情報処理安全確保支援士(SC)試験の合格を目指す上で、ネットワークセキュリティの深い理解は避けて通れません。特に、実務シナリオに基づいた長文問題が出題される午後試験では、ファイアウォール(FW)、VPN、DMZといった個別の技術知識だけでなく、それらがどのように連携し、組織全体のセキュリティを形成しているのかを読み解く力が問われます。
「各用語の意味は知っているけど、なぜこの構成なのか説明できない」「午後問題の長文を読むのに時間がかかり、結局何が問われているのか分からなくなる」…そんな悩みを抱えていませんか?
本記事では、情報処理安全確保支援士試験の午後問題で頻出のネットワークセキュリティ技術を網羅的に取り上げ、それぞれの役割と関係性を体系的に解説します。境界防御の要であるファイアウォールから、安全な通信を実現するVPN、内部のアクセスを制御するIEEE 802.1X認証まで、点在しがちな知識を一本の線で繋いでいきます。
この記事を読めば、各コンポーネントが担う役割と、それらが織りなす多層防御の仕組みが明確になり、複雑なシナリオ問題にも自信を持って立ち向かえるようになるでしょう。
目次
- 1 情報処理安全確保支援士 午後試験で問われるネットワークセキュリティの全体像
- 2 境界防御の要!ファイアウォール(FW)の機能とDMZの設計パターン
- 3 フォワードとリバースの違いは?プロキシサーバの役割と午後試験での問われ方
- 4 多層防御を1台で実現するUTM(統合脅威管理)のメリット・デメリット
- 5 リモートアクセスとサーバ管理の要!VPNとSSHによる通信の暗号化
- 6 IEEE 802.1X認証の仕組み│RADIUSを使った無線LAN・有線LANのアクセス制御
- 7 ルータのACLからARPスプーフィングまで│L2/L3レイヤの必須セキュリティ知識
- 8 まとめ:各コンポーネントの連携を理解し、長文シナリオ問題を攻略する
情報処理安全確保支援士 午後試験で問われるネットワークセキュリティの全体像
午後試験のシナリオ問題では、単一の技術だけでなく、複数のセキュリティコンポーネントが連携して動作するシステム全体が描かれます。この複雑な構成を読み解く鍵は、ネットワークを大きく3つの「ゾーン(領域)」に分けて捉えることです。企業のネットワーク担当者がセキュリティ設計を行う際も、このゾーンニングの考え方が基本となります。
城の防衛に例えるネットワーク構成
これは、城の防衛に似ています。まず最も外側に高い「城壁(ファイアウォール)」を築き、出入りを厳しく制限します。次に、外部の商人が品物を売買するための「城下町(DMZ)」を設け、ここは外部の人間も立ち入れますが、決して「城内(内部ネットワーク)」へは直接入れないようにします。城内に入れるのは、厳しく身元が確認された者(社員)だけです。
各ゾーンの役割と関連技術
各ゾーンの役割と、そこで活躍する主要なセキュリティ技術は以下の通りです。この全体像を頭に入れておくと、これ以降の個別の技術解説がスムーズに理解できます。
| ゾーン | 役割 | 主な関連技術(本記事で解説) |
|---|---|---|
| ① 境界 | 外部(インターネット)と内部を分離し、不正な通信をブロックする最前線。 | ファイアウォール(FW), UTM |
| ② DMZ | Webサーバなど、外部に公開する必要があるサーバを設置する隔離エリア。 | プロキシサーバ |
| ③ 内部ネットワーク | 社員が利用するPCや業務サーバが存在する、最も保護すべきエリア。 | IEEE 8002.1X, ルータ(ACL), ARP, SSH |
| その他(通信経路) | 外部と内部を安全に接続するための技術。 | VPN |
このように、どの技術がどの場所で、どのような目的で使われているのかを意識することが、午後問題を攻略する第一歩です。次のセクションからは、これらの技術要素を一つずつ詳しく見ていきましょう。
境界防御の要!ファイアウォール(FW)の機能とDMZの設計パターン
ネットワークセキュリティの第一歩は、信頼できない外部(インターネット)と、保護すべき内部(社内ネットワーク)を明確に分離する「境界防御」から始まります。その中心的な役割を担うのがファイアウォール(FW)です。
ファイアウォールの基本:パケットフィルタリング
ファイアウォールの最も基本的な機能は、通信パケットのヘッダ情報(送信元/宛先IPアドレス、ポート番号など)を見て、あらかじめ設定されたルール(アクセスコントロールリスト:ACL)に基づき、通信を通過させるか(Permit)、破棄するか(Deny)を決定することです。
身近な例え 📮
これは、マンションのエントランスにいる管理人のようなものです。管理人は「〇〇号室の〇〇さん宛」という宛先と、「宅配業者の〇〇」という差出人が書かれた伝票だけを見て、許可された業者からの荷物以外は中に入れません。パケットの中身(データ)まではチェックしないのがポイントです。
午後試験の鍵:ステートフルインスペクション
しかし、単純なパケットフィルタリングでは問題が生じます。内部PCから外部Webサイトへアクセスする場合、「行き」の通信は許可しても、「戻り」の通信はポート番号が動的に変わるため、許可ルールを書ききれません。
この問題を解決するのがステートフル・パケット・インスペクションです。これは過去の通信(セッション)の状態を記憶し、正当な「戻り」の通信であることを文脈(コンテキスト)から判断して動的に許可する機能です。
仕事での利用例 🏢
実務では、この機能のおかげで管理者は「内部から外部へのHTTP/HTTPS通信は許可」という大まかなルールを書くだけで済み、戻りの通信を個別に許可する必要がなくなります。これにより、セキュリティを確保しつつ、管理負担を大幅に軽減できます。
DMZ:公開サーバを安全に設置する緩衝地帯
Webサーバやメールサーバのように、外部からのアクセスを許可する必要があるサーバを内部ネットワークに直接置くのは非常に危険です。万が一サーバが乗っ取られた場合、被害が社内全体に一瞬で広がる可能性があるからです。
そこで、外部と内部の中間に「DMZ(DeMilitarized Zone: 非武装地帯)」と呼ばれる独立したネットワークセグメントを設け、そこに公開サーバを設置します。DMZは、外部からのアクセスは許可しつつ、DMZから内部ネットワークへの通信は厳しく制限することで、万一の際のリスクを局所化します。
| 構成方式 | メリット | デメリット(午後試験での狙われどころ) |
|---|---|---|
| シングルFW構成 | コストが低い、構成がシンプル | FW自体に脆弱性があるとDMZも内部も危険に晒される |
| デュアルFW構成 | より堅牢。外部FWと内部FWで異なるポリシーを適用可能 | コストが高い、設定が複雑になる |
支援士試験では、これらの構成図を基に「この通信が許可されるために必要なFWルールは?」「この構成におけるセキュリティ上の懸念点は?」といった実践的な問題が問われます。
フォワードとリバースの違いは?プロキシサーバの役割と午後試験での問われ方
ファイアウォールが主にL3/L4(IPアドレスやポート番号)で通信を制御するのに対し、プロキシサーバはアプリケーション層(L7)で通信を代理するサーバです。支援士試験では、通信の向きによって役割が異なる「フォワードプロキシ」と「リバースプロキシ」の違いを理解しているかが問われます。
内部から外部へ:フォワードプロキシ
フォワードプロキシは、内部ネットワークのPC(クライアント)の代理として、外部のインターネット上にあるWebサーバへ接続します。
身近な例え 🛍️
海外の限定商品を代わりに買ってきてくれる「購入代行業者」のようなものです。私たち(PC)は業者(プロキシ)に「あのサイトの商品が欲しい」と頼むだけ。業者が私たちの代わりに海外サイトとやり取り(通信)をしてくれます。サイト側から見ると、業者が買いに来たように見え、私たちの身元(IPアドレス)は隠されます。
主な目的と機能
- 匿名性の確保:クライアントのIPアドレスを隠蔽します。
- キャッシング:一度アクセスしたWebページの情報を保持し、2回目以降の表示を高速化します。
- URLフィルタリング:業務に関係ないサイトや危険なサイトへのアクセスをブロックします。
外部から内部へ:リバースプロキシ
リバースプロキシは、フォワードプロキシとは逆に、外部(インターネット)からの通信を代理で受け取り、内部の適切なWebサーバへ振り分けます。
仕事での利用例 🏢
企業のWebサイトでは、1台のリバースプロキシが多数のアクセスを受け付け、その後ろにある複数台のWebサーバへ負荷を分散(ロードバランシング)させることがよくあります。また、SSL/TLSの暗号化処理をリバースプロキシに任せる(SSLアクセラレーション)ことで、Webサーバの負担を軽減します。
主な目的と機能
- 負荷分散(ロードバランシング):複数のサーバに処理を分散させ、安定稼働を実現します。
- SSL/TLS処理の集約(SSLアクセラレーション):Webサーバの処理負担を減らします。
- セキュリティ対策:外部に公開するサーバをリバースプロキシに限定し、バックエンドのサーバを隠蔽します。
午後試験では、「図中のサーバAの役割は何か?」「この通信ログはどの機器で記録されたものか?」といった形で、両者の違いと目的を問う問題が頻出です。
多層防御を1台で実現するUTM(統合脅威管理)のメリット・デメリット
これまで解説してきたファイアウォールやプロキシなど、様々なセキュリティ機能を一台のハードウェアに統合した製品がUTM(Unified Threat Management: 統合脅威管理)です。多層的な防御をシンプルに実現できるため、特に専任の管理者が少ない中堅・中小企業で広く利用されています。
UTMの主な機能
UTMは、ネットワークの出入り口で以下のような複数のセキュリティチェックをまとめて行います。
- ファイアウォール: 基本的な通信制御
- VPN: 安全なリモートアクセス経路の提供
- IPS/IDS: 不正侵入の検知・防御
- アンチウイルス: ファイルにマルウェアが含まれていないかスキャン
- URLフィルタリング: 不適切なサイトへのアクセスをブロック
- アンチスパム: 迷惑メールの検知・隔離
身近な例え 📱
UTMは「多機能なスマートフォン」に似ています。かつて電話、カメラ、音楽プレイヤー、地図を個別に持ち歩いていたのが、今では一台のスマホで全て済むように、個別のセキュリティ機器を一台に集約したのがUTMです。
午後試験で問われるメリットとデメリット
UTMの導入を検討するシナリオ問題では、そのメリットとデメリットのトレードオフを理解しているかが重要になります。
| 詳細 | |
|---|---|
| メリット 👍 | コスト削減と運用負荷の軽減 複数の機器を個別に導入・管理するより、購入コストやライセンス費用を抑えられます。また、管理画面が一つに統一されているため、IT担当者の運用・監視の負担が大幅に軽くなります。 |
| デメリット 👎 | 単一障害点(SPOF)になる UTMが故障すると、ファイアウォールやVPNなど全ての機能が停止し、インターネット接続自体ができなくなる可能性があります。冗長化構成が重要になります。 パフォーマンスの低下 |
午後試験では、「ネットワーク性能が遅延している原因は何か?」「UTMが故障した際のリスクと対策は?」といった観点で、デメリットの部分が特に問われやすい傾向にあります。
リモートアクセスとサーバ管理の要!VPNとSSHによる通信の暗号化
インターネットのような信頼できない公衆網を経由して、社内ネットワークやサーバへ安全に接続するためには、通信経路を暗号化する「トンネリング技術」が不可欠です。ここでは、目的の異なる2つの重要な技術、VPNとSSHについて解説します。
ネットワーク全体に接続する「VPN」
VPN(Virtual Private Network)は、公衆網上に仮想的なプライベートネットワークを構築し、拠点間やリモートPCと社内ネットワークを安全に接続する技術です。
身近な例え 🚗
VPNは「一般道(インターネット)の中に作られた、自分専用の装甲トンネル」のようなものです。トンネルの中を通る車(データ)は、外から覗き見られたり、攻撃されたりすることなく、安全に目的地(社内ネットワーク)に到着できます。
仕事での利用例 🏢
在宅勤務者が社内のファイルサーバにアクセスしたり、東京本社と大阪支社のネットワークを常時接続したりする際に利用されます。利用者は、VPNに接続することで、あたかも社内LANに直接いるかのように業務システムを安全に利用できます。
特定の機器を管理する「SSH」
SSH(Secure Shell)は、主にサーバやネットワーク機器(ルータなど)を遠隔から安全に操作(CUIベースの管理)するために利用されるプロトコルです。
身近な例え 📞
SSHは「特定の相手(サーバ)とだけ話せる、暗号化された直通電話」に例えられます。ネットワーク全体につなぐVPNとは異なり、あくまで1対1で、特定の機器を安全に管理するための通信手段です。平文でパスワードが流れてしまうTELNETの代替として広く使われています。
VPNとSSHの使い分け
どちらも通信を暗号化しますが、その目的と範囲が異なります。この違いを理解することが重要です。
| 比較項目 | VPN (Virtual Private Network) | SSH (Secure Shell) |
|---|---|---|
| 主な用途 | ネットワークへのリモートアクセス、拠点間接続 | 個別サーバ、機器へのリモート管理・操作 |
| 接続範囲 | 1対ネットワーク、ネットワーク対ネットワーク | 1対1(クライアント対サーバ) |
| 例えるなら | 専用の装甲トンネル | 暗号化された直通電話 |
午後試験のシナリオでは、「管理者がDMZ上のサーバの設定変更を安全に行う方法は?」と問われればSSHが、「営業担当者が出先から社内の日報システムにアクセスする方法は?」と問われればVPNが、それぞれ解答の候補となります。
IEEE 802.1X認証の仕組み│RADIUSを使った無線LAN・有線LANのアクセス制御
これまでは外部との境界を守る技術が中心でしたが、内部ネットワークのセキュリティも同様に重要です。もし無許可のPCが社内LANに接続できたら…?それを防ぐのが、ポートベースのアクセス制御技術であるIEEE 802.1X認証です。
認証の登場人物(3者)
IEEE 802.1X認証には、3つの役割を持つ登場人物がいます。この3者の関係性を理解することが最も重要です。
- サプリカント: ネットワークへの接続を要求するクライアント端末(例:社員のPC、スマートフォン)。
- オーセンティケータ: サプリカントが接続するネットワーク機器(例:無線LANアクセスポイント、L2スイッチ)。認証の仲介役。
- 認証サーバ: サプリカントのIDとパスワードが正しいかを判断するサーバ。通常、RADIUSサーバがこの役割を担います。
身近な例え 🕺
クラブの入店プロセスに例えられます。
サプリカント(あなた): クラブに入りたい客。
オーセンティケータ(ドアの用心棒): あなたの身分証を預かるが、入店の可否は判断しない。
認証サーバ(店長): 用心棒から受け取った身分証を名簿と照合し、入店の可否を用心棒に伝える。
認証の流れとRADIUSの役割
実際の認証は、EAP(Extensible Authentication Protocol)というプロトコルを使って行われます。
- 接続要求: サプリカント(PC)がオーセンティケータ(スイッチ)に接続を要求します。
- 仲介: オーセンティケータは、認証が済むまで通信をブロックし、サプリカントの認証情報(ID/パスワード等)を認証サーバ(RADIUS)に中継します。
- 検証: RADIUSサーバは、受け取った情報を自身の持つデータベースやActive Directory等と照合し、正当性を検証します。
- 結果通知: RADIUSサーバは、結果(認証成功/失敗)をオーセンティケータに伝えます。
- 接続許可: 認証成功なら、オーセンティケータはポートを開放し、サプリカントはLANへのアクセスが可能になります。
仕事での利用例 🏢
多くの企業では、従業員が会社のWi-Fiに接続する際に自分のIDとパスワードを入力します。これがまさにIEEE 802.1X認証です。これにより、ゲストや部外者が勝手に社内ネットワークへ接続することを防いでいます。
午後試験では、RADIUSサーバの機能として、認証に成功したユーザが所属する部署に応じて、動的にVLANを割り当てるといった、より高度なアクセス制御の仕組みが問われることもあります。
ルータのACLからARPスプーフィングまで│L2/L3レイヤの必須セキュリティ知識
ファイアウォールやUTMといった専用機器だけでなく、ルータやL2スイッチといった基本的なネットワーク機器の機能や、基本的なプロトコルの脆弱性を理解することも、セキュリティの基礎体力として重要です。
ルータのセキュリティ機能:ACL
ルータの本来の役割は、異なるネットワーク間の通信を中継(ルーティング)することですが、ACL(Access Control List)というパケットフィルタリング機能も備えています。
仕事での利用例 🏢
VLANで分割された部署間(例:営業部VLANと開発部VLAN)の通信を制御する際にACLが使われます。例えば、「営業部から開発部のWebサーバへのアクセスは許可するが、ファイルサーバへのアクセスは禁止する」といったルールを、VLAN間の通信を中継するL3スイッチやルータに設定します。これにより、内部ネットワークにおける必要最小限のアクセスを実現します。
内部ネットワークの脅威:ARPスプーフィング
ARP(Address Resolution Protocol)は、同じネットワーク内で、IPアドレス(例:192.168.1.1)からMACアドレス(例:00-11-22-AA-BB-CC)を問い合わせるための基本的なプロトコルです。このARPの仕組みを悪用した中間者攻撃がARPスプーフィングです。
攻撃の流れ
- 攻撃者は、標的PCに対し「俺がルータだ」と偽のARP応答を送りつけます。
- 同時に、ルータに対し「俺が標的PCだ」と偽のARP応答を送りつけます。
- 結果、標的PCとルータ間の通信はすべて攻撃者のPCを経由するようになり、通信の盗聴や改ざんが可能になります。
身近な例え 📬
マンション内で、住人Aさん(標的PC)が管理人室(ルータ)に手紙を出そうとしています。悪意のある住人Bさん(攻撃者)が、Aさんには「私が管理人です」と名乗り、管理人室には「私がAです」と名乗ります。すると、Aさんと管理人室の間の手紙はすべてBさんの郵便受けを経由してしまい、中身を盗み見られてしまいます。
この攻撃は、LANケーブルを接続すれば誰でも通信できてしまうような、セキュリティ対策が不十分なネットワークで特に脅威となります。対策としては、スイッチの機能で不正なARPパケットを破棄するDAI(Dynamic ARP Inspection)などがあります。
まとめ:各コンポーネントの連携を理解し、長文シナリオ問題を攻略する
本記事では、情報処理安全確保支援士試験の午後問題で頻出するネットワークセキュリティ技術を体系的に解説してきました。
外部からの侵入を防ぐファイアウォールとDMZ、通信を代理・中継するプロキシ、多層防御を実現するUTM。そして、安全な通信路を確保するVPNやSSH、内部ネットワークの不正接続を防ぐIEEE 8002.1X認証、最後に基本的な通信を支えるルータのACLやARPの仕組みまで、それぞれの役割と重要性を見てきました。
午後試験で最も重要なのは、これらの個別の技術知識を、シナリオの中で正しく関連付ける力です。
- リモートワーカーがVPNで接続し、フォワードプロキシ経由でWebサイトを閲覧する。
- 外部からのアクセスはリバースプロキシが受け、DMZ上のWebサーバに振り分ける。その通信はファイアウォールで厳しく制御されている。
- 管理者はSSHを使ってサーバをメンテナンスし、社員は802.1X認証を経て社内LANに接続する。
このように、常に「どの技術が、どこで、誰を、何から守っているのか」を意識することが、複雑な問題を読み解く羅針盤となります。
学習のポイント早見表
最後に、本記事で解説した技術の役割を一覧表にまとめます。学習の総仕上げにご活用ください。
| 技術 | 主な設置場所(ゾーン) | 一言でいうと「役割」 |
|---|---|---|
| FW / UTM | 境界 | 関所・検問所 👮 |
| DMZ | 境界と内部の間 | 城下町・緩衝地帯 |
| フォワードプロキシ | 内部 | 内部ユーザの代理人 |
| リバースプロキシ | DMZ | 公開サーバの受付・用心棒 |
| VPN | インターネット上 | 専用の装甲トンネル 🚗 |
| SSH | - | サーバへの暗号化された直通電話 📞 |
| 802.1X/RADIUS | 内部 | ネットワーク利用者の身元確認 |
| ルータ(ACL) | 内部(VLAN間) | 部署間の交通整理 |
これらのコンポーネントが織りなす防御の仕組みを理解すれば、午後問題の長文シナリオは決して怖くありません。本記事が、あなたの合格への一助となれば幸いです。