平成15年度テクニカルエンジニア(ネットワーク)午後Ⅱ問2
問2 リモートアクセス環境の構築に関する次の記述を読んで、設問1~4に答えよ。
自動車販売会社のA社は、都内に本社と30の店舗を構えている。営業員は、店舗ごとに20人程度が配置されており、顧客先に出向いて営業活動を行っている。夕方以降の時間帯に個人向けの営業活動を行う場合などには、顧客先から直接帰宅することが多い。
A社では、3年前から本杜にグループウェアサーバ(以下、GSという)を設置し、全社員で電子メールやスケジrル管理などのサービスを利用していた。GSは、専用のクライアント側アプリケーションプログラム(以下、CL-APいう)をパソコンに搭載し、TCP/IPを用いて利用されていた。図1に、A社のネットワーク構成を示す。
営業員は、顧客との連絡に電子メールを利用していたので、自宅で電子メールを読んだり、送信したりする必要があった。そのため、A社では、営業員に対して、登録された電話番号へのコールバツクを利用したリモートアクセスを許可している。
RASとGSのパスワードは、互いに異なる文字列を使用することになっている。また、双方のパスワードは、推定が困難な文字列で構成され、社員が定期的に変更する仕組みになっている。
多くの営業員は、自宅におけるインターネットヘのアクセス手段として、ADSLを利用したブロードバンド通信を利用している。これに比べて、A社におけるRASを使った現状のリモートアクセス環境では、通信速度が遅いので不満を感じていた。また、GSへの同時アクセス数は、図1のモデムの台数に制約を受けるので、GSに対する接続要求が集中すると、待ち時問が長くなることが多かった。
A社では、現状のGSを利用したサービスに加えて、メーカなどに対する発注業務の電子化と各種保険料の見積りなどのサービスを提供する次期システムの開発を計画していた。次期システムでは、RASを使った現状のリモートアクセス環境を廃止し、新たにインターネットを使ったリモートアクセス環境を構築することにした。システムインテグレータであるB社のC君は、リモートアクセス環境を中心に、セキュリティ担当のD氏と協議しながら次期システムの設計を行っている。
〔次期システムの要件〕
営業員は、ある顧客先での営業活動が終了した後、別の顧客先に直接向かう場合などに、訪問先の顧客に関する電子メールを確認する必要があり、外出先からもリモートアクセス環境を利用したいとの要望をもっている。そのため、次期システムでは、インターネットヘの多様なアクセス手段を利用し、営業員の利便性を向上させることにした。
開発するサービスでは、開発や運用管理の効率化を目的として、業務サーバにWebアプリケーション方式を適用する予定である。また、社員の要望を反映しながら、必要なサービスを1年かけて順次追加し、必要に応じて業務サーバも増設する予定である。そのため、業務サーバで稼働するアプリケーションプログラム(以下、業務APという)には、段階的な開発が行われても、システムヘの追加が容易になるようなソフトウェア設計が求められる。
なお、社員は、次期システムにおいても、これまで使い慣れたCL-APを継続して利用したいと要望している。
今後、他杜との電子データのやり取りにおいては、PKI(公開かぎ基盤)を利用した電子署名の適用が想定されるので、ユーザIDとパスワードだけでなく、社員の証明書を使用した電子認証の利用も視野に入れる必要がある。
〔RASを使った現状のリモートアクセス環境におけるセキュリティ上の問題点〕
C君は、次期システムのリモートアクセス環境を構築するために、図1におけるRASの利用状況を調査した。まず、RASやGSのログなどを基にした利用時間帯や接続数などを分析し、A社の運用担当者に対するヒアリング調査を行った。そのとき、運用担当者から、“先日、RASのログでは認証に成功しているが、GSのログでは認証に失敗している事象があった”と告げられた。そこで、C君は、社内でも頻繁にGSを利用する営業員が、そのパスワードだけを間違えていることに疑念を抱いた。次は、運用担当者から告げられた事象に関するC君とD氏の会話である。
C君:A杜では、RASにログインする場合とGSにログインする場合とで、異なるパスワードを使用しています。双方のパスワードは、社員が定期的に変更する仕組みになっています。
D氏:それは、正しい運用方法だと思います。まず、現状のシステムにおいて、認証が失敗する条件を教えてください。
C君:RASとGSにおける認証は、双方ともに、パスワードを連続して5回問違えた場合に失敗します。営業員が、GSのパスワードだけを達続して5回も間違えているのは不思議です。
D氏:これは、不正にアクセスされたと考えられます。A社の利用形態から判断すると、GSへのログインだけに失敗するのは不自然だと思います。この場合に想定されるのは、コールバック時のモデム制御の不具合です。コールバック手順は、どのようになっていますか。
C君:コールバック手順の概要は、図2のとおりです。ログを分析した結果から、RASのパスワードが正確に入力されていると判断できるので、正当なアクセス権限を有した社員に対してコールバックされているはずです。
D氏:営業員を識別するまでの処理に関しては、問違いないと思います。この事象では、図2中の”④の回線を切断する”から”⑤のコールバックする”までの間で不正なアクセスが生じたと考えられます。この原因は、RASがモデムにコールバックさせるときの制御方法にあります。図3に、図2中の④と⑤におけるモデムの状態遷移の概要を示します。
C君:不正なアグセスの防止には、どのような対策があるのでしょうか。
D氏:図3中の点線内の状態遷移において、モデムを( a )状態に保つように、RASのファームウェアを変更する必要があります。
次期システムが設計段階であったので、サービスの開始までには半年以上の期問が必要であった。そのため、C君は、RASのファームウェアを、今回の事象に関する対策を施したバージョンに更改するようA社に提言した。A社は、C君からの指摘を受けて、速やかにRASのファームウェアを更改した。
〔インターネットを経由した認証方式に関する予備検討〕
CL-APを利用したGSへのアクセスでは、リモートアクセス環境の伝送路上において、パスワードの機密性を確保する機能がない。しかし、次期システムでは、GSがインターネットを経由して利用されるので、新しい認証方式が必要である。
次は、その新しい認証方式の予備検討に関するC君とD氏の会話である。
C君:インターネットを経由させる場合には、パスワードの機密性の確保が必要になります。A社では、次期システムに、社員が使い慣れたCL-APを継続して利用したいと要望しています。そのため、パソコンではブラウザとCL-APの双方を利用することを前提にして、認証方式を検討したいと思います。
D氏:それならば、ワンタイムパスワード(以下、OTPという)の利用が考えられます。図4に、OTP方式の概要を示します。
C君:OTPを利用する場合には、どのような留意点がありますか。
D氏:次の三つです。
①図4で示した初期処理は、社内LANなどの通信路を経由させてリモートから実行させずに、サーバのコンソールを用いて実行させる必要がある。
②OTPの利用が一定回数を超えると、そのOTPは機能しなくなる。そのため、OTPの利用回数が一定回数に近づいた営業員には、初期処理を再度行うように促す必要がある。
③OTPを正しく入力してもGSに接続できない場合には、セキュリディに関する問題が発生した可能性がある。このような場合には、営業員に速やかにA社の運用担当者へ申告してもらうように徹底させる必要がある。
C君:分かりました。OTP方式を採用する場合には注意します。
〔無線LANを使用したインターネットの利用に関する予備検討〕
最近、駅や喫茶店などでは、無線LANを使用したインターネットヘの接続サービス(以下、無線LANサービスという)の利用が可能である。また、無線LANサービスは広帯域であるので、営業員が外出しているときなどに、GSや業務サーバを利用する目的で活用できる。そのため、C君は、インターネットヘの接続方法として、無線LANサービスも利用する予定である。
次は、無線LANサービスを利用する場合のセキュリティの予備検討に関するC君とD氏の会話である。
C君:次期システムには、無線LANサービスを利用したいと考えています。
D氏:無線LANサービスを利用する場合でも、公開情報などを発信しているWebサイトを参照したり、サーチエンジンを利用したりするだけならぱ、大きな問題はありません。しかし、GSや業務サーバにアクセスする場合には、OTPを利用しても、解決できない問題があります。
C君:無線LANサービスでは、WEP(Wired Equiva1ent Privacy)を使用することによってセキュリティが確保されているので、ADSLを利用するときと同様に、OTPで十分だと思っていました。
D氏:WEPを使用したとしても、セキュリティを確保するためには、ADSLを利用するとき以上に注意が必要です。その理由は、WEPの仕組みと無線LANサービスの利用方法にあります。図5に、WEPの伝送フレームの概要を示します。
C君:もし、伝送フレームが盗聴されても暗号化されているので安全だと思います。
D氏:A社が利用を予定しているプロバイダの無線LANサービスでは、WEPキーやローミングなどに利用される( c )に、利用者全員が同じ値を使用して、無線LANサービスのアクセスポイントを利用しています。そのため、一定の条件が成立すると危険性が高まります。
C君:もう少し詳しく説明してください。
D氏:図5に示すとおり、WEPキーとIVから生成した( d )系列をキーストリームとして利用し、平文データとの排他的論理和を求めて平文データを暗号化します。同時に、平文データから伝送データの完全性を確保するために利用するICVを生成して、同様に暗号化します。ここで、伝送フレーム数が( e )なると、同じキーストリームが使用される場合があるので、平文デ一タを推定できる確率が高くなります。
C君:なぜ、推定できる確率が高くなるのですか。
D氏:同じキーストリームが使用された伝送フレーム同士の排他的論理和を求めると、( f )同士の排他的論理和が算出されるので、片方の( f )が推定できると、もう一方が簡単に特定できるからです。
C君:標準的なプロトコルを使用していると、定型文字列(“http:〃www”など)が伝送フレームに含まれるので、推定できる確率が高まるのですね。
D氏:はい、そうです。ほかにも、考慮する点があります。例えば、暗号を解かなくても伝送フレームを改ざんできる場合があります。つまり、WEPの伝送フレームを入手し、これに含まれるIPアドレスを変更して無線LANサービスのアクセスポイントに送ると、変更したIPアドレスあてに平文データを送信する攻撃(以下、パケット偽造攻撃という)が成立する可能性があります。
C君:WEPだけを使用することでセキュリティを確保するのには問題が多そうですね。
D氏:はい。情報の漏えい以外に、正当な利用者の識別が行われた後で、そのセションを不正な利用者が使用する攻撃(以下、ハイジャック攻撃という)が成立する可能性もあります。
C君:無線LANサービスの利用状況は分かりました。次期システムの拡張も考慮して、必要なセキュリティを確保するための対策を考えます。
〔次期システムの認証方式に関する検討〕
C君は、これまでの予備検討の結果から、無線LANサービスや自宅からのインターネットを経由したリモートアクセス環境と社内の双方で共通な認証方式を適用し、社員の利便性を向上したいと考えていた。
次は、次期システムの認証方式の検討に関するC君とD氏の会話である。
C君:OTPの運用は、社員数が多いことから困難だと考えられます。さらに、OTPを利用して正当な利用者の識別が行われた後で、なりすましの危険性があるのではないかと心配です。
D氏:現行のように、RASによるコールバックを利用しているのであれば、識別が行われた後のセション維持のために、詐称が比較的困難な情報を使用しているので安全性が保てます。しかし、多様なアクセス方法を許容するリモートアクセス環境では、正当な利用者の識別が行われた後のセション維持の方法を検討する必要があります。
C君:ブラウザを利用するのであれば、社員の識別が行われた後の認証情報を( g )や( h )などを用いて保持し、セション維持を行うことができます。
D氏:OTPを使わないのであれば、伝送されるパスワードや認証情報などの機密性を確保する機能を考えておく必要があります。
C君:GSへのアクセスをブラウザから行えるように、GSのソフトウェアの更改が可能なので、GSや業務サーバヘのアクセスにSSLを利用するのが適切だと考えます。
D氏:その場合には、パスワードの漏えい防止策として、社員がSSLで使用するサーバ側の証明書の正当性を確認する必要があります。
C君:分かりました。パスワードを入力する前に、社員がSSLで使用するサーバ側の証明書の正当性を確認するようにします。
〔次期システムのネットワーク構成〕
C君は、ブラウザに移行してもリモートアクセス環境での利便性の向上によって、社員の理解が得られるものと考え、社員からの要望であるCL-APの利用について、セキュリティ対策の観点からブラウザに移行することにした。また、GSのソフトウェアの更改だけで、ブラウザを利用してGSが利用できることを確認した。その後、これまでのリモートアクセス環境の認証方式に関する検討を踏まえ、CL-APからブラウザヘの移行を前提に、次期システムのネットワーク構成を提案することにした。
次期システムの認証には、サーバ側の証明書だけを使用したSSLを適用して、社員のパスワードを検証する方法をとることにした。このSSLやパスワードの検証などの機能については、各サーバで独立に実装すると、業務APの開発効率や社員の利便性が低下すると考え、リバースプロキシサーバで実装することにした。
リバースプロキシサーバは、GSと業務サーバに対して、認証結果を環境変数などに格納して通知するので、シングルサインオンが実現されて社員の利便性が向上する。また、GSと業務サーバは、リバースプロキシサーバを介するときだけブラウザと通信するので、社内LANに配置することができる。その結果、次期システムの安全性が確保でき、運用性も向上する。
図6に,次期システムのネットワーク構成案の抜粋を示す。
C君は、これまでの検討結果を基に、ブラウザから利用できるようなGSのソフトウェアの更改と次期システムのネットワーク構成をA社に提案し、了承された。
設問1 モデムを利用したコールバック方式に関する次の問いに答えよ。
(1)本文中の( a )に入れる適切な字句を答えよ。
(2)C君が、GSにおけるRAS経由のログインの失敗に疑念を抱いた理由を、30字以内で述べよ。
設問2 インターネットを経由した認証方式に関する次の問いに答えよ。
(1)図4中の( b )に入れる適切な式を答えよ。
(2)OTP利用時の留意点①において、初期処理を実行する場合に、社内LANなどの通信路を経由させない理由を、25字以内で述べよ。
(3)OTP利用時の留意点③で想定した、不正なサーバを用いた脅威と、その脅威が発生する理由を、OTP方式の特徴を踏まえて、それぞれ30字以内で述べよ。
設問3 無線LANサービスを利用した認証方式に関する次の問いに答えよ。
(1)本文中の( c )~( f )に入れる適切な字句を答えよ。
(2)暗号を解かなくとも、同じキーストリームを使っていることが判明してしまう理由を、30字以内で述べよ。
(3)WEPのパケット偽造攻撃は、あて先IPアドレスだけを詐称しても成立しない。この攻撃が成立するために、ほかに変更する必要がある情報を、変更内容も含めて、25字以内で述べよ。
(4)ハイジャック攻撃の成立が比較的容易な理由を、営業員の識別が行われた後の端末識別情報に着目して、40字以内で述べよ。
設問4次期システムの認証方式に関する次の問いに答えよ。
(1)本文中の( g )、( h )に入れる適切な字句を答えよ。
(2)リバースプロキシサーバを利用する利点を、アタックに対する防御と監視の観点から、それぞれ20字以内で述べよ。
(3)社員がパスワードを入力する前に、リバースプロキシサーバの証明書を確認しなければならない理由を、40字以内で述べよ。
(4)SSLを使用した場合に、ハイジャック攻撃の成立が比較的困難な理由を、社員の識別が行われた後にクライアントとリバースプロキシサーバ間で共有される情報に着目して、40字以内で述べよ。
(5)提供するサービスや利用形態の追加及び認証方式の変更があっても、効率的な開発ができるようにSSLを使用した理由を、80字以内で述べよ。
この問題の解答と詳細解説はGene製作のテクニカルエンジニア(ネットワーク)平成15,16,17年度分
午後問題完全解説集!
詳細はこちら→//www.n-study.com/library/2006/05/post.html
