＠IT：＠ITハイブックス連携企画

マイクロソフト認定技術資格試験「MCP/MCSEラーニングブック」

70-293：Planning and Maintaining a Microsoft Windows Server 2003 Network Infrastructure 編

5-1．ネットワークプロトコルセキュリティ

宮本寿夫／澤村孝太郎
2004/2/5

　本記事は、＠ITハイブックスシリーズ『マイクロソフト認定技術資格試験　MCP/MCSEラーニングブック－70-293：Planning and Maintaining a Microsoft Windows Server 2003 Network Infrastructure 編－』（技術評論社発行）より、一部の問題を許可を得て転載したものです。同書籍に関する詳しい情報については、「＠ITハイブックス」サイトでご覧いただけます。

ほかの問題へ
	問題　05-01-01　入力フィルタと出力フィルタ
	問題　05-01-02　インターネット接続ファイアウォール
	問題　05-01-03　IPセキュリティポリシー
	問題　05-02-01　トンネリングプロトコル
	問題　05-02-02　VPNセッションの管理

問題　05-01-03　IPセキュリティポリシー

　あなたは組織のネットワーク管理者です。ネットワークは1つのActive Directoryドメインで構成されています。このネットワーク内で機密情報を扱うWindows Server 2003コンピュータが3台あり、これらのコンピュータが行う通信をセキュリティで保護したいと思います。Windows Server 2003コンピュータと通信するクライアントコンピュータは、30台のWindows XP Professionalコンピュータ、10台のWindows NT 4.0 Workstationコンピュータです。

　IPSecを使用して、3台のWindows Server 2003コンピュータとクライアントコンピュータ間の通信の機密性をできる限り保ちたいと思います。ただし、この設定によって、クライアントとサーバ間の通信が行えなくなってしまってはいけません。

　それぞれのコンピュータで使用すべきIPセキュリティポリシーの適切なIPセキュリティポリシーの設定を選択してください。

　（単一選択）

	ドメインセキュリティポリシーを変更し、IPセキュリティポリシーの「セキュリティで保護されたサーバ（セキュリティが必要）」を割り当てる。
	ドメインセキュリティポリシーを変更し、IPセキュリティポリシーの「クライアント（応答のみ）」を割り当てる。
	Windows Server 2003コンピュータのIPセキュリティポリシーを「セキュリティで保護されたサーバ（セキュリティが必要）」に設定する。Windows XP ProfessionalコンピュータのIPセキュリティポリシーを「セキュリティで保護されたサーバ（セキュリティが必要）」に設定する。
	Windows Server 2003コンピュータのIPセキュリティポリシーを「サーバ（セキュリティが必要）」に設定する。Windows XP ProfessionalコンピュータのIPセキュリティポリシーを「クライアント（応答のみ）」に設定する。

　Windows Server 2003ではIPSec（IP Security）がサポートされています。IPSecを使用することで、コンピュータ間の通信を暗号化して盗聴などの不正アクセスからデータを保護したり、署名を施して通信の改ざんを防止したりするなど、通信のセキュリティを確保することができます。

　IPSecの設定を行うには、MMC（Microsoft Management Console：Microsoft管理コンソール）から「IPセキュリティ」のスナップインを追加して設定するか、netshコマンドを使用します（図5-6）。また、Active Directory環境ではグループポリシーを使用してIPSecの設定を集中管理することも可能です。

図5-6 IPセキュリティスナップイン（拡大）

　IPSecの設定は、コンピュータにIPSecポリシーを割り当てることで行います。デフォルトでは3つのIPSecポリシーが用意されており、必要なセキュリティレベルに応じていずれかを割り当てます。またIPSecポリシーは既存のものをカスタマイズしたり、新規に作成したりすることも可能です。

　既存のIPSecポリシーの内容は以下のとおりです（表5-1）。

IPSecポリシー	説明
クライアント（応答のみ）	通常の通信にはIPSecを使用しません。通信相手がISPecによる通信を要求してきた場合のみIPSecを使用します。
サーバ（セキュリティが必要）	別のコンピュータからの通信の要求を受け付けた場合、そのコンピュータにIPSecの使用を要求し、IPSecでの通信を行います。ただし、相手がIPSecを使用できない場合は、IPSecを利用せずに通信を行います。
セキュリティで保護されたサーバ	原則としてすべての通信でIPSecを使用します。IPSecを使用できない相手との通信は一切許可しません。

表5-1　既存のIPSecポリシー

　IPSecを標準でサポートするのはWindows 2000、Windows XP Professional、Windows Server 2003です。Windows NTはIPSecをサポートしないため、Windows Server 2003コンピュータに「セキュリティで保護されたサーバ（セキュリティが必要）」のIPセキュリティポリシーを割り当てると、Windows Server 2003コンピュータとWindows NTとの通信が行えなくなります。

　また、Windows XP Professionalコンピュータには、必要な通信にのみIPSecを使用するよう「クライアント（応答のみ）」を使用するのが適切な構成といえます。

■POINT■

　Active Directory環境では、グループポリシーを使用してIPSecポリシーを割り当てることができるため、同様の設定を行うコンピュータを1つのOU（Organizational Unit：組織単位）にまとめ、そのOUに対してIPSecポリシーの設定を含むグループポリシーを適用する方法が有効です。ドメイン全体に同様のIPSecポリシーを割り当てるとネットワーク内で通信の際に大量のオーバーヘッドが発生するため、このような設定は一般的な環境では推奨されていません。

■KEYWORD■

　IPフィルタ

　IPフィルタは、どのような通信の際にIPSecを使用するのかを指定するためのフィルタです。

　あて先のIPアドレスやポート番号、プロトコルなどの条件で構成できます。IPフィルタをカスタマイズすることで、通常はIPSecを使用しないが、特定の相手（IPアドレス）と通信する際にはIPSecを使用する、といった構成が可能となります。

　IPフィルタは、IPセキュリティポリシーのプロパティから設定可能です（図5-7）。

図5-7 IPフィルタの設定

正　解（05-01-03）
　D

前の問題へ

次の問題へ

マイクロソフト認定技術資格試験「MCP/MCSEラーニングブック」

Security&Trust記事一覧

Security&Trust フォーラム新着記事

Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ （2017/7/24）
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。
WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に （2017/7/11）
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。
Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは （2017/7/10）
　代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する
侵入されることを前提に考える――内部対策はログ管理から （2017/7/5）
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃（APT：Advanced Persistent Threat）対策の観点から考える。