応用情報技術者 2022年 秋期 午後 問05
テレワーク環境への移行に関する次の記述を読んで、設問に答えよ。
W社は、東京に本社があり、全国に2か所の営業所をもつ、社員数200名のホームページ制作会社である。W社では本社と各営業所との間をVPNサーバを利用してインターネットVPNで接続している。
本社のDMZでは、プロキシサーバ、VPNサーバ及びWebサーバを、本社の内部ネットワークではファイル共有サーバ及び認証サーバを運用している。
W社では、一部の社員が、社員のテレワーク環境からインターネットを介して本社VPNサーバにリモート接続することで、テレワークとWeb会議を試行している。
W社のネットワーク構成を図1に示す。
〔W社の各サーバの機能〕
W社の各サーバの機能を次に示す。
・本社VPNサーバは、各営業所のVPNサーバとの間でインターネットVPNで拠点間を接続する。また、社員のテレワーク環境にあるPCにリモートアクセス機能を提供する。
・本社、各営業所及び社員のテレワーク環境のPCのWebブラウザからインターネット上のWebサイトへの接続は、本社のプロキシサーバを経由して行われる。プロキシサーバは、インターネット上のWebサイトへのアクセス時のコンテンツフィルタリングやログの取得を行う。
・ファイル共有サーバには、社員ごとや組織ごとに保存領域があり、PCにはファイルを保存しない運用をしている。
・認証サーバでは、社員のID、パスワードなどを管理して、PCやファイル共有サーバへのログイン認証を行っている。
現在利用している本社のインターネット接続回線は、契約帯域が100Mビット/秒(上り/下り)で帯域非保証型である。
〔テレワークの拡大〕
W社では、テレワークを拡大することになり、情報システム部のX部長の指示でYさんがテレワーク環境への移行を担当することになった。
Yさんが移行計画を検討したところ、テレワークに必要なPC(以下、リモートPCという)、VPNサーバ及びリモートアクセスに必要なソフトウェアとそのライセンスの入手は即時可能であるが、本社のインターネット接続回線の帯域増強工事は、2か月掛かることが分かった。そこでYさんは、ネットワークの帯域増強工事が完了するまでの間、ネットワークに流れる通信量を監視しながら移行を進めることにした。
〔W社が採用したリモートアクセス方式〕
今回Yさんが採用したリモートアクセス方式は、aで暗号化されたb通信を用いたインターネットVPN接続機能によって、社員がリモートPCのWebブラウザからVPNサーバを経由して本社と各営業所の内部ネットワークのPC(以下、内部PCという)を遠隔操作する方式である。ここで、リモートPCからの内部PCの遠隔操作は、内部PCのOSに標準装備された機能を利用して、ネットワーク経由で内部PCのデスクトップ画面情報をリモートPCが受け取って表示し、リモートPCから内部PCのデスクトップ操作を行うことで実現する。
この方式では、リモートPCから内部PCを直接操作することになるので、従来の社内作業をそのままリモートPCから行うことができる。リモートPCからの遠隔操作で作成した業務データもファイル共有サーバに保存するので、社員が出社した際にも業務データをそのまま利用できる。
なお、本社VPNサーバと各営業所のVPNサーバとの間を接続する通信で用いられている暗号化機能は、aとは異なり、ネットワーク層で暗号化するcを用いている。
〔リモートアクセスの認証処理〕
Webサーバにリモートアクセス認証で必要なソフトウェアをインストールして、あらかじめ社員ごとに払い出されたリモートアクセス用IDなどを登録しておく。また、①リモートPCにはリモートアクセスに必要な2種類の証明書をダウンロードする。
テレワークの社員がリモートアクセスするときの認証処理は、次の二段階で行われる。
第一段階の認証処理は、本社VPNサーバにリモートPCのWebブラウザからVPN接続をする際の認証である。まず、社員はWebサーバのリモートログイン専用のページにアクセスして、リモートアクセス用のIDを入力することによってVPN接続に必要で一定時間だけ有効なdを入手する。このリモートログイン専用のページにアクセスする際には、リモートPC上の証明書が利用される。次にWebブラウザから本社VPNサーバにアクセスして、リモートアクセス用のIDとdを入力することによってリモートPC上の証明書と合わせてVPN接続の認証が行われる。
第二段階の認証処理は、通常社内で内部PCにログインする際に利用するIDとパスワードを用いてeで行われる。
〔テレワークで利用するWeb会議サービス〕
テレワークで利用するWeb会議サービスは、インターネット上でSaaSとして提供されているV社のWeb会議サービスを採用することになった。このWeb会議サービスは、内部PCのWebブラウザとSaaS上のWeb会議サービスとを接続して利用する。Web会議サービスでは、同時に複数のPCが参加することができ、ビデオ映像と音声が参加しているPC間で共有される。利用者はマイクとカメラの利用の要否をそれぞれ選択することができる。
〔テレワーク移行中に発生したシステムトラブルの原因と対策〕
テレワークへの移行を進めていたある日、リモートPCから内部PCにリモート接続するPC数が増えたことで、リモートPCでは画面応答やファイル操作などの反応が遅くなったり、Web会議サービスでは画面の映像や音声が中断したりする事象が頻発した。
社員から業務に支障を来すと申告を受けたYさんは、直ちに原因を調査した。
Yさんが原因を調査した結果、次のことが分かった。
(1) 社内ネットワークを流れる通信量を複数箇所で測定したところ、本社のインターネット接続回線の帯域使用率が非常に高い。
(2) 本社のインターネット接続回線を流れる通信量を通信の種類ごとに調べたところ、Web会議サービスの通信量が特に多い。このWeb会議サービスの②通信経路に関する要因のほかに、映像通信が集中して通信量が増大することが要因となったのではないかと考え、利用者1人当たりの10分間の平均転送データ量を実測した。その結果は、映像と音声を用いた通信方式の場合で120Mバイトであった。これを通信帯域に換算するとfMビット/秒となる。
社員200名のうち60%の社員が同時にこのWeb会議サービスの通信方式を利用する場合、使用する通信帯域はgMビット/秒となり、この通信だけで本社のインターネット接続回線の契約帯域を超えてしまう。
Yさんは、本社のインターネット接続回線を流れる通信量を抑える方策として、営業所1と営業所2に設置された③UTMを利用してインターネットの特定サイトへアクセスする設定と営業所PCのWebブラウザに例外設定を追加した。
Yさんは、今回の原因調査の結果と対策案をX部長に報告しトラブル対策を実施した。その後本社のインターネット接続回線の帯域増強工事が完了し、UTMと営業所PCのWebブラウザの設定を元に戻し、テレワーク環境への移行が完了した。
設問1:
本文中のa〜cに入れる適切な字句を解答群の中から選び記号で答えよ。
解答群
ア:FTP
イ:HTTPS
ウ:IPSec
エ:Kerberos
オ:LDAP
力:TLS
模範解答
a:カ
b:イ
c:ウ
解説
解答の論理構成
- 問題文はリモートアクセス方式について
今回Yさんが採用したリモートアクセス方式は、aで暗号化されたb通信を用いたインターネットVPN接続機能 …
ここで “b通信” は Web ブラウザ経由で用いられることが直前に示されており、暗号化前提の HTTP‐S を指すと判断できます。 - HTTPS を構成する暗号プロトコル
…aで暗号化されたb通信…
“HTTPS は TLS/SSL により暗号化された HTTP” が教科書的定義です。選択肢で TLS に該当するのは “カ:TLS”。
よって
• a = “カ:TLS”
• b = “イ:HTTPS” - 拠点間 VPN の暗号方式
…ネットワーク層で暗号化するcを用いている。
ネットワーク層で暗号化する代表的技術は IPSec。一致する選択肢は “ウ:IPSec”。 - 以上より
a:カ b:イ c:ウ
誤りやすいポイント
- 「HTTPS が暗号化方式」と思い込み、a と b を逆にする。HTTPS は“通信方式”、暗号化自体は TLS が担当です。
- IPSec を「トランスポート層の技術」と誤解し TLS と混同する。IPSec は“ネットワーク層”で暗号化を行います。
- FTP・LDAP・Kerberos など他の選択肢を「認証に関係するので暗号化かも」と選んでしまう。設問は暗号“層”と“通信方式”の組合せを問うています。
FAQ
Q: TLS と SSL のどちらを書くべきか迷いました。
A: 現行標準は TLS で、選択肢にも “TLS” があるためそれを選択します。SSL は旧称です。
A: 現行標準は TLS で、選択肢にも “TLS” があるためそれを選択します。SSL は旧称です。
Q: IPSec には “トンネルモード” と “トランスポートモード” がありますが、どちらを指していますか。
A: 本問はモードまで求めていません。いずれのモードでも「ネットワーク層で暗号化する」という特徴が当てはまるため IPSec が正解です。
A: 本問はモードまで求めていません。いずれのモードでも「ネットワーク層で暗号化する」という特徴が当てはまるため IPSec が正解です。
Q: HTTPS も TLS もアプリケーション層で働くのでは?
A: HTTPS はアプリケーション層のプロトコル (HTTP) を TLS で包む形です。TLS 自体はトランスポート層直上で動作し、アプリケーション層のデータを暗号化します。
A: HTTPS はアプリケーション層のプロトコル (HTTP) を TLS で包む形です。TLS 自体はトランスポート層直上で動作し、アプリケーション層のデータを暗号化します。
関連キーワード: TLS, HTTPS, IPSec, VPN, 暗号化
設問2:〔リモートアクセスの認証処理〕について答えよ。
(1)本文中の下線①について、どのサーバの認証機能を利用するために必要な証明書か。図1中のサーバ名を用いて全て答えよ。
模範解答
Webサーバ、本社VPNサーバ
解説
解答の論理構成
- 問題文では、リモートアクセス時の第一段階の認証処理について
「まず、社員はWebサーバのリモートログイン専用のページにアクセスして、…このリモートログイン専用のページにアクセスする際には、リモートPC上の証明書が利用される。」
と記載されており、証明書が【引用】「Webサーバ」の認証機能で用いられることが示されています。 - 続けて同じ段落に
「次にWebブラウザから本社VPNサーバにアクセスして、…リモートPC上の証明書と合わせてVPN接続の認証が行われる。」
とあり、同じ証明書が【引用】「本社VPNサーバ」の認証機能でも利用されることが明記されています。 - 下線①は「リモートPCにはリモートアクセスに必要な2種類の証明書をダウンロードする。」という一文に該当し、どのサーバの認証に使うかを問うています。
- 上記 1・2 の通り、証明書を用いた認証対象サーバは「Webサーバ」と「本社VPNサーバ」の二つであるため、設問に対する解答は両サーバ名を漏れなく挙げる必要があります。
誤りやすいポイント
- 「ファイル共有サーバ」や「認証サーバ」は第二段階の認証を処理するが、下線①で問われているのは第一段階で利用される証明書の用途であり、これらは含めない点に注意が必要です。
- 「VPNサーバ」は本社と営業所の双方に存在するが、リモートアクセスで接続先となるのは DMZ 内の「本社VPNサーバ」であることを取り違えやすいです。
- “二段階認証”という語に引きずられ、パスワード認証を行うサーバまで列挙してしまうミスが生じやすいです。
FAQ
Q: 「2種類の証明書」とあるが、サーバは2台以上になるのでは?
A: 証明書が2種類でも、利用先は「Webサーバ」と「本社VPNサーバ」の2台です。証明書ごとに用途が分かれていると読めますが、設問は“どのサーバの認証機能”かを問うため、利用先サーバを答えます。
A: 証明書が2種類でも、利用先は「Webサーバ」と「本社VPNサーバ」の2台です。証明書ごとに用途が分かれていると読めますが、設問は“どのサーバの認証機能”かを問うため、利用先サーバを答えます。
Q: 「認証サーバ」は認証という言葉があるが含めなくて良い?
A: 第二段階の「eで行われる」認証で利用される ID・パスワードの処理は認証サーバですが、下線①は証明書の利用先に限定しているため対象外です。
A: 第二段階の「eで行われる」認証で利用される ID・パスワードの処理は認証サーバですが、下線①は証明書の利用先に限定しているため対象外です。
Q: 営業所側のVPNサーバも証明書を使うのでは?
A: 営業所 VPN サーバは拠点間 VPN 用であり、リモートアクセス(社員のテレワーク環境からの接続)には関与しません。証明書が必要なのは DMZ 内の「本社VPNサーバ」です。
A: 営業所 VPN サーバは拠点間 VPN 用であり、リモートアクセス(社員のテレワーク環境からの接続)には関与しません。証明書が必要なのは DMZ 内の「本社VPNサーバ」です。
関連キーワード: 証明書認証、インターネットVPN, DMZ, 二段階認証、Webブラウザ
設問2:〔リモートアクセスの認証処理〕について答えよ。
(2)本文中のdに入れる適切な字句を片仮名10字で答えよ。
模範解答
d:ワンタイムパスワード
解説
解答の論理構成
- 【問題文】には、第一段階の認証について
「VPN接続に必要で一定時間だけ有効なdを入手する。」
とあります。 - 「一定時間だけ有効」という特徴は、使い捨てで時間制限付きの認証コードを指し、セキュリティ業界では「ワンタイムパスワード」が該当します。
- また、このコードを「リモートアクセス用のID」と組み合わせて入力し、リモートPC上の証明書と合わせて認証を強化していることから、多要素認証の典型的な実装であることが読み取れます。
- 以上より、dに入る適切な字句は「ワンタイムパスワード」と判断できます。
誤りやすいポイント
- 「トークン」「パスコード」など汎用的な語を選ぶと、時間制限の明示的な意味合いが弱く減点対象になります。
- 「アクセスキー」や「セッションID」は認証後に払い出される識別子であり、認証に使用する一次情報とは位置付けが異なります。
- 「PIN」や「パスフレーズ」は繰り返し使用が前提の用語で、「一定時間だけ有効」という条件を満たしません。
FAQ
Q: なぜ証明書があるのに追加で「ワンタイムパスワード」が必要なのですか?
A: 証明書は端末を、ワンタイムパスワードは利用者本人を確認する要素です。2種類を組み合わせることで、端末の盗難や証明書の流出があっても不正ログインを防ぎやすくなります。
A: 証明書は端末を、ワンタイムパスワードは利用者本人を確認する要素です。2種類を組み合わせることで、端末の盗難や証明書の流出があっても不正ログインを防ぎやすくなります。
Q: ワンタイムパスワードはどのように生成・配布されるのですか?
A: 本文では「Webサーバのリモートログイン専用のページ」にアクセスして入手すると記載されています。一般的にはハードウェアトークン、ソフトウェアトークン、SMS など多様な配布方法があります。
A: 本文では「Webサーバのリモートログイン専用のページ」にアクセスして入手すると記載されています。一般的にはハードウェアトークン、ソフトウェアトークン、SMS など多様な配布方法があります。
Q: ワンタイムパスワードの有効期限はどの程度が適切ですか?
A: 環境にもよりますが、30秒〜5分がよく採用されます。期限を短くするほど安全性は高まりますが、利用者利便性とのバランスが必要です。
A: 環境にもよりますが、30秒〜5分がよく採用されます。期限を短くするほど安全性は高まりますが、利用者利便性とのバランスが必要です。
関連キーワード: ワンタイムパスワード、認証、多要素認証、VPN, セキュリティ
設問2:〔リモートアクセスの認証処理〕について答えよ。
(3)本文中のeに入れる適切な字句を、図1中のサーバ名を用いて8字以内で答えよ。
模範解答
e:認証サーバ
解説
解答の論理構成
- 問題文は第二段階の認証処理について
――「第二段階の認証処理は、通常社内で内部PCにログインする際に利用するIDとパスワードを用いてeで行われる。」
と記載しています。 - これに対応するサーバ機能を確認すると、本文冒頭のサーバ一覧に
――「認証サーバでは、社員のID、パスワードなどを管理して、PCやファイル共有サーバへのログイン認証を行っている。」
とあります。 - 「PCやファイル共有サーバへのログイン認証」が内部PCログインを指すため、第二段階認証を実行するのはこのサーバです。
- したがって e に入る語は「認証サーバ」と結論付けられます。
誤りやすいポイント
- 「Webサーバ」は第一段階で一時コードを発行するだけで、社内PCのログイン認証には関与しない点を見落としがちです。
- 「本社VPNサーバ」はトンネル確立の認証を担当するため、ID/パスワードで行う第二段階とは役割が異なります。
- ファイル共有サーバも認証後に利用されるリソースであり、認証処理自体を提供していません。
FAQ
Q: 第二段階認証はなぜ社内標準のID/パスワードを使うのですか?
A: 社員が出社時と同じ資格情報で内部PCにログインできれば運用負担が増えず、一元管理も維持できるためです。
A: 社員が出社時と同じ資格情報で内部PCにログインできれば運用負担が増えず、一元管理も維持できるためです。
Q: 認証サーバはどのプロトコルで認証を提供しているのですか?
A: 問題文にプロトコル名の明記はありませんが、一般的には LDAP、Kerberos、RADIUS などが用いられます。
A: 問題文にプロトコル名の明記はありませんが、一般的には LDAP、Kerberos、RADIUS などが用いられます。
Q: 第一段階と第二段階を分離するメリットは?
A: VPN接続自体の安全性を確保したうえで社内システムへのアクセス権を細かく制御でき、権限分離と多層防御が実現できます。
A: VPN接続自体の安全性を確保したうえで社内システムへのアクセス権を細かく制御でき、権限分離と多層防御が実現できます。
関連キーワード: 認証サーバ、VPN, アクセス制御、証明書、多層防御
設問3:〔テレワーク移行中に発生したシステムトラブルの原因と対策〕について答えよ。
(1)本文中の下線②について、要因となるのはどのようなことか。適切な記述を解答群の中から選び、記号で答えよ。
解答群
ア:Web会議サービスの全ての通が営業所1内のUTMを通る。
イ:Web会議サービスの全ての通が本社のインターネット接続回線を通る。
ウ:社員の60%がWeb会議サービスを利用する。
エ:本社VPNサーバの認証処理を利用しない。
オ:本社のファイル共有サーバと本社の内部PCとの通信は本社の内部ネットワーク内を通る
模範解答
イ
解説
解答の論理構成
-
Web会議サービスへの接続経路を確認します。問題文には
「・本社、各営業所及び社員のテレワーク環境のPCのWebブラウザからインターネット上のWebサイトへの接続は、本社のプロキシサーバを経由して行われる。」
とあります。したがって、営業所 PC や内部 PC が Web 会議サービス(SaaS)へアクセスする場合も、いったん本社のプロキシサーバを経由します。 -
テレワーク中はリモート PC から内部 PCを遠隔操作しているため、Web 会議サービスを実際に利用しているのは内部 PC 側です。内部 PC は本社ネットワーク内にあるため、映像・音声データは必ず本社のインターネット接続回線を通過します。
-
その結果、問題文の調査結果(1)にあるように
「本社のインターネット接続回線の帯域使用率が非常に高い。」
という状況が発生します。 -
以上より、通信経路に関する要因は「Web 会議サービスの全ての通信が本社の回線を通ってしまうこと」であり、解答群の中では
イ:Web会議サービスの全ての通が本社のインターネット接続回線を通る。
が該当します。
誤りやすいポイント
- 「社員の60%が利用する」こと(選択肢ウ)は通信量増大の一因ですが、設問が問うのは“通信経路に関する要因”であり人数ではない点を見落としやすいです。
- 営業所の UTM を経由していると誤解し、選択肢アを選んでしまうケースがあります。実際には営業所 PC も本社プロキシを経由するため、本社回線がボトルネックになります。
- 認証方式やファイル共有のトラフィック(選択肢エ・オ)は本件の帯域ひっ迫と直接関係しません。
FAQ
Q: 営業所 PC から直接 SaaS にアクセスさせれば帯域問題は解消しますか?
A: はい。本社プロキシをバイパスして営業所側から直接インターネットへ出るようにすれば、本社回線への集中を防げます。実際に Y さんは「UTMを利用してインターネットの特定サイトへアクセスする設定」を一時的に行い、帯域を分散させました。
A: はい。本社プロキシをバイパスして営業所側から直接インターネットへ出るようにすれば、本社回線への集中を防げます。実際に Y さんは「UTMを利用してインターネットの特定サイトへアクセスする設定」を一時的に行い、帯域を分散させました。
Q: プロキシサーバ経由をやめるとセキュリティが心配です。対策はありますか?
A: 営業所側の UTM で URL フィルタリングやログ取得を行い、本社プロキシと同等のセキュリティポリシを維持する方法があります。また、SaaS のドメインに限定した直接通信とし、その他のサイトは従来どおり本社プロキシ経由とする分割ルーティングも有効です。
A: 営業所側の UTM で URL フィルタリングやログ取得を行い、本社プロキシと同等のセキュリティポリシを維持する方法があります。また、SaaS のドメインに限定した直接通信とし、その他のサイトは従来どおり本社プロキシ経由とする分割ルーティングも有効です。
Q: 回線帯域の算出で 120Mバイト/10分を Mビット/秒へ換算する方法は?
A: 120Mバイト=960Mビット。10分は600秒なので、 Mビット/秒となります(問題文の空欄 f)。
A: 120Mバイト=960Mビット。10分は600秒なので、 Mビット/秒となります(問題文の空欄 f)。
関連キーワード: VPN, プロキシサーバ、帯域、SaaS, リモートデスクトップ
設問3:〔テレワーク移行中に発生したシステムトラブルの原因と対策〕について答えよ。
(2)本文中のf、gに入れる適切な数値を答えよ。
模範解答
f:1.6
g:192
解説
解答の論理構成
-
10 分間(=600 秒)の転送量が「120Mバイト」である
• 1 バイト=8 ビットなので 120M バイト=120×8=960M ビット
• 帯域(bps)は 1 秒当たりのビット数で表すため
• よって f = 1.6 -
同時利用者数を算出
• 社員数は「200 名」
• 同時利用率は「60%」
• したがって -
全体帯域を計算
• 1 人当たり 1.6M ビット/秒
•
• よって g = 192 -
本社回線の契約帯域は「100Mビット/秒(上り/下り)」なので、 計算結果 192M ビット/秒が契約帯域を大きく上回り、トラブルの原因と合致する。
誤りやすいポイント
- 10 分=600 秒への換算を忘れ、 と誤算しやすい。
- 「Mバイト」と「Mビット」の単位を混同し、8 倍を掛け忘れる。
- 同時利用者数を 200 人全員または 60 人と誤解し、掛け算係数を間違える。
- 回線帯域 100M ビット/秒を片方向のみと見做して「超えていない」と判断してしまう。
FAQ
Q: M(メガ)は 1024 倍で計算しませんか?
A: ネットワーク帯域計算では 1M=1000k=10⁶ を使用するのが一般的です。本問もその前提です。
A: ネットワーク帯域計算では 1M=1000k=10⁶ を使用するのが一般的です。本問もその前提です。
Q: 120Mバイトを 8 倍する理由は?
A: ネットワーク帯域はビット単位(bps)で表すからです。1 バイト=8 ビットなので、まずビット数へ換算します。
A: ネットワーク帯域はビット単位(bps)で表すからです。1 バイト=8 ビットなので、まずビット数へ換算します。
Q: Web 会議の映像を削減すれば帯域はどの程度下がりますか?
A: 具体的値はサービス仕様次第ですが、音声のみなら 1/10 以下に下がるケースもあります。映像 ON が主要因であることを押さえてください。
A: 具体的値はサービス仕様次第ですが、音声のみなら 1/10 以下に下がるケースもあります。映像 ON が主要因であることを押さえてください。
関連キーワード: VPN, 帯域幅、トラフィック分析、バイト換算
設問3:〔テレワーク移行中に発生したシステムトラブルの原因と対策〕について答えよ。
(3)本文中の下線③の設定によって、UTMに設定されたアクセスを許可する、FW以外の接続先を図1中の用語を用いて全て答えよ。
模範解答
Web会議サービス、本社VPNサーバ
解説
解答の論理構成
-
既存の通信経路
引用: 「本社、各営業所及び社員のテレワーク環境のPCのWebブラウザからインターネット上のWebサイトへの接続は、本社のプロキシサーバを経由して行われる。」
⇒ 営業所のPCが外部サイトにアクセスするときも、まず拠点間 VPN で本社へ行き、FW(図1中の「FW」)を通過してからインターネットへ出ていた。したがって大きな通信は必ず本社回線に集中する。 -
帯域逼迫の直接原因
引用: 「本社のインターネット接続回線を流れる通信量を通信の種類ごとに調べたところ、Web会議サービスの通信量が特に多い。」
⇒ SaaS 型「Web会議サービス」が最大流量であることが判明。 -
トラフィック削減策
引用: 「営業所1と営業所2に設置された③UTMを利用してインターネットの特定サイトへアクセスする設定と営業所PCのWebブラウザに例外設定を追加した。」
⇒ “特定サイト”とは、本社を経由させずに直接インターネットへ出したい先のこと。
a. もっとも流量の大きい Web会議サービス
b. 営業所との拠点間 VPN を維持するための相手先である 本社VPNサーバ
※ 「FW以外の接続先」を問われているので、図1中の「FW」は除外。 -
したがって、UTM で許可した FW 以外の宛先は
• Web会議サービス
• 本社VPNサーバ
誤りやすいポイント
- 「プロキシサーバ」を答える誤り
プロキシは本社 DMZ 内にあり、FW の内側で既に経由点になっているため “FW以外の接続先” には該当しません。 - 「営業所 VPN サーバ」を答える誤り
営業所 VPN サーバは営業所内部に存在し、外向きトラフィックの宛先ではなく送信元側機器です。 - “特定サイト” = あらゆる SaaS と考えて列挙しすぎる誤り
設問は “図1中の用語” を用いた回答を要求しているため、図に描かれていない SaaS 名や一般語を入れると失点します。
FAQ
Q: どうして「本社VPNサーバ」がトラフィック削減対象になるのですか?
A: 拠点間 VPN は「営業所VPNサーバ」と「本社VPNサーバ」が終端です。営業所側から本社側へ張られた VPN トンネルを維持するには、本社側 IP への通信を直接許可しなければなりません。従来は FW の内側に誘導していましたが、UTM で直接許可することで経路を最適化しました。
A: 拠点間 VPN は「営業所VPNサーバ」と「本社VPNサーバ」が終端です。営業所側から本社側へ張られた VPN トンネルを維持するには、本社側 IP への通信を直接許可しなければなりません。従来は FW の内側に誘導していましたが、UTM で直接許可することで経路を最適化しました。
Q: 「Web会議サービス」だけ許可すれば十分では?
A: Web会議トラフィックは最大要因ですが、拠点間 VPN の維持ができなければ通常業務が止まります。そこで「本社VPNサーバ」も例外に含めたのです。
A: Web会議トラフィックは最大要因ですが、拠点間 VPN の維持ができなければ通常業務が止まります。そこで「本社VPNサーバ」も例外に含めたのです。
Q: FW を経由しないとセキュリティが心配では?
A: UTM 自体がファイアウォール+IPS などを統合した装置であり、アクセス制御・検査を行えます。従来の FW 相当の機能を UTM 側で代替したうえで例外を設定しています。
A: UTM 自体がファイアウォール+IPS などを統合した装置であり、アクセス制御・検査を行えます。従来の FW 相当の機能を UTM 側で代替したうえで例外を設定しています。
関連キーワード: VPN, プロキシ、UTM, 帯域制御、SaaS
