コンピュータやネットワークが一般社会に浸透し,情報を扱う利便性は向上してきました。しかし利便性の向上は,同時にセキュリティの低下も招きました。サービスの利便性を享受するには,自分の身は自分で守り,他人には迷惑をかけないようにしていかねばなりません。この検定では,ユーザー/管理者として知っておきたい情報セキュリティの概念,技術などに関する基礎知識を取り上げていきます。

 今回はファイアウォール,IDS/IPS,検疫ネットワークなどネットワーク・セキュリティに関する問題を出題します。


【問題1】
ファイアウォールについて,不適切な説明はどれでしょうか。

1. ファイアウォールとは,セキュリティ・レベルの異なるネットワークの境目に配置して,不正な通信を遮断する役割を果たすハードウエアまたはソフトウエアのことである
2. ステートフル・パケット・インスペクション(SPI)とは,通信の状態を監視して正しいものだけを通過させるパケット・フィルタリング機能である。この機能を使うと,要求パケットの通過を許可すれば,それに対応する応答パケットをルーターが識別して動的に通過させることが可能になる
3. ステートフル・パケット・インスペクション(SPI)は,高価な専用ハードウエアを使ったファイアウォールだけが備える機能であり,安価な家庭向けブロードバンド・ルーターは備えていない
4. 企業などで社外にWebサーバーを公開したい場合は,外部ネットワークと内部ネットワークの間に「DMZ(de-militarized zone:非武装地帯)」と呼ばれる「外部からも内部からもアクセスできるエリア」を設けて,そこに公開Webサーバーを設置することが多い

【問題2】
プロキシ・サーバーについて,不適切な説明はどれでしょうか。

1. プロキシ・サーバーを経由した通信では,ヘッダーの送信元IPアドレスは変換されるが,送信元ポート番号は,返信されてきたパケットを送信元に届けるため変換されない
2. クライアントPCからプロキシ・サーバーを経由したWebサーバーへのアクセスは,クライアントPCからプロキシ・サーバー,プロキシ・サーバーからWebサーバーという二つの独立した通信で成り立っている
3. プロキシ・サーバーは,最終的な通信相手のIPアドレスを取得する,コンテンツ・フィルタリングを実施するなどの目的のために,パケットのデータ部分(アプリケーション・データ)を参照できる
4. プロキシ・サーバーを経由した内部ネットワークから外部ネットワークへのアクセスは,内部の情報を外部に出さないようにできるのでセキュリティの向上につながる

【問題3】
IDS/IPSについて,正しい説明はどれでしょうか。

1. IDSは攻撃や不正侵入と思われる通信を見つけると,それらを自動的に遮断する機能を提供する。日本語では不正侵入予防システムと呼ばれる
2. IPSは,攻撃や不正侵入と思われる通信を見つけると,警告メールを管理者に送るなど,あらかじめ設定されたアクションを起こす。日本語では不正侵入検知システムと呼ばれる
3. IDSが攻撃や不正侵入を見つける手法にはシグニチャ型とアノマリ型があり,最近のIDS製品では両方を採用したものが増えている
4. IDSが本来は正常なはずの通信を不正侵入として誤検知してしまうことを,フォルス・ネガティブという

【問題4】
検疫ネットワークについて,間違った説明はどれでしょうか。

1. 検疫ネットワークとは,社内ネットワークにアクセスしようとするクライアントPCがあらかじめ定められたセキュリティ・ポリシーなどのルールに適合しているかをチェックする仕組みである
2. セキュリティ・ベンダーによる業界団体が検疫ネットワークの標準仕様を策定しており,標準に準拠した検疫サーバー,認証サーバー,治療サーバー,LANスイッチなどの間では相互運用性が実現されている
3. クライアントPCが検疫ネットワークで設定されていたセキュリティ・ポリシーに適合しなかった場合,ユーザーが自分でパッチなどを当てて再度検査を試みる以外に,検疫ネットワークに配置された治療サーバーを使って強制的にパッチやウイルス定義ファイルを適用させる方式もある
4. 検疫ネットワークを導入することで,クライアントPCに対して,セキュリティ・ポリシーなどの必要な約束事を強制的に守らせることが可能になる