読み込み中...
ネットワークの更改
〔現状のネットワーク〕
A社は,精密機械部品を製造する中小企業であり,敷地内に事務所と工場がある。事務所には電子メール(以下,メールという)送受信やビジネス資料作成などのためのOAセグメントと,社外との通信を行うDMZが設置されている。工場には工作機械やセンサを制御するための制御セグメントと,制御サーバと操作端末のアクセスログ(以下,ログデータという)や制御セグメントからの測定データを管理するための管理セグメントが設置されている。
センサや工作機械を制御するコントローラの通信は制御セグメントに閉じた設計としているので,事務所と工場の間は,ネットワークで接続されていない。また制御セグメントと管理セグメントの間には,制御サーバが設置されているがルーティングは行わない。
操作端末は,制御サーバを介してコントローラに対し設定値やコマンドを送出する。コントローラは,常に測定データを制御サーバに送信する。制御サーバは,収集した測定データを,1日1回データヒストリアンに送る。データヒストリアンは,ログデータ及び測定データを蓄積する。
A社ネットワークの構成を,図1に示す。
ログデータの転送は,イベント通知を転送する標準規格(RFC 5424)のa プロトコルを利用している。データヒストリアンに蓄積された測定データとログデータは,ファイル共有プロトコルで操作端末に共有され,社員がUSBメモリを用いてOAセグメント内のPCに1週間に1回複製する。
制御サーバ,操作端末及びデータヒストリアンのソフトウェア更新は,必要の都度,OAセグメントのPCでインターネットからダウンロードしたソフトウェア更新ファイルを,USBメモリを用いて操作端末に複製した上で実施される。
A社の社員は,PCでメールの閲覧やインターネットアクセスを行う。OAセグメントからインターネットへの通信はDMZ経由としており,DMZには社外とのメールを中継する外部メールサーバと,OAセグメントからインターネットへのWeb通信を中継するプロキシサーバがある。DMZにはグローバルIPアドレスが,OAセグメントにはプライベートIPアドレスがそれぞれ用いられている。
社員のメールボックスをもつ内部メールサーバと,プロキシサーバは,ユーザ認証のためにLDAPサーバを参照する。プロキシサーバのユーザ認証には,Base64でエンコードするBasic認証方式と,MD5やSHA-256でハッシュ化する b 認証方式があるが,A社では後者の方式を採用している。また,プロキシサーバは,HTTPの c メソッドでトンネリング通信を提供し,トンネリング通信に利用する通信ポートを443に限定する。
〔ネットワークの更改方針〕
A社では,USBメモリ紛失によるデータ漏えいの防止,測定データのリアルタイムの可視化,及び過去の測定データの蓄積のために,USBメモリの利用を廃止し,工場と事務所をネットワークで接続することにした。A社技術部のBさんが指示された内容を次に示す。
- (a) データヒストリアンにあるログデータをPCにファイル送信できるようにする。またPCにダウンロードしたソフトウェア更新ファイルを操作端末にファイル送信できるようにする。
- (b) 測定データの統計処理を行い時系列グラフとして可視化するサーバと,長期間の測定データを加工せずそのまま蓄積するサーバをOAセグメントに設置する。
- (c) セキュリティ維持のために,工場の制御セグメント及び管理セグメントと,事務所のOAセグメントとの間はルーティングを行わない。
〔管理セグメントとOAセグメント間のファイルの受渡し〕
FTAは,分離された二つのネットワークでルーティングすることなくファイルの受渡しができるアプライアンスである。ファイルの送信者は,①FTAにWebブラウザを使ってログインし,受信者を指定してファイルをアップロードする。ファイルの受信者は,FTAにWebブラウザを使ってログインし,自身が受信者として指定されたファイルだけをダウンロードできる。FTAの機能を使い,ファイルの受渡しの際に上長承認手続を必須にする。上長への承認依頼,受信者へのファイルアップロード通知は,FTAが自動的にメールを送信して通知する。承認は設定された上長だけが行うことができる。
Bさんが検討したFTAの利用時の流れを,表1に示す。
| 項番 | 概要 | 説明 |
|---|---|---|
| 1 | アップロード | 送信者は,FTAにHTTPS(HTTP over TLS)でアクセスし,PC又は操作端末からFTAにファイルをアップロードする。 |
| 2 | 承認依頼 | 上長宛ての承認依頼メールが,FTAから内部メールサーバに自動送信される。 |
| 3 | 承認 | 上長は,PCでメールを確認後,FTAにHTTPSでアクセスし,ファイルの中身を確認した上で承認する。 |
| 4 | ファイルアップロード通知 | 受信者宛てのファイルアップロード通知メールが,FTAから内部メールサーバに自動送信される。 |
| 5 | ダウンロード | 受信者は,PCでメールを確認後,FTAにHTTPSでアクセスし,ファイルをPC又は操作端末にダウンロードする。 |
②指示(c)のとおり,FTAには静的経路や経路制御プロトコルの設定は行わない。
③FTAは,認証及び認可に必要な情報について,既存のサーバを参照する。
Bさんは,ベンダからFTAを借りて想定どおりに動作をすることを確認した。
〔測定データの可視化〕
NPBは事前に入力ポート,出力ポートを設定し,入力したパケットを複数の出力ポートに複製する装置である。NPBではフィルタリングを設定して,複製するパケットを絞り込むことができる。可視化サーバは複製されたパケット(以下,ミラーパケットという)を受信して統計処理を行い,時系列グラフによって可視化をすることができる。キャプチャサーバは大容量のストレージをもち,ミラーパケットをそのまま長期間保存することができ,必要時にファイルに書き出すことができる。Bさんは,NPBの動作の詳細についてベンダに確認した。Bさんとベンダの会話を次に示す。
Bさん:L2SWとNPBの転送方式は,何が違うのですか。
ベンダ:L2SWの転送方式では,受信したイーサネットフレームのヘッダにある送信元MACアドレスとL2SWの入力ポートをMACアドレステーブルに追加します。フレームを転送するときは,宛先MACアドレスがMACアドレステーブルに学習済みかどうかを確認した上で,学習済みの場合には学習されているポートに転送します。宛先MACアドレスが学習されていない場合は d します。
これに対してNPBの転送方式では,入力ポートと出力ポートの組合せを事前に定義して通信路を設定します。今回のA社の構成では,一つの入力ポートに対して出力ポートを二つ設定し,パケットの複製を行っています。
NPBの入力は,L2SWからのミラーポートと接続する方法と,ネットワークタップと接続する方法の二つがあります。ネットワークタップは,既存の配線にインラインで接続し,パケットをNPBに複製する装置です。今回検討したネットワークタップを使う方法では,送信側,受信側,それぞれの配線でパケットを複製するので,NPBの入力ポートは2ポート必要です。④今回採用する方法では,想定トラフィック量が少ないので既存のL2SWのミラーポートを用います。NPBにつながるケーブルは全て1000BASE-SXです。
Bさんは,ベンダへの確認結果を基にA社におけるNPBによる測定データの送信について整理した。その内容を次に示す。
- 可視化サーバとキャプチャサーバをOAセグメントに設置する。
- コントローラは,更改前と同様に測定データを制御サーバに常時送信する。
- ⑤制御セグメントに設置されているL2SWの特定ポートにミラー設定を行い,L2SWの該当ポートの送信側,受信側,双方のパケットを複製してNPBに送信させる。
- NPBは受信したミラーパケットを必要なパケットだけにフィルタリングした後に再度複製し,⑥可視化サーバとキャプチャサーバに送信する。
設問1
〔現状のネットワーク〕について,(1),(2)に答えよ。
(1)
本文中の a 〜 c に入れる適切な字句を答えよ。
(2)
外部からアクセスできるサーバをFWによって独立したDMZに設置すると,OAセグメントに設置するのに比べて,どのようなセキュリティリスクが軽減されるか。40字以内で答えよ。
0 / 40字
設問2
〔管理セグメントとOAセグメント間のファイルの受渡し〕について,(1)〜(3)に答えよ。
(1)
本文中の下線①について,利用者の認証を既存のサーバで一元的に管理する場合,どのサーバから認証情報を取得するのが良いか。図2中の字句を用いて答えよ。
(2)
本文中の下線②について,FTAにアクセスできるのはどのセグメントか。図2中の字句を用いて全て答えよ。
(3)
本文中の下線③について,FTAにおいて認証と認可はそれぞれ何をするために使われるか。違いが分かるようにそれぞれ25字以内で述べよ。
0 / 25字
0 / 25字
設問3
〔測定データの可視化〕について,(1)〜(5)に答えよ。
(1)
本文中の d に入れる適切な字句を答えよ。
(2)
本文中の下線④について,L2SWからミラーパケットでNPBにデータを入力する場合,ネットワークタップを用いてNPBにデータを入力する方式と比べて,性能面でどのような制約が生じるか。40字以内で述べよ。
0 / 40字
(3)
本文中の下線⑤について,1ポートだけからミラーパケットを取得する設定にする場合には,どの装置が接続されているポートからミラーパケットを取得するように設定する必要があるか。図2中の字句を用いて答えよ。
(4)
本文中の下線⑥について,サーバでミラーパケットを受信するためにはサーバのインタフェースを何というモードに設定する必要があるか答えよ。また,このモードを設定することによって,設定しない場合と比べどのようなフレームを受信できるようになるか。30字以内で答えよ。
0 / 30字
(5)
キャプチャサーバに流れるミラーパケットが平均100kビット/秒であるとき,1,000日間のミラーパケットを保存するのに必要なディスク容量は何Gバイトになるか。ここで,1kビット/秒は10³ビット/秒,1Gバイトは10⁹バイトとする。ミラーパケットは無圧縮で保存するものとし,ミラーパケット以外のメタデータの大きさは無視するものとする。