読み込み中...
セキュアゲートウェイサービスの導入
N 社は,国内に本社及び一つの営業所をもつ,中堅の機械部品メーカである。従業員は,N 社が配布する PC を本社又は営業所の LAN に接続して,本社のサーバ,及び SaaS として提供される P 社の営業支援サービスを利用して業務を行っている。
N 社は,クラウドサービスの利用を進め,従業員のテレワーク環境を整備することにした。N 社の情報システム部は,本社のオンプレミスのサーバから Q 社の PaaS への移行と,Q 社のセキュアゲートウェイサービス(以下,SGW サービスという)の導入を検討することになった。SGW サービスは,PC がインターネット上のサイトに接続する際に,送受信するパケットを本サービス経由とすることによって,ファイアウォール機能などの情報セキュリティ機能を提供する。
〔現行のネットワーク構成〕
N 社の現行のネットワーク構成を図 1 に示す。
N 社の現行システムの概要を次に示す。
- 本社及び営業所の LAN は,IPsec ルータを利用した IPsec VPN で接続している。
- 本社及び営業所の IPsec ルータは,IPsec VPN を確立したときに有効化される仮想インタフェース(以下,トンネル IF という)を利用して相互に接続する。
- 営業所の PC から P 社営業支援サービス宛てのパケットは,営業所の IPsec ルータ,本社の IPsec ルータ,L3SW,FW 及びインターネットを経由して P 社営業支援サービスに送信される。
- FW は,パケットフィルタリングによるアクセス制御と,NAPT による IP アドレスの変換を行う。
- P 社営業支援サービスでは,①特定の IP アドレスから送信されたパケットだけを許可するアクセス制御を設定して,本社の FW を経由しない経路からの接続を制限している。
本社及び営業所の IPsec ルータは,LAN 及びインターネットのそれぞれでデフォルトルートを使用するために,VRF(Virtual Routing and Forwarding)を利用して二つの a テーブルを保持し,経路情報を VRF の識別子(以下,VRF 識別子という)によって識別する。ネットワーク機器の VRF とインタフェース情報を表 1 に,ネットワーク機器に設定している VRF と経路情報を表 2 に示す。
| 拠点 | 機器名 | VRF 識別子 | インタフェース | IP アドレス | サブネットマスク | 接続先 |
|---|---|---|---|---|---|---|
| 本社 | FW | - | INT-IF1) | a.b.c.d3) | (省略) | ISP のルータ |
| LAN-IF2) | 172.16.0.1 | 255.255.255.0 | L3SW | |||
| IPsec ルータ | 65000:1 | INT-IF1) | s.t.u.v3) | (省略) | ISP のルータ | |
| 65000:2 | LAN-IF2) | 172.17.0.1 | 255.255.255.0 | L3SW | ||
| トンネル IF | (省略) | (省略) | 営業所の IPsec ルータ | |||
| 営業所 | IPsec ルータ | 65000:1 | INT-IF1) | w.x.y.z4) | (省略) | ISP のルータ |
| 65000:2 | LAN-IF2) | 172.17.1.1 | 255.255.255.0 | L2SW | ||
| トンネル IF | (省略) | (省略) | 本社の IPsec ルータ |
注 1) INT-IF は,インターネットに接続するインタフェースである。
注 2) LAN-IF は,本社又は営業所の LAN に接続するインタフェースである。
注 3) a.b.c.d 及び s.t.u.v は,固定のグローバル IP アドレスである。
注 4) w.x.y.z は,ISP から割り当てられた動的なグローバル IP アドレスである。
| 拠点 | 機器名 | VRF 識別子 | 宛先ネットワーク | ネクストホップとなる装置又はインタフェース | 経路制御方式 |
|---|---|---|---|---|---|
| 本社 | FW | - | 0.0.0.0/0 | ISP のルータ | 静的経路制御 |
| 172.17.1.0/24(営業所の LAN) | 本社の L3SW | 動的経路制御 | |||
| IPsec ルータ | 65000:1 | 0.0.0.0/0 | ISP のルータ | 静的経路制御 | |
| 65000:2 | 0.0.0.0/0 | b | 動的経路制御 | ||
| 172.17.1.0/24(営業所の LAN) | トンネル IF | c | |||
| 営業所 | IPsec ルータ | 65000:1 | 0.0.0.0/0 | ISP のルータ | 静的経路制御 |
| 65000:2 | 0.0.0.0/0 | トンネル IF | d |
N 社のネットワーク機器に設定している経路制御を,次に示す。
- 本社の FW,L3SW 及び IPsec ルータには,OSPF による経路制御を稼働させるための設定を行っている。
- 本社の FW には,OSPF にデフォルトルートを配布する設定を行っている。
- ②本社の IPsec ルータには,営業所の IPsec ルータと IPsec VPN を確立するために,静的なデフォルトルートを設定している。
- 本社及び営業所の IPsec ルータには,営業所の PC が通信するパケットを IPsec VPN を介して転送するために,トンネル IF をネクストホップとした静的経路を設定している。
- 本社の IPsec ルータには,OSPF に③静的経路を再配布する設定を行っている。
〔新規ネットワークの検討〕
Q 社の PaaS 及び SGW サービスの導入は,N 社の情報システム部の R 主任が担当することになった。R 主任が考えた新規ネットワーク構成と通信の流れを図 2 に示す。
R 主任が考えた新規ネットワーク構成の概要を次に示す。
- 本社のサーバ上で稼働するシステムを,Q 社 PaaS へ移行する。
- Q 社 SGW サービスを利用するために,本社及び営業所に導入する新 IPsec ルータ,並びに TPC は,Q 社 SGW サービスの POP という接続点にトンネルモードの IPsec VPN を用いて接続する。
- PC 及び TPC から P 社営業支援サービス宛てのパケットは,Q 社 SGW サービスの POP と FW 機能及びインターネットを経由して P 社営業支援サービスに送信される。
- Q 社 SGW サービスの FW 機能は,パケットフィルタリングによるアクセス制御と,NAPT による IP アドレスの変換を行う。
R 主任は,POP との接続に利用する IPsec VPN について,検討した。
IPsec VPN には,IKE バージョン 2 と,ESP のプロトコルを用いる。新 IPsec ルータ及び TPC と POP は,IKE SA を確立するために必要な,暗号化アルゴリズム,疑似ランダム関数,完全性アルゴリズム及び Diffie-Hellman グループ番号を,ネゴシエーションして決定し,IKE SA を確立する。次に,新 IPsec ルータ及び TPC と POP は,認証及び Child SA を確立するために必要な情報を,IKE SA を介してネゴシエーションして決定し,Child SA を確立する。
新 IPsec ルータ及び TPC は,IPsec VPN を介して転送する必要があるパケットを,長さを調整する ESP トレーラを付加して e 化する。次に,新しい f ヘッダと, g SA を識別するための ESP ヘッダ及び ESP 認証データ付加して,POP 宛てに送信する。
R 主任は,IPsec VPN の構成に用いるパラメータについて,現行の設計と比較検討した。検討したパラメータのうち,鍵の生成に用いるアルゴリズムと h を定めている Diffie-Hellman グループ番号には,現行では 1 を用いているが,POP との接続では 1 よりも h の長い 14 を用いた方が良いと考えた。
〔接続テスト〕
Q 社の PaaS 及び SGW サービスの導入を検討するに当たって,Q 社からテスト環境を提供してもらい,本社,営業所及びテレワーク拠点から,Q 社 PaaS 及び P 社営業支援サービスを利用する接続テストを行うことになった。R 主任は,接続テストを行う準備として,P 社営業支援サービスに設定しているアクセス制御を変更する必要があると考えた。P 社営業支援サービスへの接続を許可する IP アドレスには,Q 社 SGW サービスの FW 機能での NAPT のために,Q 社 SGW サービスから割当てを受けた固定のグローバル IP アドレスを設定する。R 主任は,Q 社 SGW サービスが N 社以外にも提供されていると考えて,④NAPT のために Q 社 SGW サービスから割当てを受けた固定のグローバル IP アドレスのサービス仕様を,Q 社に確認した。
テスト環境を構築した R 主任は,Q 社 PaaS 及び ⑤P 社営業支援サービスの応答時間の測定を確認項目の一つとして,接続テストを実施した。
R 主任は,N 社の幹部に接続テストの結果に問題がなかったことを報告し,Q 社の PaaS 及び SGW サービスの導入が承認された。
設問1
〔現行のネットワーク構成〕について,(1)〜(6)に答えよ。
(1)
本文中の下線①の IP アドレスを,表 1 中の IP アドレスで答えよ。
(2)
本文中の a に入れる適切な字句を答えよ。
(3)
表 2 中の b 〜 d に入れる適切な字句を,表 2 中の字句を用いて答えよ。
(4)
“本社の IPsec ルータ”が,営業所の PC から P 社営業支援サービス宛てのパケットを転送するときに選択する経路は,表 2 中のどれか。VRF 識別子及び宛先ネットワークを答えよ。
(5)
本文中の下線②について,デフォルトルート(宛先ネットワーク 0.0.0.0/0 の経路)が必要になる理由を,40 字以内で述べよ。
0 / 40字
(6)
本文中の下線③の宛先ネットワークを,表 2 中の字句を用いて答えよ。
設問2
〔新規ネットワークの検討〕について,(1),(2)に答えよ。
(1)
本文中の e 〜 h に入れる適切な字句を答えよ。
(2)
POP との IPsec VPN を確立できない場合に,失敗しているネゴシエーションを特定するためには,何の状態を確認すべきか。本文中の字句を用いて二つ答えよ。
設問3
〔接続テスト〕について,(1),(2)に答えよ。
(1)
本文中の下線④について,情報セキュリティの観点で R 主任が確認した内容を,20 字以内で答えよ。
0 / 20字
(2)
本文中の下線⑤について,P 社営業支援サービスの応答時間が,現行よりも長くなると考えられる要因を 30 字以内で答えよ。
0 / 30字