戦国IT - 情報処理技術者試験の過去問対策サイト
ブログお知らせお問い合わせ料金プラン

応用情報技術者 2024年 秋期 午後05

セキュアWebゲートウェイサービスの導入に関する次の記述を読んで、設問に答えよ。

   E社は、インターネットを利用した人材紹介業を営む会社である。  E社のネットワークは、DMZセグメント、内部セグメント及びサーバセグメントから構成されている。DMZセグメントには、コンテンツフィルタリング機能やWebサイトのアクセス制御機能をもつプロキシサーバ及びDNSサーバが設置されている。プロキシサーバでは、内部セグメントからインターネット向けのHTTP通信、HTTP Over TLS(以下、HTTPSという)通信を中継し、アクセスログを保管している。内部セグメントにはE社の従業員が利用するPCが、サーバセグメントには業務サーバが、それぞれ設置されている。  E社の従業員は、PCのWebブラウザを用いて、HTTP通信でサーバセグメントの業務サーバに直接アクセスして業務を実施したり、HTTPS通信でY社が提供するSaaS(以下、Y社SaaSという)にアクセスして、電子メールサービス、ファイル共有サービス、チャットサービスなどを活用したりしている。
〔E社のネットワーク構成〕  E社のネットワーク構成を、図1に示す。
応用情報技術者試験(令和6年度 秋期 午後 問05 図01)
 E社のルータでは、a機能を用いて、E社内に割り当てられたプライベートIPアドレスをグローバルIPアドレス及びポート番号に変換している。  Y社SaaSでは、E社からのアクセスに対して①送信元IPアドレスでアクセス制限を行っている。   〔セキュアWebゲートウェイサービスの導入検討〕  E社では、近年の業務拡大に伴い、インターネット利用の機会が急激に拡大してきた。情報システム部のF部長は、悪意のあるWebサイトへ意図せずにアクセスしたり、社内の機密情報や顧客情報が漏えいしたりするおそれがあると考え、インターネットアクセスに対するセキュリティ対策を強化することにした。そこで、部下のG主任に、社内のプロキシサーバに代えて、Z社がSaaSとして提供するセキュアWebゲートウェイサービス(以下、サービスZという)の導入検討を指示した。   〔サービスZの概要〕  G主任は、サービスZの概要を調査した。  サービスZは、PCからインターネット上のWebサイトへのアクセスを安全に行うためのサービスであり、主な機能は次の三つである。 (1) アクセス先のbやIPアドレスから悪意のあるWebサイトであるかどうかを評価し、安全でないと評価された場合はアクセスを遮断する機能 (2) 機密情報や顧客情報がE社外に漏えいしないように、TLSで暗号化された通信内容をサービスZ内で復号して通信内容を検査し、これらの情報が含まれていないことを確認する機能 (3) ②インターネット上のWebサイトから受け取ったプログラムをサービスZ内の保護された領域で動作させ、E社システムが不正に操作されるおそれがないことを確認する機能    サービスZを利用するためには、E社の全てのPCに専用のクライアントソフトウェア(以下、ソフトCという)を導入し、PCのWebブラウザからインターネット上のWebサイトへのアクセスを、ソフトCを介して行う必要がある。ソフトCからサービスZには、HTTPS通信を用いて接続する。サービスZは、PCからインターネット上への全てのWebアクセスについて、どのPCからアクセスされたものかを識別して、アクセスの監視や各種制を行う。
〔ネットワーク構成の変更〕  G主任は、サービス2の調査結果を基に、サービス2導入後のE社のネットワーク構成案を図2のように考えた。
応用情報技術者試験(令和6年度 秋期 午後 問05 図02)
 G主任は、サービス2導入に当たって必要となる作業を検討し、次の四点に整理した。 (1) 現行のE社のネットワーク構成からプロキシサーバを廃止し、社内のPCからインターネット上のWebサイトへのアクセスは、宛先IPアドレスがcのものだけを許可するように、FWの許可ルールを変更する。 (2) PCにソフトCを導入する。このソフトCは、各PC上でローカルプロキシとして動作する。各PCのプロキシ設定を変更して、このソフトCをプロキシとして利用する。ソフトCからHTTPS通信によってインターネット上のWebサイトへアクセスできるようにするために、cを宛先IPアドレスとするようソフトCの通信設定を行う。 (3) PCのプロキシ設定で、dについては、これまでどおり直接HTTP通信ができるように設定する。 (4) Y社Saasの送信元IPアドレスでのアクセス制限の設定を変更する。   〔FWの許可ルールの見直し〕  サービス2導入前のE社FWの許可ルールでは、PCのWebブラウザからインターネットへのHTTP通信やHTTPS通信について、E社プロキシサーバを経由する通信だけを許可する設定になっていた。  G主任は、サービス7導入後に必要なFWの許可ルールを検討した。  サービス2導入前のE社FWの許可ルールを表1に、サービス2導入後のE社FWの許可ルールを表2に示す。なお、ルールは項番の小さい順に参照され、最初に該当したルールが適用される。
応用情報技術者試験(令和6年度 秋期 午後 問05 表01)
応用情報技術者試験(令和6年度 秋期 午後 問05 表02)
 G主任は、これまでの調査内容をF部長に報告し、サービス2の主な三つの機能を導入することになった。

設問1〔E社のネットワーク構成〕について答えよ。

(1)本文中のaに入れる適切な字句をアルファベット4字で答えよ。

模範解答

a:NAPT

解説

解答の論理構成

  1. 手掛かりの引用
    • 「E社のルータでは、a機能を用いて、E社内に割り当てられたプライベートIPアドレスをグローバルIPアドレス及びポート番号に変換している。」
  2. キーワードの確認
    • 変換対象が「プライベートIPアドレス」だけでなく「ポート番号」にまで及んでいる点が重要です。
  3. 用語の照合
    • IPアドレスのみを変換する方式は NAT(Network Address Translation)ですが、
    • IPアドレスとポート番号を同時に変換する方式は NAPT(Network Address Port Translation)または PAT と呼ばれます。
  4. 結論
    • よって a に入る適切な字句は「NAPT」となります。

誤りやすいポイント

  • 「NAT と書けば十分」と早合点し、ポート番号も変換する事実を見落とすケース。
  • PAT と NAPT が同義であることは覚えていても、設問がアルファベット4字指定である点を読み飛ばし PAT と書いてしまうミス。
  • ルータより FW や プロキシサーバ に目が行き、本質となるアドレス変換機能を取り違える失点。

FAQ

Q: NAT と NAPT の違いはどこで判断すべきですか?
A: ポート番号まで変換するかどうかです。本文に「ポート番号に変換」と明記されている場合は NAPT です。
Q: PAT では不正解になりますか?
A: 意味は同じですが、本問は「アルファベット4字で答えよ」と指示しているため「NAPT」と書く必要があります。
Q: ルータ以外でも NAPT は実装できますか?
A: 可能です。FW などにも搭載されますが、設問で「ルータでは」と限定しているため今回はルータが対象です。
関連キーワード: NAPT, NAT, ルータ、プライベートIP, グローバルIP

設問1〔E社のネットワーク構成〕について答えよ。

(2)本文中の下線①について、アクセスが許可される送信元IPアドレスを、図1中の字句を用いて答えよ。

模範解答

ip1

解説

解答の論理構成

  1. 送信元 IP アドレスの判定条件
    本文には「Y社SaaSでは、E社からのアクセスに対して①送信元IPアドレスでアクセス制限を行っている。」とあります。したがって、Y社SaaS が参照するのは “E社から見える” グローバル側の送信元 IP です。
  2. どの IP が Y社SaaS に届くか
    ルータについて「E社のルータでは、a機能を用いて、E社内に割り当てられたプライベートIPアドレスをグローバルIPアドレス及びポート番号に変換している。」という記述があります。
    NAT(IP マスカレード)により、E社内部からインターネットへ出るパケットの送信元は、ルータのインターネット側インタフェースに設定されたアドレスへ書き換えられます。
  3. 図1のアドレス対応
    図1ではインターネットとルータの間に「ip1」が付されています。よって、NAT 後に外部へ見える送信元 IP アドレスは「ip1」となります。
  4. 結論
    Y社SaaS がアクセスを許可する送信元 IP アドレスは図1中の「ip1」です。

誤りやすいポイント

  • 「ip2」や「ip5」を選択してしまう
    どちらも FW 側のアドレスであり、インターネットからは見えません。NAT 変換はルータで行われる点に注意が必要です。
  • “プライベート IP → グローバル IP” の変換場所を取り違える
    DMZ や FW が変換していると誤解しやすいですが、記述上で変換を実施するのはルータです。

FAQ

Q: ルータが実装する a 機能とは何ですか?
A: プライベート IP とポート番号をグローバル IP とポート番号に変換するので、NAPT(IP マスカレード)を指します。
Q: Y社SaaS でアクセス制御をする理由は?
A: 顧客ネットワークを特定し、不正アクセスやなりすましを防ぐためです。登録外の送信元 IP からはサービスを利用できません。
Q: 複数グローバル IP を持つ場合はどうなりますか?
A: ルータが外向けに使用するいずれかのアドレスを Y社SaaS に登録し、そのアドレスからの通信のみ許可する運用になります。
関連キーワード: NAT, 送信元IP制御、DMZ, プロキシ解除、ファイアウォール

設問2〔サービスZの概要〕について答えよ。

(1)本文中のbに入れる適切な字句をアルファベット3字で答えよ。

模範解答

b:URL

解説

解答の論理構成

  1. 問題文の該当箇所
    “(1) アクセス先のbやIPアドレスから悪意のあるWebサイトであるかどうかを評価し、安全でないと評価された場合はアクセスを遮断する機能”
    と記載されています。
  2. ここで語句を補うと、サービスZが評価対象とするものは
    ・“アクセス先のb
    ・“IPアドレス”
    の2つです。
  3. Webアクセスにおける「アクセス先」を文字列で表現する情報は“URL”です。
    • ドメイン名だけではページ階層やスキーマが分かりません。
    • URI という語もありますが、一般的にWebフィルタリング製品やゲートウェイでは「URLフィルタリング」というキーワードで機能説明が行われます。
  4. 以上より、bに入る適切な3文字のアルファベットは
    “URL”
    となります。

誤りやすいポイント

  • 「ドメイン名」と誤記する
    → IPアドレスと並列に書かれており、ページ単位まで判定する“URL”が正解です。
  • “URI”とする
    → 広義には正しいものの、実務での悪性サイト判定機能名としては「URLフィルタリング」が一般的です。
  • “FQDN”とする
    → FQDN はホストを特定する名前であってパス部分を含みません。

FAQ

Q: URL 以外に IP アドレスも評価対象なのはなぜですか?
A: CDN や短縮URLなどで正規のドメインを偽装しても、実際の接続先 IP アドレスがブラックリストに載っていればブロックできるため、二重の確認が有効です。
Q: URL フィルタリングはどのタイミングで行われますか?
A: ソフトCからサービスZに送られた HTTPS 通信をサービスZ側で復号した後、先頭の HTTP ヘッダに含まれる URL を解析して行われます。
Q: Web ゲートウェイで URL を判定するとプライバシーは守られますか?
A: URL はサービスZ内部でのみ参照され、ファイル共有やチャットなど業務上必要な通信は問題なく通過しますが、機密情報を含む URL が送信されれば(2)の機能で遮断されます。
関連キーワード: URLフィルタリング、SSL/TLS復号、サンドボックス、アクセス制御

設問2〔サービスZの概要〕について答えよ。

(2)本文中の下線②の機能の名称を解答群の中から選び、記号で答えよ。
解答群  ア:HTTPSデコード  イ:アンチウイルス  ウ:サンドボックス  オ:トラフィック検査  エ:セキュアブラウジング

模範解答

解説

解答の論理構成

  1. 機能の記述を確認
    問題文には次のようにあります。
    ②インターネット上のWebサイトから受け取ったプログラムをサービスZ内の保護された領域で動作させ、E社システムが不正に操作されるおそれがないことを確認する機能
    “保護された領域で動作させる”という表現がポイントです。
  2. 用語との対応付け
    • “保護された領域で動作させる”=本番環境から隔離された環境で実行し、安全性を判定
    • これはマルウェア検出技術として知られる「サンドボックス」の動作そのもの
  3. 解答群の照合
    • ア:HTTPSデコード … 暗号化通信の復号
    • イ:アンチウイルス … シグネチャ型のウイルス検知
    • ウ:サンドボックス … 隔離環境で実行し挙動を監視
    • オ:トラフィック検査 … 通信全体の検査の総称
    • エ:セキュアブラウジング … 安全な閲覧環境の総称
      機能記述と完全に一致するのは「ウ:サンドボックス」です。

誤りやすいポイント

  • “保護された領域”を単に安全な閲覧環境と読み取り「エ:セキュアブラウジング」と誤答するケース
  • 「アンチウイルス」はプログラムをディスク上でスキャンするイメージが強く、動作監視まで含まれると誤解するケース
  • HTTPS復号機能(ア)やトラフィック検査(オ)と混同し、表面的に「通信を点検する」機能だと短絡的に判断するケース

FAQ

Q: サンドボックスとアンチウイルスは何が違うのですか?
A: アンチウイルスは既知マルウェアのシグネチャ照合が中心です。サンドボックスは未知・変種マルウェア対策として、隔離環境で実際にコードを実行し、挙動を監視します。
Q: サンドボックスを導入すると全てのマルウェアを検知できますか?
A: 100%ではありません。タイムアウトを回避する遅延実行型や環境判定型マルウェアはサンドボックス内で悪性挙動を示さないことがあります。他の多層防御と組み合わせることが重要です。
Q: HTTPS通信でもサンドボックスは機能しますか?
A: はい。サービスZでは(1)で暗号化通信を復号し内容を検査できるため、暗号化されたファイルでもサンドボックスに投入して挙動確認が可能です。
関連キーワード: サンドボックス、マルウェア検知、コンテンツフィルタリング、HTTPS, 隔離環境

設問3〔ネットワーク構成の変更〕について答えよ。

(1)本文及び表2中のcに入れる適切な字句を、図2中のIPアドレスを用いて答えよ。

模範解答

c:ip8

解説

解答の論理構成

  1. PCが外部へ出る宛先の変化
    • 現行は「DMZセグメント」の「プロキシサーバ」に集約されているが、導入後は「ソフトCからサービスZには、HTTPS通信を用いて接続する」と記載されています。
  2. FWで許可すべき唯一の宛先
    • 変更作業(1)で「社内のPCからインターネット上のWebサイトへのアクセスは、宛先IPアドレスがcのものだけを許可する」と明示されています。
    • つまり PC→インターネット向け通信は、すべてサービスZの公開 IP だけに限定する方針です。
  3. 図2の該当 IP の特定
    • 図2には「Z社 SaaS」とインターネットの間に「ip8」が描かれています。
    • 「Y社 SaaS」と接続されているのは「ip7」であり、こちらは従来から利用している別サービスの IP です。
  4. 結論
    • 限定すべき宛先はサービスZ側の IP である「ip8」。
    • よって【模範解答】のとおり c = 「ip8」となります。

誤りやすいポイント

  • 「ip7」と取り違える
    Y社 SaaS が既存利用中のため混同しやすいですが、アクセス制御対象は新たに導入する Z社 SaaS です。
  • 「PC → サービスZ → Webサイト」という経路を忘れ、Webサイトの実 IP を許可しようとする
    経路の中心がサービスZである点を押さえることが重要です。
  • FW の宛先条件を「ドメイン名」で考えてしまう
    設問は「宛先IPアドレスがc」と明示しており、IP 指定でなければルールが機能しません。

FAQ

Q: なぜ PC が直接 Web サイトへ接続しないのですか?
A: 「ソフトCからサービスZには、HTTPS通信を用いて接続する」とあるとおり、サービスZがプロキシ兼セキュリティゲートウェイの役割を果たすためです。
Q: Y社 SaaS への通信は FW でどう扱われますか?
A: PC→サービスZ→Y社 SaaS という経路になるため、FW では PC からの外向き通信を ip8 だけに絞れば十分です。サービスZ と Y社 SaaS 間の通信はインターネット側で完結します。
Q: ip8 が複数ある場合はどう設定しますか?
A: 実運用ではサービスZ が提供する IP レンジ全体を許可リストに登録することになりますが、試験問題では図に示された単一 IP を答えます。
関連キーワード: ファイアウォール、プロキシ、HTTPS, アクセス制御、ゲートウェイ

設問3〔ネットワーク構成の変更〕について答えよ。

(2)本文中のdに入れる適切な字句を、図2中の機器の名称を用いて答えよ。

模範解答

d:業務サーバ

解説

解答の論理構成

  1. 直接アクセスしている対象の確認
    本文には、従業員の利用形態として
    「PCのWebブラウザを用いて、HTTP通信でサーバセグメントの業務サーバに直接アクセスして業務を実施したり」とあります。
    ここで “直接アクセス” とはプロキシを経由しない通信を指します。
  2. 変更後も直接通信を維持する対象の抽出
    サービスZ導入後の作業(3)では、 「PCのプロキシ設定で、dについては、これまでどおり直接HTTP通信ができるように設定する。」
    と指示されています。つまり導入後も従来どおりプロキシを通さず HTTP でアクセスさせたい宛先が d です。
  3. 図2の機器名称との突合
    直接 HTTP でアクセスしていた機器は先の引用にある “業務サーバ”。
    図2のサーバセグメントにも同一名称「業務サーバ」が存在し、他に HTTP 直接通信の対象となる機器は示されていません。
  4. 以上より、d に入る語は
    ⇒ 「業務サーバ」

誤りやすいポイント

  • DMZ 内の「DNSサーバ」と混同する
    DNS は UDP/TCP 53 番を使うため HTTP 直接通信の対象ではありません。
  • 「ルータ」や「FW」を宛先と誤解する
    いずれも中継機器であり、エンドホストではないため“直接アクセス”の文脈に合いません。
  • 図1・図2の両方に登場する機器名を取り違える
    問題指示は「図2中の機器の名称」を用いるので、図2の表記「業務サーバ」をそのまま書く必要があります。

FAQ

Q: 直接通信にする理由は何ですか?
A: 社内サーバへのトラフィックは社外ゲートウェイで復号・検査する必要がなく、プロキシ経由にすると不要な遅延やサービスZの利用量増大を招くためです。
Q: ソフトC経由で社内サーバへアクセスしても問題はありませんか?
A: 機能的には可能ですが、TLS復号やマルウェア分離などの付加価値は不要です。したがって例外設定で帯域・コストを節約します。
Q: 今後サーバセグメントが増えた場合、例外設定はどうすればよいですか?
A: 新サーバがプロキシ不要運用なら、そのIPアドレスまたはFQDNをソフトCの例外リストへ追加し、FW側でも内部通信ポリシーを再確認する必要があります。
関連キーワード: HTTP, プロキシ設定、ファイアウォール、セグメント分離、アクセス制御

設問4

表1中のe、表2中のfに入れる適切な字句を、図1、図2又は表中の字句を用いて答えよ。

模範解答

e:プロキシサーバ又はip3 f:443

解説

解答の論理構成

  1. 「サービス2導入前のE社FWの許可ルールでは、PCのWebブラウザからインターネットへのHTTP通信やHTTPS通信について、E社プロキシサーバを経由する通信だけを許可する設定になっていた。」
    • したがって、表1の項番1~4で宛先または送信元になっている e は “プロキシサーバ” であることが分かります。
    • 図1ではプロキシサーバのインタフェースに「ip3」と付されているため、字句としては「プロキシサーバ」または「ip3」のどちらでも成り立ちます。
  2. 「ソフトCからサービスZには、HTTPS通信を用いて接続する。」
    • HTTPS が使用するポートは TCP/443 です。
    • 表2のfは、内部セグメントから c(=サービスZの公開IPアドレス群)へ到達させるプロトコル/ポートを示しており、ここには “443” が入ります。
  3. 以上より
    • e:プロキシサーバ 又は ip3
    • f:443

誤りやすいポイント

  • 「プロキシサーバ=HTTP/80 だけ」と考え、HTTPS 用の TCP/443 を見落としてしまう。
  • ソフトCがローカルプロキシとして動作するので「8080」などを想像し、fに誤ったポート番号を入れてしまう。
  • 図に登場する「ip3」と「ip4」を取り違え、DNSサーバを e と誤答する。

FAQ

Q: eに「DMZ」と書くのは誤りですか?
A: はい。DMZ はセグメント名であり、FWルールは具体的な通信相手(プロキシサーバ)を指定します。
Q: HTTPS を使うなら 8443 など別ポートの可能性は?
A: 設問中に「HTTPS通信を用いて接続する」とのみ記載されており、代替ポート使用の記述がないため標準ポート「443」と判断します。
Q: 「ip3」と「プロキシサーバ」のどちらを書けばよいですか?
A: 問題文の指示にある通り、固有名詞やIPアドレスは原文を正確に引用すればよいので、どちらでも正解になります。
関連キーワード: プロキシ、HTTPS, ファイアウォール、ステートフル検査、ポート番号
戦国ITクイズ機能

\ せっかくなら /

応用情報技術者
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてブログプライバシーポリシー利用規約特商法表記開発者について