テクニカルエンジニア(ネットワーク)
平成10年午後II問3
A社は、社員数が数万人規模の製造業である。本社組織と複数の事業部があり、本
社と各事業部は複数の部から構成されている。
A社では"A-NET"と呼ばれる全社TCP/IPネットワークが稼働している。A-NET
稼働前は、幾つかの事業部ネットワークが独立して使われていた。それらのネット
ワークを相互接続しながら、A-NETは構築されてきた。現在、本社とすべての事業
部がA-NETで相互接続され、業務システム、電子メール、WWW、ファイル転送な
どに広く利用されている。図1にA-NETの概要と管理範図を示す。
〔サイトLANと基幹ネットワーク〕
A-NETは一つの"基幹ネットワーク"と複数の"サイトLAN"から構成される。
サイトLANは、"基幹ルータ"経由で基幹ネットワークと接続されている。基幹ルー
タを含む基幹ネットワークは、本社の情報システム部が運用管理を行っている。
A-NETでは、社内の組織を "サイト"という単位に分けて管理している。サイト
と事業部又は部とは、必ずしも1:1に対応しない。サイトLANはサイトが運用管
理を行うネットワークで、A-NETへの加入単位でもある。
〔アドレス体系〕
A-NETは、クラスAのプライベートアドレスを採用している。各サイトLANの
ネットワークアドレスは、A-NET加入申請時に、情報システム部からそのサイトに
与えられる。サイトLANのホストアドレスはサイトが管理する。
A-NETに接続されていないLANや、ほかのサイトとは通信を行わないLANがサ
イトLANに含まれている場合もある。このようなLANのために、情報システム部で
は"サイト内アドレス"という特別なアドレス範図を、クラスAのプライベートアド
レス内に定義している。すべてのサイトは、サイト内の通信用に限り、与えられたア
ドレス以外に、サイト内アドレスを自由に使用することができる。
〔A-NETセキュリティガイド〕
A-NETを計画する際、A社のトップは次のような基本方針を情報システム部に示
し、セキュリティに関する基準と運用規則の立案を指示した。
(1) A-NETは、各種の資産(情報や機器)が接続される汎用のネットワークである。
セキュリティに関する問題の発生防止、発生した問題の速やかな検出、問題波及の
防止、問題解決の仕組みを考慮したセキュリティ対策をたてること。
(2) 情報システム部を全社のセキュリティ管理部門とし、A-NETのセキュリティ管
理に関する責任と権限を与える。
(3) セキュリティ管理を行う技術者を、各利用部門(本社と事業部)から選出させ、
その技術者を"サイトLAN管理者"と呼ぶ。A-NETのセキュリティ管理体制は、
サイトLAN管理者と情報システム部の技術者を中心に作ること。
情報システム部は、A-NETのセキュリティ基準と運用規則を作成し、トップの承
認を得た。そして、サイトLAN管理者向けの内容をまとめ、"A-NETセキュリティ
ガイド"として、全サイトLAN管理者に配布した。図2にA-NETセキュリティガイ
ドの構成を、図3、4にその一部を要約したものを示す。
|
〔基本編〕 1.はじめに 〔技術編〕 1.サイトLAN運用のガイドライン |
| ① ホスト : パソコン、ワークステーション、ルータなどのネットワーク機器の総称。 ② クライアントとサーバ : ほかのホストへサービスの要求を行うホストをクライアント、要求 を受けるホストをサーバと呼ぶ。 ③ アクセス可能(性) : ホストにアクセス可能とは、IPによってそのホストに到達可能であ ることをいう。 ④ 社外 : A社社員以外の者が、A社の許可なく出入りできる場所をいう(取引先、社員の自宅 なども社外に含む)。 |
|
〔管理領域の明確化〕 ① A-NET上のすべてのホストは、いずれかのサイト又は情報システム部の管理下に置かれ 〔サイトLAN管理者〕 ④ サイトLAN管理者は、サイト単位に、そのサイトを統轄する事業部長(本社においては 〔問題発生時の対応〕 ⑦ 自サイトにおいてセキュリテイ上の問題が発生した場合、サイトLAN管理者は速やかに 〔サイトLANの運用ポリシとセキュリティ対策〕 ⑩ サイトLAN管理者は、サイトLANの運用ポリシを定め、セキュリティ対策を計画し、そ |
〔社外接続〕
図4のA-NETセキュリティポリシに示すように、社外からサイトLAN上のサーバ
アクセスすることは許されていない。社外から利用するサーバは、A-NETには接
続れていないLAN上で動作する必要がある。しかし、最近、A-NETに接続きれた
サーバを社外からも利用したい、すなわち"社外公開サーバ"を設置したいという要
求が多い。
これを受けて、情報システム部は、十分なセキュリティ対策を前提とした上で、
"社外公開サーバ"設置の個別認可を行うことにした。図5はその運用ポリシ案であ
り、試の後、A-NETセキュリティガイドに盛り込まれる予定である。
|
〔個別認可の対象〕 ① 個別認可の対象となる社外接続は、次の条件をすべて満たす必要がある。 〔認証〕 ② アクセスしようとする利用者が、許可された者かどうかを判別するために、次の中から少 〔アクセス制御〕 ③ 外部クライアントがアクセスできる社外公開サーバは.必要最小限に限定されな 〔ログ監視〕 ⑤ 【 c 】 |
〔BビルのサイトLAN〕
A社のB事業部は、BビルとB工場の二拠点に分かれている。技術部と営業部だけ
がBビルにあり、製造部などのほかの部はB工場にある。
Bビルは3階建てで、営業部は2、3階に、技術部は3階に入居している。1階は
両部の共通フロアとなっている。取引先など社員以外は、すべて1階の受付けで入退
館の手続を受けることになっている。
図6に、Bビルのネットワーク構成を示す。技術部と営業部は、それぞれ別の
LANをもっている。これらのLANは、ルータで接続されているが、特にパケット
フィルタリングは行っていない。これらのLANは、一つのサイトLAN(Bビルサイ
トLAN)として、A-NETに加入している。このほか、BビルサイトLANとは独立し
たLAN(営業部独立LAN)がある。
技術部は、技術情報サーバを用い技術情報システムを稼働させている。このサーバ
には、B事業部の技術部と製造部がアクセスする。技術情報システムは、顧客製品の
仕様情報など、機密性の高いデータを扱ったシステムである。営業部は、営業情報
サーバを用い営業情報システムを稼働させている。営業情報システムは、ホテル、自
宅など、社外から営業部員が利用するシステムなので、A-NETとは独立したLANで
運用している。そのほか、全社サーバとして、技術部にメールサーバがある。表1に
これらのサーバの利用状況を示す。
| サーバ (所在) |
利用目的 | サーバ利用者 | 実施している アクセス制御と認証 |
| 技術情報サーバ (BビルサイトLAN) |
技術情報 システム |
技術部、 製造部 |
ログイン時のアカウントと パスワードの照合 |
| 営業情報サーバ (営業部独立LAN) |
営業情報 システム |
営業部 | ログイン時のアカウントと パスワードの照合 |
| リモートアクセスサーバ (営業部独立LAN) |
営業情報 システム |
営業部 | 着呼時のアカウントと パスワードの照合 |
| メールサーバ (BビルサイトLAN) |
A社電子 メールシステム |
技術部、 営業部 |
ログイン時のアカウントと パスワードの照合 |
BビルサイトLANのサイトLAN管理者は、技術部に所属しているC氏である。
ネットワーク機器と表1のサーバの運用管理は、C氏が行っている。
〔BピルサイトLANの見直し構想〕
技術情報システムの運用担当者は、現在の技術情報サーバのセキュリティ対策は不
十分であり、利用できるパソコンを必要なものだけに限定したいと考えている。営業
情報システムの運用担当者は、営業部独立LANをA-NETと接続し、社内にある営業
部員のパソコンからも営業情報システムを利用できるようにしたいと考えている。こ
れらのシステムの利用者は、そのほとんどが業務に必要なパソコン操作ができるだけ
で、ネットワークやサーバの知識はない。セキュリティに対する認識もまだ十分とは
いえない。
B事業部長は、両システムの運用担当者の意見を聞き、Bビルのネットワークを見
直すようC氏に指示した。また、セキュリティへの意識が低いことを危ぐし、技術部
と営業部の全員にセキュリティに関する集合教育を行うよう併せて指示した。
指示を受けたC氏は、図7のような改善案を作成した。その内容は次のとおりである。
(1) BビルサイトLANを、技術部サイトLAN、営業部サイトLANの二つに分ける。
(2) 基幹ネットワークと技術部サイトLANの間、及び営業部サイトLANと営業部独
立LANの間に、ルータ(ファイアウォール)を設置し、"パケットフィルタリン
グ'を行う。パケットフィルタリングの定義には、クライアントのIPアドレス及
びサーバのIPアドレスとTCPポート番号を用いる。許可する通信をこれらの組合
せで定義し、それ以外のパケットはすべて破棄する運用とする。
(3) 営業部のサイトLANに認証サーバを設置し、リモートアクセスサーバが外部ク
ライアントから接続要求を受けた時の認証強化と、そのログ管理を行う。
〔情報システム部の見解〕
C氏は、図7の改善案を情報システム部に提示し、セキュリティ対策の妥当性につ
いて見解を求めた。情報システム部では、図8の検討結果をC氏に回答した。
|
〔BビルサイトLANの分割について〕 ① サイトLAN管理者については、C氏が両方を兼務してもよいが、営業部の中から新たに ② サイトLANのアドレスについては、現在使っているネットワークアドレスをサブネット 〔技術部サイトLANについて〕 ③ サイト独白にファイアウォールを設置することは、A-NETのセキュリティ上、特に問題 〔営業部サイトLANの社外接続について〕 ④ 運用ポリシ案(図5)に準拠していると見なせるので、社外接続のパイロットケースとし ⑤ 認証サーバに関する考察 ⑥ 営業情報サーバに関する考察 ⑦ ⑤、⑥で指摘した問題点の解決案 |
〔BビルサイトLANの改善作業〕
C氏は、図8の内容を盛り込んだ改善計画書を作成し、B事業部長に了解を求めた。
B事業部長はその計画を承認し、C氏に具体的な作業を進めるよう指示した。また、
サイトLAN分割後は、C氏を技術部サイトLANのサイトLAN管理者とし、営業部
のD氏を営業部サイトLANのサイトLAN管理者にすることを決めた。
C氏は、表2のように今後の作業と担当者を決め、BビルサイトLANの改善を推進す
ることにした。
| 作業項目 | 作業内容 | 担当者 |
| サイトLAN運用 ポリシの作成 |
技術部サイトLANと営業部サイトLANの運用ポリシを決 定し、新サイトLANの正式申請を情報システム部に行う。 |
C氏、D氏 |
| 利用者集合教育 | ネットワーク移行前に、技術部と営業部の全員に対しセキ ュリティに関する必要最小限の知識について説明する。 |
C氏 |
| 新ネットワーク の設計と構築 |
改善案を基に、Bビルネットワークシステムの再設計、構築、 移行を行う。 |
C氏、D氏 |
| LAN管理業務の 引継ぎ |
営業部サイトLANの運用に必要な管理業務を引き継ぐ | D氏 |
設問1
A-NETのセキュリティポリシに関する次の問いに答えよ。
(1) "サイト内アドレス"を運用するために、基幹ルータで必要となる設定内
容を30字以内で述べよ。
(2) A-NETの加入単位として、会社の組織(例えば事業部・部)を採用しな
かった理由を30字以内で述べよ。
(3) 加入単位である"サイト"と会社の組織単位が一致しないことで生じる
ネットワーク運用上の問題点を25字以内で述べよ。
(4) (3)の問題点に対し、A-NETはどのような対策を講じているか。40字以内
で述べよ。
(5) 図5中の【 a 】~【 d 】に入れる適切な字句を、それぞれ
30字以内で答えよ。
設問2
BビルサイトLANの見直しに関する次の問いに答えよ。
(1) A-NETセキュリティポリシに従い、技術情報サーバを守るために必要な
セキュリティ対策を二つ挙げ、それぞれ20字以内で述べよ。
(2) 図8の③で情報システム部が指摘している、ファイアウォール運用の複雑
さとは何か。40字以内で述べよ。
(3) 図8中の【 e 】、【 j 】に入れる適切な記号を、図7にある
(ア)~(ケ)の中から選べ。
(4) 図8中の【 f 】~【 i 】に入れる適切な字句を、それぞれ
10字以内で答えよ。
(5) 営業部員が社外からもA社のメールシステムを利用できるようにしたい。
この場合に必要な改善案(図7)の変更点を40字以内で述べよ。
設問3
BピルサイトLANの改善に伴う今後の作業(表2)に関する次の問いに答えよ。
(1) セキュリティ維持のため、今後、D氏が行わなければならない日常の作業
のうち、認証にかかわる作業を三つ挙げ、それぞれ20字以内で述べよ。
(2) 情報システム部の回答以外にも、BピルのサイトLANを分割することに
よって、セキュリティ管理上の問題が幾つか発生する。この中から、新しい
サイトLANの運用ポリシ作成において検討が必要な問題を二つ挙げ、それ
ぞれ30字以内で述べよ。
設問4
社外接続の試行期間中、営業部サイトLANが運用ポリシ案(図5)に準拠
し適正に運用されていることを、情報システム部も定期的に確認すべきである。
そのために、情報システム部が行うべき作業は何か。D氏から定期的に運用状
況の報告を受け取りその内容を確認すること以外に必要な作業を二つ挙げ、そ
れぞれ50字以内で述べよ。
sponsored link
このページ
のTOPへ
