案2は,SSLを導入したリバースプロキシサーバを,新規にDMZに設置するものである。

注記1 図中に示されたサーバは,営業支援サーバの社外への公開に関連するものだけである。
注記2 e0,e1,e2は,FWのイーサネットインタフェースを示す。
注記3 220.a.b.1はグローバルIPアドレスを示す。

二つの案について検討した結果,案1と案2には,それぞれ,次の対応が必要になることが分かった。

案1では,新たな機器の導入は不要だが,三つの作業が必要になる。一つ目は,営業支援サーバにSSLを導入する作業,二つ目は,営業支援サーバをDMZに移設する作業,三つ目は,②営業支援サーバにアクセスする全てのPCに対する作業である

案2では,二つの作業が必要になる。一つ目は,社外から営業支援サーバにアクセスする全てのPCに対する,案1と同様の作業であり,二つ目は,SSLを導入したリバースプロキシサーバを新規に構築してDMZに設置する作業である。

また,案1,案2ともに,インターネットからのDoS攻撃によって,サービスの提供が不能になるリスクがあるが,③案1と比較すると案2の被害は限定的である

R君は,これらの検討結果を基に,案2を採用することにした。

案2を採用すると,FWで新たに通過を許可しなければならない通信が発生する。P社が導入しているFWは,ステートフルインスペクション機能をもつので,FWが最初に受信して通過させるパケットの内容の設定だけで済む。案2を採用する場合に,FWに追加が必要なフィルタリングルールを表1に示す。

表1 案2を採用する場合に,FWに追加が必要なフィルタリングルール
項番方向送信元IPアドレス宛先IPアドレス宛先ポート番号処理
1e0→e1任意220.a.b.1443/TCP許可
2e1→e2220.a.b.1192.168.0.180/TCP許可

R君は,以上の検討結果をQ課長に報告したところ,クライアント証明書の発行と運用についての追加検討を指示された。

【クライアント証明書の発行と運用】

クライアント証明書は,P社内だけで使用するものなので,リバースプロキシサーバのデジタル証明書発行機能を利用して発行することにした。発行した証明書は,クライアント認証の目的を確実に達成するために,社外に持ち出して営業支援サーバにアクセスする全てのPCに,情報システム部の担当者が直接インストールすることにした。

R君は,検討結果をQ課長に報告したところ,証明書の有効期限の満了によって社外から営業支援システムが利用できなくなったり,④PCの盗難や紛失が発生したりすることがあるので,PC管理台帳を作成して,問違いのない運用ができるようにしなければならないとの指摘があった。そこで,R君は,PC管理台帳で,証明書の発行日,有効期限,証明書の識別情報,使用者,インストールしたPCの情報などに加えて,証明書が有効かどうかを示す情報も併せて管理することにした。

R君は,以上の検討結果を基に,SSL導入の実施策をまとめ,Q課長に報告した。

Q課長は,実施策に問題がないことを確認できたので,具体的な作業を進めるようR君に指示した。

出典:平成26年度 春期 応用情報技術者試験 午後 問1