第 4 章セキュリティ ーセキュリティ関連のプロトコル HI 2-79 ロセキュリティ関連のプロトコルに関する記述のうち , 適切なものはどれか。 ア IPSec は , PPP の認証用プロトコルの一つである。ユーザ ID とパスワードを平 文で回線上に流すので , CHAP より盗聴に弱い。 イ PAP は , LAN 間接続やダイヤルアップ接続を行う際のユーザ認証として使用す る。ユーザ ID とパスワードを暗号化して送るので , 安全性が高い。 ウ PPP は , 暗号技術を導入してセキュリティを強化した電子メールシステムのプロ トコルである。本文を暗号化し電子署名を付けて送るので , 内容の盗聴を防ぎ , 本 文が改ざんされていないことが確認できる。 工 SSL は , W プラウザ , Ⅵサーバ間でデータを暗号化して転送する場合に 使用される方式である。セションかぎを作成して , データを暗号化し , 復号する。 226 [ 解答 -91 ]

1 ネットワークのセキュリティ ( H 10—3) 〔基本編〕 1. はじめに 1.1 本ガイドの目的 1.2 用語の定義 1.3 セキュリティ管理の重要性 2. A - NET のセキュリティポリシ 2 ユセキュリティ管理に対する基本的な考え方 2.2 セキュリティ管理体制とその役割 2.2.1 A-NET セキュリティ管理部門の管理体制と役割 2.2.2 A-NET 利用部門の管理体制と役割 2.3 問題発生時の対応 2.4 セキュリティポリシの改訂 3. サイト LAN の運用 3.1 サイト LAN 管理者の権限と責務 3.2 サイト LAN 運用ポリシの考え方 4. 申請書 4.1 サイトセキュリティ管理体制申請書 ( 新規・変更 ) 4.2 サイト LAN の A-NET 接続申請書 ( 新規・変更 ) 〔技術編〕 1. サイト LAN 運用のガイドライン ( 省略 ) 2. ネットワーク機器運用のガイドライン 2.1 推奨機器 ( 省略 ) 3. サーバ運用のガイドライン 3.1 オペレーティングシステムとシステム構成 ( 省略 ) 4. クライアント運用のガイドライン ( 省略 ) part 4 午後Ⅱの重点整理・徹底演習 平成年度午後Ⅱ巻末付表 図 2 A - NET セキュリティガイドの構成 ① ホスト : パソコン , ワークステーション , ルータなどのネットワーク機器の総称。 ② クライアントとサーバ : ほかのホストへサービスの要求を行うホストをクライアント , 要求 を受けるホストをサーバと呼ぶ。 ③ アクセス可能 ( 性 ) : ホストにアクセス可能とは , IP によってそのホストに到達可能であ ることをいう。 ④ 社外 : A 社社員以外の者が , A 社の許可なく出入りできる場所をいう ( 取引先 , 社員の自宅 なども社外に含む ) 。 図 3 " 1.2 用語の定義 " の一部 ( 要約 ) 419

第 3 章ネットワークセキュリティ設計 3 リモートアクセス環境を考慮したネットワークシステム ( H12 ー 3 ) [ 重点整理 ] PIAFS PIAFS は , PHS lnternet Access Forum Standard の略語で , PHS のべアラサ ービスを用いて高速データ通信を実現するプロトコルである。現在 , 最大実効 通信速度 32k ビット / 秒の PIAFSI. 0 , 64k ビット秒の PIAFS2.0 を標準化してい る。 ローミンク ミングとは , 自分が契約する ISP ( インターネットサービスプロバイダ ) 以外のアクセスポイントを使ってインターネット接続を実現するサービスであ る。 ISP 間でローミング契約がなされていれば , ローミングサービス提携 ISP に 接続することができ , 特に海外などの場合は国際公衆網を使用して ISP 接続す る必要がなく , 通信料金を大きく削減することができる。 なりすまし ID やパスワードを盗みだし , 本人になりすましてネットワーク環境を利用す る違法行為である。「なりすまし」をされることにより , データを盗み出され たりオンラインショッピングなどの電子商取引をされる可能性がある。 [ 例題の解き方 ] リモートアクセス環境の構築におけるネットワーク設計についての問題であ る。リモートアクセス環境を構築するにあたって最も重量な事項はセキュリテ ィ対策である。したがって , 同問題においてもセキュリティ対策や運用管理に ついての設問が多く , セキュリティについての十分な知識が必要になる。 ・設問の特徴 設問 1 携帯 PC より PHS* やローミングサービスを利用して , リモートアクセスを行う 際の基本事項と不正アクセスについての問題である。 設問 2 ISDN の通信機器 , 特ロ SDN ルータが持つべき機能についての問題である。 設問 3 ℃カードを使用したリモートアクセスのセキュリティ対策についての問題である。 設問 4 セキュリティ対策における運用管理上の留意点について考える問題である。パ スワード , アクセスログなどセキュリティ対策について十分な理解が必要である。 326

1 ネットワークのセキュリティ ( H 10 ー 3 ) これらのサーバの利用状況を示す。 表 1 B ビルのサーバの利用状況 サーノヾ利用者 実施している 利用目的 アクセス制御と認証 ( 所在 ) 技術部 , 製造部ログイン時のアカウントと 技術情報サーバ 技術情報システム パスワードの照合 ( B ビルサイトし ) ログイン時のアカウントと 営業部 営業情報システム 営業情報サーバ パスワードの照合 ( 営業部独立 LAN) 着呼時のアカウントと 営業部 営業情報システム リモートアクセスサーノヾ パスワードの照合 ( 営業部独立 LAN) 技術部 , 営業部ログイン時のアカウントと A 社電子メール メールサーノヾ パスワードの照合 ( B ビルサイトし ) B ピルサイト LAN のサイト LAN 管理者は , 技術部に所属している C 氏である。 ネットワーク機器と表 1 のサーバの運用管理は , C 氏が行っている。 〔 B ピルサイト LAN の見直し構想〕 技術情報システムの運用担当者は , 現在の技術情報サーバのセキュリティ対策は不 十分であり , 利用できるパソコンを必要なものだけに限定したいと考えている。営業 情報システムの運用担当者は , 営業部独立 LAN を A-NET と接続し , 社内にある営業 部員のパソコンからも営業情報システムを利用できるようにしたいと考えている。 れらのシステムの利用者は , そのほとんどが業務に必要なパソコン操作ができるだけ で , ネットワークやサーバの知識はない。セキュリティに対する認識もまだ十分とは いえない。 B 事業部長は , 両システムの運用担当者の意見を聞き , B ビルのネットワークを見 直すよう c 氏に指示した。また , セキュリテイへの意識が低いことを危ぐし , 技術部 と営業部の全員にセキュリティに関する集合教育を行うよう併せて指示した。 指示を受けた C 氏は , 図 7 のような改善案を作成した。その内容は次のとおりである。 ( 1 ) B ビルサイト LAN を , 技術部サイト LAN, 営業部サイト LAN の二つに分ける。 ( 2 ) 基幹ネットワークと技術部サイト LAN の間 , 及び営業部サイト LAN と営業部独 立 LAN の間に , ルータ ( ファイアウォール ) を設置し , " バケットフィルタリン グ " を行う。バケットフィルタリングの定義には , クライアントの IP アドレス及 part 4 システム 午後Ⅱの重点整理・徹底演習 平成年度午後Ⅱ巻末付表 423

テクニカルエンジニア ( ネットワーク ) 資格試験とは 午前の試験 ・コンピュータシステム ( 重点分野かつ高度の技術レベル ) ハードウェア・基本ソフトウェア・システム構成と方式・システム応用 ・システム開発と運用 ( 高度の技術レベル ) システム開発・システム運用と保守 ・ネットワーク技術 ( 重点分野かっ最も高度の技術レベル ) ・セキュリティと標準化 ( 最も高度の技術レベル ) 午後の問題 ①ネットワークシステムの設計・構築 ネットワークシステム ( データ・音声・画像 , LAN ・ WAN を含む ) の要求分析 , 論理設計 , 物理設計 , セキュリティ設計 , アドレス設計、運用・保守設計 , インプリ メンテーション , テスト , 移行 , 評価 ( 性能 , 信頼性 , 品質 , 経済性など ) , プロジェ クト管理 , 改善提案など ②ネットワークシステムの運用・保守に関すること ネットワークシステムの運用・保守管理 , 運用・保守体制 , セキュリティ管理 , セ キュリティ管理体制など ③ネットワーク技術・関連法規・標準化およびネットワークシステムの技術動向 ネットワーク構成要素 , 待ち行列理論 , トラフィック技術 , ネットワーク構成技術 , ネットワークセキュリティ技術 , ネットワーク関連法規及び倫理規定 , ネットワーク の標準化など 期待する技術水準 ネットワークは情報システム基盤であり , 個別のアプリケーションシステムの構成要素 ともなる。また , マルチメディアへの展開も含め , ネットワークに要求される機能要件 は急速に進展している。そのため , 次の幅広い知識・経験・実践能力が要求される。 ①ネットワーク技術・制度の動向を広く見通し , 目的に応じて適用可能な技術を選択する。 ②企業・組織全体又は個別アプリケーションのネットワークへの要求を的確に理解し , ネットワーク要求仕様を作成する。 ③要求仕様に関連するネットワーク設計技法 , プロトコル技術 , 信頼性設計 , セキュリ ティ技術 , 通信サービス・料金などを選択して , 最適な論理設計・物理設計ができる。 ④ネットワーク関連企業 ( 通信事業者 , べンダ , 工事業者など ) を活用して , ネットワー クの効率的な構築・運用ができる。 [ 試験の実施スケジュール ] スケジュール 区分 例年 6 月中旬 官報等による試験の公示 案内書・願書の配布と願書受付 例年 7 月上旬 ~ 8 月上旬 例年 8 月上旬 受験願書の受付締切 例年 9 月頃 ~ 1 0 月上旬または 9 月末まで 受験票の到着 例年 10 月第 3 日曜日 試験日 合格発表 ( 官報等に掲載 ) 翌年 1 月 翌年 1 月 合格証書の送付 注意 : 試験の実施スケジュール等は , 例年の実績に基づいて記述したものである。 年度ごとの詳細は官報または試験センターに確認すること。 part 1 テクニカルエンジニア ( ネットワーク ) 試験合格ガイド 5

2 WWW システムの構築 ( H12 ー 1 ) [ 例題の解き方 ] インターネットビジネスにおける WWW システムの企画・検討から構築 , 運 用方法まで幅広い問題となっている。特にシステム妨害に対処したセキュリテ イ対策について出題されており , TCP / IP 通信におけるバケットの動きや , バケ ットフィルタリングについての知識が必要である。また WWW や DMZ, クッキ ー情報などの用語も理解しておく必要がある。 ・設問の特徴 設問 1 2 つのサービス方式における待ち行列の計算問題である。 ( 2 ) ではそれぞれのサービスの仕組みを理解することが重要である。 設問 2 バケットフィルタリングの問題である。フィルタリングの設定概念と TC P/I P パ ケットの動作原理をよく理解しておくこと。 設問 3 試行サービスでの通信 ( コネクション ) の流れを , 文章の内容から掴むことが 大事である。 設問 4 インターネットにおけるセキュリティ技術の問題である。「 DHCP 」 , 「クッキー」 がキーワードである。 設問 5 システム構築後の運用における問題である。ネットワーク運用における注意事 項と課題事項を文章の内容からよく掴むこと。 part 4 午後Ⅱの重点整理・徹底演習 429

テクニカルエンジニア ( ネットワーク ) 出題内容の総概要 0 午後 I 問題の出題傾向と対策 ( 1 ) 出題分野と出題傾向 平成 13 年度より情報処理技術者試験が新制度となり , 開始されるテクニカル 工ンジア ( ネットワーク ) 試験は , 「出題範囲」と「スキル標準」をもとに出 題されることになるが , 情報処理技術者試験センターより発行されている「情 報処理技術者試験新制度の概要」にて「従来のネットワークスペシャリスト試 験と同等な内容な試験とする」とされている。したがって , 出題分野や出題傾 向が従来の試験から大きく変わることはないと予想される。 以下に旧ネットワークスペシャリスト試験の過去 4 年間の午後 I の問題がど の分野から出題されているかを分析するため , 「 LAN 」 , 「 WAN 」 , 「インターネ ット」 , 「セキュリティ」 , 「料金計算」の 5 つの分野に分類し , その問題の中心 となる分野に " ◎ " を , 多少なりとも含まれている分野には " 〇 " をふってみ た。表 1 より「 LAN 」 , 「 WAN 」が中心となる問題が多いが , ほとんどの問題は 単一の分野からでなく複数の分野を複合して出題されている。そのほか , 以下 の傾向がある。 ①回線速度や回線の料金の計算問題が 18 問中 11 問も出題されている。 ②毎年必すセキュリテイやインターネットに関する問題が出題されている。 ③フレームリレーや ATM, ISDN などの WAN 技術は , もっとも多く出題され ているため必須である。 12

第 2 章ネットワークセキュリティ設計 1 ネットワークのセキュリティ ( H10 ー 3 ) [ 重点整理 ] ワンタイムバスワード チャレンジコードと暗号化技術を使用し , 毎回違ったパスワードを必要とす るセキュリティ。また , ディジタル署名では , 認証局に認証を発行してもらう ことにより高度な認証対策が可能となる。 不正侵入チェック方法 アクセスログを監視することにより , 特定のホームページや FTP サイトなど にアクセスした , ユーザ名 , アドレス , 時間などを監視することができる。 れにより , インターネットを利用するユーザの制御などを行うことができる。 バケットフィルタリング 内部 ( プライベートネットワーク ) と外部 ( インターネット ) 間に設置され たルータなどで , 通過するバケットを制限する方法。バケットの送信元や送信 先のアドレスを , TCP や UDP の PORT 番号を指定することにとより , 特定のア ドレスごとに , 特定のサービス種別を制御することが可能である。 [ 例題の解き方 ] クライアントサーバシステムにおけるネットワークセキュリティに関した問 題である。問題文中のセキュリティガイドやセキュリティポリシの内容を十分 に理解し , 設問に対してどれだけキーワードを見つけて解答できるかがポイン トとなる。バケットフィルタリング , NAT (Network Address Translation) , 暗号化などがキーワードとなる。ネットワークのセキュリティ対策は , 年々出 題される傾向が多くなっており十分に学習しておく必要がある。 ・設問の特徴 設問 1 ( 1 ) ~ ( 4 ) の問題は , セキュリティポリシの内容に関したセキュリティ対策を考 察させる問題。 ( 5 ) の穴埋め問題は , 認証を用いたセキュリティ技術とログ監視 の方法を問う問題である。 設問 2 ( 3 ) ~ ④の穴埋め問題は , 各サーバのセキュリティ対策の考察である。 設問 3 B ビルサイト LAN 見直しにおけるセキュリティ対策の改善を考察させる問題。日 常におけるセキュリティ管理とネットワーク構成変更におけるセキュリティ管 理を問われている。 設問 4 LAN 管理業務において , 担当レベルのセキュリティ対策を考察する問題である。 416

第 2 章ネットワークセキュリティ設計 〔アドレス体系〕 A-NET は , クラス A のプライベートアドレスを採用している。各サイト LAN の ネットワークアドレスは , A-NET 加入申請時に , 情報システム部からそのサイトに 与えられる。サイト LAN のホストアドレスはサイトが管理する。 A-NET に接続されていない LAN や , ほかのサイトとは通信を行わない LAN がサ イト LAN に含まれている場合もある。このような LAN のために , 情報システム部で は " サイト内アドレス " という特別なアドレス範囲を , クラス A のプライベートアド レス内に定義している。すべてのサイトは , サイト内の通信用に限り , 与えられたア ドレス以外に , サイト内アドレスを自由に使用することができる。 〔 A - NET セキュリティガイド〕 A-NET を計画する際 , A 社のトップは次のような基本方針を情報システム部に示 し , セキュリティに関する基準と運用規則の立案を指示した。 ( 1 ) A-NET は , 各種の資産 ( 情報や機器 ) が接続される汎用のネットワークである。 セキュリティに関する問題の発生防止 , 発生した問題の速やかな検出 , 問題波及の 防止 , 問題解決の仕組みを考慮したセキュリティ対策をたてること。 ( 2 ) 情報システム部を全社のセキュリティ管理部門とし , A-NET のセキュリティ管 理に関する責任と権限を与える。 ( 3 ) セキュリティ管理を行う技術者を , 各利用部門 ( 本社と事業部 ) から選出させ , その技術者を " サイト LAN 管理者 " と呼ぶ。 A-NET のセキュリティ管理体制は , サイト LAN 管理者と情報システム部の技術者を中心に作ること。 情報システム部は , A-NET のセキュリティ基準と運用規則を作成し , トップの承 認を得た。そして , サイト LAN 管理者向けの内容をまとめ , "A-NET セキュリティ ガイド " として , 全サイト LAN 管理者に配布した。図 2 に A - NET セキュリティガイ ドの構成を , 図 3 , 4 にその一部を要約したものを示す。 418

第 1 章インターネット / イントラネットシステム設計 Part4 午後Ⅱの重点整理・徹底演習 解答と解説 ■第 1 章インターネット / イントラネットシステム設計 情報システムの再構築と運用管理 (H9— 1 レ 設問 1 業務システムのホストを共通 N に接続 ( 19 字 ) 本社の端末を部内 N に , 横浜支店の端末を支店内 N に接続 ( 30 字 ) 本社 , 横浜支店間の旧 DN を廃止 ( 16 字 ) ネットワークの統合で経費削減や効率化を考える要素には , 不要設備の削減などが 挙げられる。 こでは , [ 業務システムネットワークの社内 LAN への統合 ] 文中の次 の記述に基づいている。 " 業務システムのホストを共通 LAN に接続し , " " 本社の端末は TCE 接続から部内 LAN 接続に変更した。横浜支店の端末も LAN ポ ードを追加して支店内 LAN に接続変更した。 " 本社 , 横浜支店間は ISDN を廃止し , 高速ディジタル回線で接続した。 設問 2 情報系システム用のデータベースを構築し , ユーサがデータを独自に集計で きるように , 一部はより原データに近い形で格納した ( 58 字 ) 本文中の [ 情報系システム ] 概要の , 「別の切り口での集計値が欲しいとの要望が ユーザから次々出され」に対する対応である。現状の情報系システムでは , 入金など のデータを集約してデータベース化し , 専用の検索ソフトによって端末に数値表を出 力している。しかし , ユーザが必要としている「別の切り口での集計値」は , 集約し たデータを専用の検索ソフトによって出力している現在のシステムでは実現できな い。また , 「別の切り口での集計値」とはユーザごとに違うと考えられる。 この問題を解決するために , [ 情報システムの再構築 ] 文中に「データベースを構 築して , また原データに近い形でデータベースに格納」とあり , データベースへのア クセス方法を多様化し , 原データに近い形のデータを得られることにより , ユーザが データを独自に集計できるようにした。 設問 3 い ) a ーオープン , b ーセキュリティ , c ーデータベース , d ーアプリケーション a 一般的にインターネットとは , オープンなコンピュータネットワークの集合体で あり , 簡単に全世界との情報の共有 , 交換が可能である。 こで問われている解 答は , インターネットの形容詞的意味である「オープン」が適する。 b : インターネットはオープンである反面 , 機密情報が漏洩されたり , 盗聴されるな どの危険があり , 高いセキュリティレベルを必要とする情報には向かない。空欄 の前後の設問文から , 「セキュリティ」が適する。 c : データベースは閲覧のみでなく頻繁に更新が予想される。データベースを www プラウザで閲覧させるためには , HTML との連携が必要となる。 d : パソコン利用面で後発であるということは , ユーザにパソコンが浸透しておらず , part 5 解答と解説