【令和4年】ネスペ午後1-1の解説
令和4年度のネットワークスペシャリスト(ネスペ)の午後問題の解説をしていきます。
今回は午後1-1の問題をわかりやすく説明します。本問では主にネットワーク更改の内容が問われました。
画像はすべてIPA公式から引用しております。
令和4年度 春期 ネットワークスペシャリスト試験(NW)午後Ⅰ
他年度の午後問題の解説は別記事でまとめていますので、ぜひ参考にしてください。
設問1(1)
まずは定番の穴埋め問題です。試験の場合、必ず設問から確認しましょう。いきなり本文を読み進めていくのはおすすめしません。
本文中のaからcとあるので、その空欄箇所の付近を確認すれば解ける問題の確率が非常に高いです。
空欄a
まずはaからです。aを含む一文の「ログデータの転送」「イベント通知を転送するプロトコル」のヒントから「Syslog」を導き出します。知識問題は覚えていけば大丈夫なので間違ったとしても気にしなくていいです。
空欄b,c
次にbですがプロキシサーバでユーザ認証する際の方式を問われています。Base64でエンコードするBasic認証方式と、MD5やSHA-256でハッシュ化するダイジェスト認証方式があります。よって答えは「ダイジェスト」です。
またcですが、プロキシサーバでHTTPのトンネリング通信を提供するのは「CONNECTメソッド」です。非常によく出る問題なので絶対に覚えましょう!
プロキシサーバはクライアントとサーバの間で通信を仲介します。特にHTTP/HTTPSが代表的です。HTTP通信ではクライアントからプロキシに送られたHTTPリクエスト内容(宛先URLやリクエスト内容など)をもとに、プロキシサーバが代理してサーバへ転送します。
しかし、HTTPS通信ではクライアントとサーバ間のやりとりはSSL/TLS通信で暗号化されます。暗号化されているためHTTPS通信ができなくなります。そこで、HTTPS通信の場合は、間にいるプロキシサーバが暗号化されたトラフィックに関与せず、透過する設定が必要になります。その際に利用するのが「CONNECTメソッド」です。
IPA公式解答
a Syslog
b ダイジェスト
c CONNECT
設問1(2)
FWを設置して、サーバをDMZに設置する場合に軽減できるセキュリティリスクを答える問題です。
設問から答えるポイントは以下のとおりです。
- FWを設置せず、OAセグメントにサーバを置いた場合のセキュリティリスク
- FWを設置し、DMZにサーバを置いた場合に防げるセキュリティリスク
- 軽減できるセキュリティリスクを解答する
上記3点をそれぞれ踏まえた解答ができれば、正解をもらえるはずです。「違い」を答える問題は必ず解答案に書き出す前に、比較対象を明確にして、それぞれの相違点を書き出して整理しましょう。
まず「FWを設置せず、OAセグメントにサーバを置いた場合のセキュリティリスク」は以下の点が挙げられます。
- サーバへのDDoS攻撃によるサービスダウン
- サーバを踏み台にOAセグメント内への不正アクセス・攻撃拠点とされること
一方で「FWを設置し、DMZにサーバを置いた場合に防げるセキュリティリスク」は以下の点が挙げられます。
- FWでDDoS攻撃を防ぐことでサーバダウンを防げる
- FWでポリシー制御することでサーバからOAセグメントへの不正アクセスを防げる
よって、軽減できるセキュリティリスクはDDoSによるサーバダウンや他セグメントへの不正アクセスになります。
ただ本文ではどのレベルのFW(L4レベル、WAFなど)なのか具体的に記載されていないことやセグメントをOAセグメントからDMZに移動したときに軽減できるセキュリティリスクを問われています。そのため、セグメントに関するセキュリティリスクを答えるべきと推測できます。
よって、まとめると以下のように答えれば及第点だと思います。
サーバを踏み台にOAセグメント内への不正アクセス・攻撃拠点とされるリスク(35字)
IPA公式解答
社外からサーバに侵入された時にOAセグメントの機器に侵入されるリスク(34字)
設問2(1)
まずは本文中の下線①とあるため、その箇所を探します。以下のように、「FTAにWebブラウザを使ってログイン」が下線①とわかります。
次に問われている内容として利用者の認証を既存のサーバで一元的に管理するサーバを図2中から適切な字句を答えるとのことです。
図2中のどこかのサーバで「利用者の認証を一元管理する」ものがあるみたいですね。図2をみてみます。
下線①を含む段落は「管理セグメントとOAセグメント間のファイルの受渡し」のセクションであるため、管理セグメントとOAセグメントの機器に対象サーバがあると絞れます。
ざっとセグメント内の機器をみて、「利用者認証」「一元管理」のキーワードからLDAPサーバが答えになりそうと検討でき、LDAPサーバの記述を本文から探します。また検討がつかなくても「認証」という言葉をヒントに本文から説明箇所を探していきましょう。
内部メールサーバとプロキシサーバはユーザ認証のためにLDAPサーバを参照するという文言が見つかります。よって、下線①にあるFTAもLDAPサーバを参照して利用者認証を行えば一元的に管理できます。
よって答えはLDAPサーバ
IPA公式解答
LDAPサーバ
設問2(2)
FTAにアクセスできるセグメントを図2中の字句で答える問題です。まずは下線②を探しましょう。すると、FTAには静的経路や経路制御プロトコルの設定を行わないとあります。また指示cでは「工場の制御セグメント及び管理セグメントと、事務所のOAセグメントとの間はルーティングを行わない」とあります。
制御セグメントと管理セグメント(赤枠)とOAセグメント(青枠)間のルーティングを一切していないことを踏まえて、FTAにアクセスできるセグメントを答えます。
以下表1にあるように、「PC又は操作端末からFTAにファイルをアップロードする」と記載あるため、PCと操作端末が所属するセグメントを答えればよいことがわかります。よって答えは管理セグメント、OAセグメント
IPA公式解答
管理セグメント、OAセグメント
設問2(3)
FTAにおける認証と認可のそれぞれの意味と違いを答える問題です。本文中の下線③とあるので該当箇所を探します。「FTAは、認証及び認可に必要な情報について、既存のサーバを参照する。」とあります。利用者認証を行う際にLDAPサーバを利用するため、既存のサーバとごまかしてありますね。
一般的に認証とは利用者の本人確認であり、認可とは必要なアクセス権限・実行権限のみを付与することを指します。
FTAの利用の流れを整理しながら、どこで認証と認可が必要になるかを整理します。
FTAを利用する際の登場人物は3名です。ファイル送信者、承認者(上司)、ファイル受信者です。それぞれの行動が認証、認可どれにあたるかを整理します。
| 認証 | ファイル送信者本人のみ知るユーザ名とパスワードでFTAにログイン 承認者(上司)のみ知るユーザ名とパスワードでFTAにログイン ファイル受信者本人のみ知るユーザ名とパスワードでFTAにログイン |
| 認可 | ファイル送信者は権限があればFTAにファイルをアップロードできる 承認者(上司)は権限があればファイルの中身を確認した上で承認できる ファイル受信者は権限があればFTAからファイルをダウンロードできる |
まとめた上で、FTAにおける認証と認可のそれぞれの意味と違いを踏まえながら解答にしていきます。以下はあくまで自分の解答例です。
認証:各FTA利用者が正当な本人かどうか確認するため(23字)
認可:各FTA利用者に必要な実行権限のみを付与するため(24字)
IPA公式解答
認証:FTAの利用者が本人であることを確認するため(22字)
認可:操作ごとに実行権限を有するかを確認するため(22字)
設問3(1)
本文中の「空欄d」とあるので該当箇所を探します。
L2SWのフレームの転送方式が説明されています。フレームを転送する時に、宛先MACアドレスがMACアドレステーブルに学習済みの場合は学習されているポートに転送されます。一方、宛先MACアドレスが学習されていない場合はフラッディングします。
フラッディングとはMACアドレステーブルに宛先MACアドレスが学習されていなかった場合、フレームを受信したポートを除くすべてのポートからフレームを一斉送信するユニキャスト通信の機能です。
一方、ブロードキャストとは宛先MACアドレスを「FF-FF-FF-FF-FF-FF」にしたフレームをフレームを受信したポートを除くすべてのポートから同じネットワークセグメント宛に一斉送信する機能です。
違いとしては指定する宛先MACアドレスが異なる点(ユニキャスト通信かブロードキャスト通信)です。
よって答えはフラッディング
IPA公式解答
フラッディング
設問3(2)
性能面で比較する問題です。それぞれをまず必ず整理していきましょう。まずは下線④を探します。想定トラフィック量が少ないので既存のL2SWのミラーポートを利用するとあります。ミラーポートを採用する理由として「想定トラフィック量が少ないので」とあるので、トラフィック量に差異があるものだと推測できます。
まず比較対象としては以下の2つの方法です。
- L2SWからミラーポートでNPBにデータを入力する方法
- ネットワークタップを用いてNPBにデータを入力する方法
L2SWのポートミラーリングの場合
L2SWからミラーポートでNPBにデータを入力する場合、以下のような構成図になります。
L2SWで制御サーバ宛の通信をNPB(ネットワークパケットブローカー)にポートミラーリングするときに、L2SWと制御サーバ間の帯域が1G(1000BASE-T、1000BASE-SXなど)と仮定します。
上記帯域は全二重通信のため、アップリンク、ダウンリンクともにそれぞれ1Gbpsの通信が可能です。そのため、L2SWと制御サーバ間のミラーポートには最大2Gbpsの通信が流れることが想定できます。
ポートミラーリング先のL2SWとNPBの帯域を確認すると1G(1000BASE-SX)しかないため、ミラーポートで取得した最大2Gbpsのトラフィックを流しても帯域から漏れてしまいます。
ネットワークタップの場合
一方、ネットワークタップを用いてNPBにデータを入力する場合、以下のような構成図になります。
ネットワークタップをインラインに設置する方法では、送受信用それぞれのポートを用意することになるため、最大2Gの帯域をカバーすることができます。
よって、まとめると以下のようになります。
- ミラーリングの場合、送受信のトラフィックが合計1Gbpsまでしか処理できない
- ネットワークタップの場合、送受信のトラフィックが合計2Gbpsまで処理できる
最後に解答にまとめます。「性能面でどのような制約が生じるか」とあるので、それに合わせて解答をつくります。
答えは、送受信のトラフィックが合計1Gbpsまでしか処理できないという制約(33字)
IPA公式解答
送信側と受信側のトラフィックを合計1G ビット/秒までしか取り込めない。
設問3(3)
どの機器から可視化サーバやキャプチャサーバにミラーパケットを取得すればよいかを答える問題です。下線⑤を探します。
制御セグメントに設置されているL2SWの特定ポートとあるので、L2SWに接続されている対象機器を洗い出します。コントローラ、NPB、制御サーバが候補となります。
下線⑤の上に「コントローラは、更改前と同様に測定データを制御サーバに常時送信する」とあることから制御サーバに測定データが集められていることがわかります。
NPBのトラフィックをミラーリングする意味はないこと、「1ポートだけからミラーパケットを取得する」と設問にあるためコントローラではないことから、制御サーバが答えとわかります。
前問のSWのミラーリングとネットワークタップの違いを理解できていたら、本問もすぐ答えられたと思います。設問の内容がつながっているのが度々読み取れるのでひとつひとつ丁寧に進めるのが大事ですね。
IPA公式解答
制御サーバ
設問3(4)
本問は知識問題です。サーバでミラーパケットを受信するためにサーバ自身のMACアドレス宛ではないフレームも受信するインタフェース設定をプロミスキャスモードといいます。
覚えておきましょう!
IPA公式解答
モード:プロミスキャス
フレーム:宛先MACアドレスが自分のMACアドレス以外のフレーム
設問3(5)
計算問題ですね。ミラーパケットの平均速度で1000日間保存した場合の計算をします。
| ビット変換 | 100kビットは100,000ビット(秒) |
| 1日の時間 | 60(秒)×60(分)×24(時間)=86,400秒(1日の時間) |
| 1000日の時間 | 86,400秒(1日の時間)×1,000(1000日)=86,400,000秒(1000日の時間) |
| 1000日のデータ量 | 100,000ビット(秒)×86,400,000秒(1000日の時間)=8640,000,000,000(ビット) |
| バイト変換 | 8640,000,000,000(ビット)÷8(バイトに変換)=1080,000,000,000(バイト) |
| Gバイト変換 | 1080,000,000,000(バイト)÷10の9乗(1Gバイトは10の9乗バイト)=1080G |
よって答えは1080Gバイト
IPA公式解答
1,080
ネスペ要点まとめ(復習用)
本ページで解説した、ネスペ令和4年午後1 問1の過去問も含めて、別記事でネスペ午後過去問の要点をまとめていますので、復習用にぜひ活用ください。
