応用情報技術者 2009年 秋期 午後 問05
リモートアクセスに関する次の記述を読んで、設問1~3に答えよ。
T社は、東京に本社があり、都内に3か所の営業所をもつ、食料品販売会社である。本社と各営業所のLANは、インターネットVPNによって相互に接続され、T社のネットワークを構成している。インターネットVPNには、ファイアウォール(以下、FWという)に組み込まれているIPsec機能を使用している。
インターネットVPNの導入前から、営業員は、T社から1人に1台支給される携帯用PCから、公衆網を利用してT社ネットワークにリモートアクセスをしている。営業員は、リモートアクセスによって、メールサーバ、Webサーバ、データベースサーバ(以下、DBサーバという)へのアクセスなど、社内と同様の作業を行える。リモートアクセスには、本社に設置されたリモートアクセスサービスサーバ(以下、RASサーバという)にPHSで接続する方式を使用している。
図1に、T社ネットワークの構成を示す。社内LANでは、DHCPサーバが割り当てるローカルIPアドレスを使用している。
T社の事業拡張に伴い、携帯用PCのリモートアクセスに、次の問題が発生した。
・営業員の増加によってRASサーバへのアクセスが増し、回線がつながりにくくなり、業務に支障が出ている。
・営業地域が全国に拡大し、通信費が増大している。
問題解決のために、インターネット経由で携帯用PCを接続する方法として、次の三つの案を検討した。
〔案1〕
社内のRASサーバの代わりに、通信事業者が提供するRASサーバに、携帯用PCからリモートアクセスする(図2)。営業員は、最寄りの通信事業者のRASサーバに、PHSで接続する。RASサーバへの接続時のユーザ認証は、aやbなどを利用して通信事業者が行う。
〔案2〕
既存のFWによるIPsec機能とは別に、SSL-VPN装置を導入し、SSLによってVPNを構成する(図3)。携帯用PCをインターネットに接続できる環境があれば、Webブラウザを起動して、社内のアプリケーションを利用できる。
SSL-VPN装置は、cが発行したサーバ証明書を携帯用PCに送信して、自らをサーバ認証してもらう。逆に、クライアント証明書を受信して、クライアント認証を行うこともできる。
〔案3〕
既存のインターネットVPNを使用する(図4)。携帯用PCをインターネットに接続できる環境があれば、あらかじめインストールしておいたIPsecクライアント用ソフトウェアを使用して、社内のアプリケーションを利用できる。
セキュリティプロトコルには、データの暗号化機能を提供するdを使用する。通モードには、IPヘッダとデータ部をまとめて暗号化するトンネルモードを使用する。
〔案3の課題〕
案1~3の特徴を考慮して、案3を導入する方向で検討を進めた。営業員の利用環境を調査したところ、NAPTを利用している環境があったが、NAPTの利用に関連して発生することのある問題には対処できていることが確認できた。しかし、リモートアクセスを不可能にする別の課題があることが分かった。例えば、携帯用PCが、出張先のホテルにあるeから、動的にfを取得する場合、T社ネットワーク内でfが重複してしまい、リモートアクセスができなくなるおそれがある。
この課題について更に調査し、恒久的な対策があることが分かった。
設問1:
本文中のa〜dに入れる適切な字句を解答群の中から選び、記号で答えよ(aとbは順不同)。
解答群
ア:AH
イ:CA
ウ:CHAP
エ:ESP
オ:ICMP
力:IEEE
キ:ISO
ク:RADIUS
ケ:RFC
模範解答
a:ウ
b:ク
c:イ
d:エ
解説
解答の論理構成
-
〔案1〕の記述
引用:「RASサーバへの接続時のユーザ認証は、aやbなどを利用して通信事業者が行う。」
• 携帯用PCとRASサーバ間のユーザ認証で代表的なのは「CHAP(Challenge Handshake Authentication Protocol)」と「RADIUS(Remote Authentication Dial In User Service)」。
• CHAPはPPPのリンク確立後にチャレンジ/レスポンス方式でパスワードを秘匿して認証するプロトコル、RADIUSは集中認証サーバの代表格でISPが多用。
• 選択肢を見ると「ウ:CHAP」「ク:RADIUS」が該当。よって
a:ウ b:ク(順不同) -
〔案2〕の記述
引用:「SSL-VPN装置は、cが発行したサーバ証明書を携帯用PCに送信して、自らをサーバ認証してもらう。」
• サーバ証明書を発行する主体は公開鍵基盤の「CA(Certificate Authority)」。
• 選択肢「イ:CA」が対応。
c:イ -
〔案3〕の記述
引用:「セキュリティプロトコルには、データの暗号化機能を提供するdを使用する。」
• IPsecのセキュリティプロトコルは「AH」と「ESP」。
• 「AH」は認証・改ざん検出のみ、「ESP」は認証に加え暗号化(機密性)を提供する。
• 「データの暗号化機能を提供する」と明言しているので「ESP」が正解。
• 選択肢「エ:ESP」。
d:エ -
以上より模範解答と一致
a:ウ b:ク c:イ d:エ
誤りやすいポイント
- 「RADIUS=集中認証サーバ」のイメージが強く、PPPレベルの認証と思い込み「CHAP」を落とすケース。
- IPsecの「AH」「ESP」の違いを機密性の有無で整理しておらず、単に“認証ヘッダだから安全”と誤選択。
- 証明書関連用語で「CA」と「RA」を混同し、発行主体を取り違えるミス。
- a・bが「順不同」である点を見落とし、正しい二つを選んでも順序指定があると思い悩む。
FAQ
Q: 「PAP」もPPPの認証ですが選ばれないのは?
A: PAPは平文パスワード送信のため安全性が低く、ISPが現在採用するケースは稀です。問題文は代表的で安全な方式を例示させる意図なので「CHAP」「RADIUS」を選びます。
A: PAPは平文パスワード送信のため安全性が低く、ISPが現在採用するケースは稀です。問題文は代表的で安全な方式を例示させる意図なので「CHAP」「RADIUS」を選びます。
Q: IPsecで暗号化だけが必要ならSSL/TLSよりESPを選ぶべき理由は?
A: ここでは既設IPsec環境にモバイルを取り込む想定です。社内‐拠点間と同一プロトコルにすることで装置追加や運用負荷を抑えられる点が重視されています。
A: ここでは既設IPsec環境にモバイルを取り込む想定です。社内‐拠点間と同一プロトコルにすることで装置追加や運用負荷を抑えられる点が重視されています。
Q: AHとESPを併用することはありますか?
A: あります。ESPで暗号化&部分的認証を行い、さらにAHで全体の改ざん検知を追加する構成が理論上可能ですが、実務ではESP単独またはESP+トンネルモードが主流です。
A: あります。ESPで暗号化&部分的認証を行い、さらにAHで全体の改ざん検知を追加する構成が理論上可能ですが、実務ではESP単独またはESP+トンネルモードが主流です。
関連キーワード: PPP認証、公開鍵基盤、SSL-VPN, IPsec, ESP, RADIUS
設問2:
案1〜3に関する記述として適切なものを解答群の中からそれぞれ一つ選び、記号で答えよ。
解答群
ア:HTTP以外のアプリケーションの通信プロトコルに対応できない。
イ:インターネット通信の暗号化を追加検討する必要がある。
ウ:クライアント認証の有無は、サーバ側で設定できる。
エ:事前共有鍵として、FWと携帯用PCに認証鍵を設定する。
オ:パケット転送に、ラベルスイッチング方式を用いている。
模範解答
案1:イ
案2:ウ
案3:エ
解説
解答の論理構成
以上より模範解答「案1:イ、案2:ウ、案3:エ」が導かれます。
誤りやすいポイント
- SSL=HTTPSと短絡し、「HTTP以外のアプリケーションの通信プロトコルに対応できない。」(ア)が案2だと思い込む。実際はポートフォワーディングやクライアントソフト併用で多様なプロトコルを通すことが可能です。
- IPsec=自動的に証明書方式と早合点し、事前共有鍵を軽視する。小規模・モバイル利用では事前共有鍵が現実的な選択肢である点を忘れがちです。
- 通信事業者のRAS=専用線と勘違いし、インターネット区間の暗号化を見落とす。図に「インターネット」が明示されていることを必ず確認しましょう。
FAQ
Q: SSL-VPNでクライアント証明書を省略すると安全性は下がりますか?
A: サーバ証明書だけでも通信は暗号化され盗聴は防げますが、ユーザ認証がID/パスワードだけになるため、なりすましリスクは高まります。重要データにアクセスさせる場合はクライアント証明書やワンタイムパスワードを併用しましょう。
A: サーバ証明書だけでも通信は暗号化され盗聴は防げますが、ユーザ認証がID/パスワードだけになるため、なりすましリスクは高まります。重要データにアクセスさせる場合はクライアント証明書やワンタイムパスワードを併用しましょう。
Q: IPsecの事前共有鍵方式は、利用者が多いと管理が煩雑になりませんか?
A: はい。ユーザごとに鍵を変える場合は配布・更新が負担になります。利用者が増えたら証明書ベース(IKE + PKI)やRADIUS連携に移行すると運用が楽になります。
A: はい。ユーザごとに鍵を変える場合は配布・更新が負担になります。利用者が増えたら証明書ベース(IKE + PKI)やRADIUS連携に移行すると運用が楽になります。
Q: 通信事業者のRASを使う場合、IPsecトンネルを追加すれば十分ですか?
A: 多くのケースで十分ですが、拠点増設時は拠点―RAS間のIPアドレス設計や、フラグメント・MTUの調整も必要になることがあります。
A: 多くのケースで十分ですが、拠点増設時は拠点―RAS間のIPアドレス設計や、フラグメント・MTUの調整も必要になることがあります。
関連キーワード: SSL-VPN, IPsec, 事前共有鍵、サーバ証明書、クライアント認証
設問3:〔案3の課題〕について、(1)、(2)に答えよ。
(1)本文中のe、fに入れる適切な字句を本文中から選んで答えよ。
模範解答
e:DHCPサーバ
f:ローカルIPアドレス 又は IPアドレス
解説
解答の論理構成
-
本文には次の記載があります。
・「社内LANでは、DHCPサーバが割り当てるローカルIPアドレスを使用している。」
この一文から、T社社内では「DHCPサーバ」により「ローカルIPアドレス」が払い出されていることが分かります。 -
課題説明の該当箇所を確認します。
「例えば、携帯用PCが、出張先のホテルにあるeから、動的にfを取得する場合、T社ネットワーク内でfが重複してしまい、リモートアクセスができなくなるおそれがある。」 -
「ホテルで動的にアドレスを取得する」典型的な仕組みは「DHCPサーバ」です。したがってeには「DHCPサーバ」が入ります。
-
次にfについて、動的に取得し重複が問題になるものは「ローカルIPアドレス」です。本文にも同じ語が登場しているため、fは「ローカルIPアドレス」と判断できます。
-
以上より、 ・e:DHCPサーバ
・f:ローカルIPアドレス
が妥当です。
誤りやすいポイント
- 「出張先のホテル」という文脈から、e を「アクセスポイント」や「Wi-Fiルータ」と読み替えてしまうことがありますが、動的アドレス払い出しの主体を問われている点に注意が必要です。
- 社内でもホテルでも同じ語「ローカルIPアドレス」が使われているため、f を「グローバルIPアドレス」と誤解するケースがあります。VPN の内部通信ではローカルアドレスが衝突することが問題になる点を意識しましょう。
- 「動的に取得する」というキーワードから PPP 接続時の「IP アドレスネゴシエーション」を連想し、e を「RASサーバ」と混同するミスも見受けられます。設問はホテル側の設備を想定しています。
FAQ
Q: ホテルの「DHCPサーバ」はどこに存在しているのですか?
A: 多くの宿泊施設では無線アクセスポイントやルータに DHCP 機能が内蔵されており、館内 LAN に接続した端末へローカルIPアドレスを自動配布しています。
A: 多くの宿泊施設では無線アクセスポイントやルータに DHCP 機能が内蔵されており、館内 LAN に接続した端末へローカルIPアドレスを自動配布しています。
Q: ローカルIPアドレスが重複すると具体的に何が起こるのですか?
A: VPN トンネル内と外で同一アドレスが共存すると、ルーティングやパケットの戻り先が不定になり、セッション確立やアプリケーション通信が成立しなくなる場合があります。
A: VPN トンネル内と外で同一アドレスが共存すると、ルーティングやパケットの戻り先が不定になり、セッション確立やアプリケーション通信が成立しなくなる場合があります。
Q: 恒久的な対策とは具体的にどのような方法ですか?
A: 代表的には「ローカルIPアドレス再設計」「プライベートアドレス範囲の拡張」「IPv6 への移行」などが挙げられます。アドレス重複を根本的に排除できる点から“恒久的”と表現されます。
A: 代表的には「ローカルIPアドレス再設計」「プライベートアドレス範囲の拡張」「IPv6 への移行」などが挙げられます。アドレス重複を根本的に排除できる点から“恒久的”と表現されます。
関連キーワード: DHCP, プライベートアドレス、IPsec, VPN, IPv4
設問3:〔案3の課題〕について、(1)、(2)に答えよ。
(2)本文中の下線部の恒久的な対策として適切なものを解答群の中から選び、記号で答えよ。
解答群
ア:本社DHCPサーバからIPsec専用のIPアドレスを携帯用PCに割り当てる。
イ:本社FWの通信ポート443番の通信を許可する。
ウ:本社と営業所の通信ポート番号の体系を変更する。
エ:本社と営業所のローカルIPアドレスの体系を変更する。
オ:本社プロキシサーバのNAPT機能を解除する。
模範解答
ア
解説
解答の論理構成
-
課題の整理
〔案3の課題〕では、 「携帯用PCが、出張先のホテルにあるeから、動的にfを取得する場合、T社ネットワーク内でfが重複してしまい、リモートアクセスができなくなるおそれ」
とあるように、ホテル側のDHCPが配るローカルアドレスが、社内LANで使っているローカルアドレスと衝突してしまう点が問題です。 -
なぜ重複が発生するのか
・リモートアクセス時、IPsecのトンネルモードでは「IPヘッダとデータ部をまとめて暗号化」するため、クライアント側も社内と同じアドレス体系に“入る”必要があります。
・ところがホテルのDHCPから既にプライベートアドレス(例:192.168.0.10 など)を借りていると、そのまま社内と同じ帯域と見なされ、経路があいまいになります。 -
恒久的対策の要件
・社外で取得したアドレスと社内アドレスの“重複”を根本的に回避する。
・携帯用PC側の運用を変えずに済む(ホテルやカフェの機器設定は変えられない)。
・VPN接続時だけ安全・一意なアドレスを確保できればよい。 -
候補の検証
ア:本社DHCPサーバからIPsec専用のIPアドレスを携帯用PCに割り当てる。
→ VPN確立後に“社内専用かつユニーク”なアドレスを再配布できるため重複が生じない。
イ:本社FWの通信ポート443番の通信を許可する。
→ SSL-VPN の話であり、IPアドレス重複とは無関係。
ウ:本社と営業所の通信ポート番号の体系を変更する。
→ ポート番号とIPアドレス重複は別問題。
エ:本社と営業所のローカルIPアドレスの体系を変更する。
→ 重複は“ホテルなど”の不特定アドレスとぶつかるので、社内だけ変えても再び衝突する可能性がある。恒久策にならない。
オ:本社プロキシサーバのNAPT機能を解除する。
→ NAPTは既に「対処できている」と明記されており、今回の課題とは別件。 -
結論
重複を確実に避けるには、VPN接続時に「本社DHCPサーバ」から専用範囲のアドレスを再配布する方法が最も合理的であり、解答群「ア」が妥当です。
誤りやすいポイント
- 「エ」を選び、社内のアドレス体系を変えれば済むと考えてしまう。実際は外部ネットワークが無数にあり、いずれまた衝突する可能性が残るため恒久策にならない。
- NAPT問題と勘違いして「オ」を選ぶケース。本文に「NAPTの利用に関連して発生することのある問題には対処できている」と明示されている点を見落としやすい。
- ポート番号(イ・ウ)とIPアドレスの混同。ポートは“同一IP内での識別子”であり、アドレス重複には効果がない。
FAQ
Q: 既にホテルで取得したプライベートアドレスをそのまま使い、ルーティングだけで解決する方法はありませんか?
A: 二重のプライベートアドレス空間になるため経路が不明瞭になり、IPsecトンネルの内側と外側で同一アドレスが存在する“アドレスオーバーラップ”が発生します。ルーティングやポリシー制御だけでは根本的に解決できません。
A: 二重のプライベートアドレス空間になるため経路が不明瞭になり、IPsecトンネルの内側と外側で同一アドレスが存在する“アドレスオーバーラップ”が発生します。ルーティングやポリシー制御だけでは根本的に解決できません。
Q: そもそも VPN クライアントに静的アドレスを手動設定すれば良いのでは?
A: 訪問先ネットワークが 192.168.0.0/24 などを使用している場合、手動で設定した同一帯域が競合する可能性があります。DHCP を使い「VPN確立後だけ」有効な専用アドレスを割り当てる方が安全です。
A: 訪問先ネットワークが 192.168.0.0/24 などを使用している場合、手動で設定した同一帯域が競合する可能性があります。DHCP を使い「VPN確立後だけ」有効な専用アドレスを割り当てる方が安全です。
Q: SSL-VPN(案2)ならアドレス重複問題は起きませんか?
A: SSL-VPN はアプリケーション層またはトランスポート層でトンネルを構築するため、IP 層の衝突リスクは小さいですが、IPsec(案3)を採用する方針で検討しているため今回の対策が必要です。
A: SSL-VPN はアプリケーション層またはトランスポート層でトンネルを構築するため、IP 層の衝突リスクは小さいですが、IPsec(案3)を採用する方針で検討しているため今回の対策が必要です。
関連キーワード: IPアドレス重複、DHCP再割り当て、IPsecトンネル、プライベートアドレス、VPNクライアント
