情報セキュアド 平成19年度試験 問題(午後1 問1)
問1 VPNの導入に関する次の記述を読んで,設問1〜4に答えよ。
E大学は,都市近郊にある総合大学である。7学部が四つのキャンパスに散在しており,昨年,あるビルの1フロアを借りて,期間限定のキャンパス(以下,サテライトキャンパスという)をオープンさせた。サテライトキャンパスは,講義だけでなく様々なイベントを開催するなど,広告塔的な役割を担っている。サテライトキャンパスの各部屋には,インターネット回線が設置された。
〔VPN導入対象のネットワーク構成〕
U教授の研究グループでは,今年度,2週間の予定で,サテライトキャンパスで研究成果をデモンストレーションすることになった。その期間,U教授の研究グループ専用に用意された部屋(以下,デモルームという)と,ほかのキャンパスにあるU教授の研究室(以下,U研究室という)との間に,新たにVPNを独自に導入することにした。
U研究室内のLANは,ファイアウォール兼ルータ(以下,FWRという)を経由してインターネットへ接続しており,不要なトラフィックはすべて遮断している。U研究室には,PC,Webサーバ,SSHサーバ,ファイルサーバ,メールサーバ,イメージスキャナ及びプリンタがあり,これらは大学院生のS君が管理している。SSHサーバは,インターネットからの接続も可能としている。また,FWRはDHCPサーバも兼ねており,PCをLANに接続するだけでLANを利用できるようになっている。U研究室とデモルームのネットワーク構成は,図のとおりである。FWR1はU教授の研究グループの所有であるが,FWR2は,ほかの研究グループから一時的に借りてきて,デモルームのLANを構築した。
〔VPN方式の選定〕
U教授はS君に対し,VPN方式を選定するように伝えた。特に,U教授はPCを携帯してデモルームとU研究室を行き来するので,デモルームでもU研究室のサーバ類を利用できることと,機密データを大量に扱うので,必要なセキュリティを確保できることを条件とした。S君は,既に稼働中のFWRがもつIPsec-VPN機能を含めて,導入可能な3方式を表1にまとめ,VPN導入を手伝うことになったO君と,比較・検討した。
| 比較項目 | 方式1 | 方式2 | 方式3 |
| 方式概要 | IPsec-VPN機能を利用 | SSL-VPNソフトを利用 | SSHソフトを利用 |
| VPN通信区間 | ルータ間 | PCとSSLサーバ間 | PCとSSHサーバ間 |
| PCユーザ認証方式 | 不要 | 公開鍵証明書を利用 | 公開鍵暗号又はパスワードを利用 |
| 転送対象プロトコル | IP | TCP | SMTP,POPなどのプロトコル |
| 個別PCの設定 | 省略 | ||
| VPN導入の容易さ | 省略 | ||
次は,VPN方式の選定に関するO君とS君の会話である。
| O君: | 基本的なことですが,これらのVPNを用いる意義は何ですか。例えば,AESといった共通鍵暗号化方式で暗号化したファイルを転送すれば,VPNは必要ないと思います。 |
| S君: | そうとは言い切れないよ。ファイル転送の際,暗号化によって盗聴は防げるが,暗号化だけでは,[ ア ]や[ イ ]の脅威を防ぐことはできない。方式1〜3によるVPNを適切に用いれば,それらの脅威に対処できる。また,暗号鍵は接続ごとに更新することが望ましいので,そのための仕組みもこれらのVPNでは利用できる。 |
| O君: | なるほど。VPNで総合的なセキュリティを確保できるということですね。方式2を採用するというのはどうでしょうか。 |
| S君: | 方式2は,サーバ用ソフトと公開鍵証明書の管理ツールを必要とする。また,公開されて日が浅いソフトウェアなので,未知の脆(ぜい)弱性に関して不安がある。方式2より方式3の方がいいかな。 |
| O君: | しかし,方式3では転送対象プロトコルに関する問題はないですか。 |
| S君: | そうなんだ。方式3では,利用可能なアプリケーションが限定され,駄目だな。U教授の希望をかなえるためには,採用した経験はないけど方式1がいいかな。 |
| O君: | 方式2でも転送対象プロトコルの問題はないですし,設定も簡単そうですよ。 |
| S君: | 確かにそうだが,〔1〕VPN導入後,利用者の手間がかからないというメリットも大きいので,方式1にしよう。 |
〔FWRの概要と設定〕
FWRのIPsecの鍵管理には,事前共有鍵を利用するIKE(Internet Key Exchange)方式(以下,事前共有鍵IKE方式という),公開鍵証明書を利用するIKE方式(以下,公開鍵証明書IKE方式という),及びIKEを用いずに事前共有鍵を手動で共有する方式(以下,手動鍵管理方式という)の3方式がある。IKEのフェーズ1では,“鍵管理方式”の選択のほかに“DHグループ”及び“暗号化とハッシュのアルゴリズム”の組合せから構成される24組の暗号スイートのうちの4組を,フェーズ2における通信用に提案するように設定できる。また,フェーズ2でも同様に,IPsecプロトコル用に暗号スイートを4組設定できる。
S君は,一時的に借りたFWR2の暗号スイートに関する設定は変更せず,FWR1の設定を行った。IPsec-VPNに関する主な設定は,表2のとおりである。ただし,IPsecプロトコルとして,[ a ]とESPがあるが,今回はESPを利用する。
| FWR1 | FWR2 | ||
| 接続先IPアドレス | X.Y.Z.6 | G.H.I.5 | |
| 鍵管理方式 | 事前共有鍵IKE方式 | 事前共有鍵IKE方式 | |
| 暗 号 ス イ ー ト |
フェーズ1 | g2:3des:sha | g2:des:sha |
| g2:3des:md5 | g2:des:md5 | g1:des:sha | g2:aes128:sha |
| g1:des:md5 | g2:aes128:md5 | ||
| フェーズ2 | g2:3des:sha | g2:des:sha | |
| g2:3des:md5 | g2:des:md5 | ||
| g2:aes128:sha | g2:aes128:sha | ||
| g2:aes128:md5 | g2:aes128:md5 | ||
| O君: | 事前共有鍵IKE方式を設定していますが,“IKE”とは何ですか。 |
| S君: | IPsec通信に先立ち,[ b ]と同時に[ c ]を行うプロトコルだよ。また,セッションごとに暗号鍵を生成する機能を提供している。 |
| O君: | それと,“DHグループ”とは何ですか。 |
| S君: | IKEで利用するDHという[ c ]プロトコルのパラメタの一つだよ。FWRでは2種類選べるが,2点間で同じ値にする必要がある。 |
| O君: | FWRには,[ d ]としてAES,DES,3DESの三つがあり,[ e ]としてMD5,SHA-1を利用できますよね。 |
| S君: | 実際には,それらの組合せを一つの暗号スイートとして扱う。例えば,g2:des:shaという暗号スイートは,DHグループが2,[ d ]がDES,[ e ]がSHA-1であることを表している。 |
| O君: | 暗号スイートをなぜ4組も選ぶのですか。 |
| S君: | 一方が提案した暗号スイートを,他方が受け入れないとき,ほかの暗号スイートを利用できるようにするためだよ。また,暗号スイートの利用に関して,各FWRの優先順位の提案もできるということだね。 |
〔VPNの稼働〕
後日,二人で各機器を設置した後,〔2〕デモルーム側のPCからU研究室のサーバへのVPN接続を試みたが,接続できなかった。表3に示す各FWRのログを調べたところ,設定ミスがあることが分かった。それ以外のルーティングを含むネットワーク上の設定は間違っていなかった。設定を修正した結果,無事,VPN接続ができた。
| FWR1 | ||
| 日付 | 時刻 | メッセージ |
| 2007-09-11 | 18:17:04 | VPN configuration saved by admin |
| 2007-09-13 | 13:49:14 | IKE |
| 2007-09-13 | 13:49:14 | Rejected an IKE packet on WAN from were no acceptable Phase 1 proposals |
| 2007-09-13 | 13:49:18 | IKE |
| 2007-09-13 | 13:49:22 | IKE |
| 2007-09-13 | 13:49:22 | Rejected an IKE packet on WAN from were no acceptable Phase 1 proposals |
| 2007-09-13 | 13:49:26 | IKE |
| 2007-09-13 | 13:49:30 | IKE |
| 2007-09-13 | 13:49:30 | Rejected an IKE packet on WAN from were no acceptable Phase 1 proposals |
| 2007-09-13 | 13:49:34 | IKE |
| FWR2 | ||
| 日付 | 時刻 | メッセージ |
| 2007-09-13 | 13:48:42 | VPN configuration saved by admin |
| 2007-09-13 | 13:49:13 | IKE |
| 2007-09-13 | 13:50:02 | IKE |
設問1 本文中の[ a ]〜[ e ]に入れる適切な字句を解答群の中から選び,記号で答えよ。
解答群
| ア AH | イ DSA | ウ SPI | エ 暗号化アルゴリズム | オ 鍵交換 |
| カ 認証 | キ ハッシュアルゴリズム | ク 呼出し | ケ ルーティング |
設問1の正解と解説へ
設問2 本文中の[ ア ],[ イ ]に入れる適切な字句を,それぞれ15字以内で答えよ。ただし,[ ア ]には真正性について,[ イ ]にはデータの完全性について答えよ。
設問2の正解と解説へ
設問3 本文中の下線〔2〕のVPN接続失敗の原因を踏まえて,表2中のFWRの設定をどのように修正すればよいか。45字以内で述べよ。
設問3の正解と解説へ
設問4 O君とS君の会話を踏まえ,VPNの導入について,(1),(2)に答えよ。
| (1) | 本文中の下線〔1〕に示した方式1のメリットを,表1に基づき,60字以内で述べよ。 |
| (2) | 事前共有鍵IKE方式を設定する運用管理上のメリットを,公開鍵証明書IKE方式及び手動鍵管理方式と比較して,それぞれ40字以内で述べよ。 |
設問4の正解と解説へ
メニューへ戻る