【令和4年】ネスペ午後2-1の解説
令和4年度のネットワークスペシャリスト(ネスペ)の午後問題の解説をしていきます。 今回は午後2-1の問題をわかりやすく説明します。本問では主にSSL-VPN、VDI、TLS1.3、認証局、OSPFのECMP、VRRPなどの内容が問われました。
画像はすべてIPA公式から引用しております。
令和4年度 春期 ネットワークスペシャリスト試験(NW)午後Ⅱ
他年度の午後問題の解説は別記事でまとめていますので、ぜひ参考にしてください。
設問1
空欄ア
本文中から各空欄を探していきます。TLSプロトコルのセキュリティ機能は、暗号化、通信相手の認証、改ざん検知です。知識問題なのでわからなかったら覚えていけば大丈夫です。
空欄アの答えは、改ざん検知
ちなみに、ネスペ平成30年度の(2018年)午後2-1で、同じ問題が出題されていました。過去問から学んでネスペ試験に備えていきましょう。以下の答えは、順に、暗号化、検知、認証です。
空欄イ
SSL-VPNはリバースプロキシ方式、ポートフォワーディング方式、L2フォワーディング方式の3方式です。
空欄イの答えは、L2フォワーディング方式
こちらも、ネスペ平成29年度の(2017年)午後1-1で、同じ問題が出題されていました。以下の答えは、リバースプロキシです。
空欄ウ
ポートフォワーディング方式のSSL-VPNは、TCPまたはUDPの任意のポートへのアクセスを可能にします。
答えは、ポート
空欄エ
認証局(CA)に発行された電子証明書に含まれているのは、証明対象を識別する情報(Subjectフィールド)、有効期限、公開鍵、シリアル番号、CAのデジタル署名などが含まれます。
TLSにおけるRSA交換鍵方式でも、クライアント側でランダムなプリマスターシークレットを生成して、サーバのRSA公開鍵で暗号化してサーバに送付することで共通鍵の共有を実現します。
答えは、公開
IPA公式サイトで実際に電子証明書(サーバ証明書)を確認してみます。アクセスして、鍵マークをクリック、「この接続は保護されています」をクリック、「証明証は有効です」をクリックします。
電子証明書(サーバ証明書)の詳細を確認できます。証明書の署名アルゴリズムはSHA-256を利用していたり、有効期限、公開鍵などの情報が記載されています。
空欄オ
リバースプロキシ方式、ポートフォワーディング方式、L2フォワーディング方式の3方式から利用する方式を選ぶ問題です。RDPのみ利用するのでポートフォワーディング方式が最適です。
SSL-VPNの各方式をまとめると以下のとおりです。
| SSL-VPN方式 | 特徴 | メリット | デメリット |
|---|---|---|---|
| リバースプロキシ方式 | Webブラウザを使用してVPN接続を行う方法 | Webブラウザだけ(専用のソフトウェアは不要)で、簡単にリモート接続ができる | Webブラウザに対応しているアプリケーションしか対応できないこと |
| ポートフォワーディング方式 | クライアントPCにJavaアプレットなどのVPN通信モジュールを導入してVPN接続を行う方法 | 事前にサーバのIPアドレスとポート番号を静的に定義するので、必要なアプリケーションのみリモート接続可能 | FTPなどのポート番号が動的に変更するアプリケーションでは使えない |
| L2フォワーディング方式 | クライアントPCにVPNクライアントソフトを導入して、データをHTTPパケットでカプセル化してVPN接続を行う方法 | アプリケーションの制約がなく、動的なプロトコルにも対応可能 | 利用者側のOSはWindowsに限られる製品が多い |
答えは、ポートフォワーディング
空欄カ
TLS1.3で規定されている鍵交換方式は、DHE、ECDHE、PSKの3方式です。TLS1.3では、前方秘匿性(Forward Secrecy、サーバーの秘密鍵が漏洩した場合でも、過去に暗号化した通信データの安全性を守る技術)を確保できるDHE、ECDHEが推奨です。
答えは、DHE
設問2(1)
本文中の下線①の該当箇所を探します。TLS1.3ではAEAD(Authenticated Encryption with Associated Data)暗号利用モードの利用が必須で、セキュリティに関する二つの処理を答える問題です。
AEADは認証付き暗号と呼ばれ、通信内容の暗号化とメッセージが改ざんされていないことを検証するメッセージ認証の処理が同時に行われます。
答えは、暗号化、メッセージ認証
設問2(2)
本文中の下線②とあるので該当箇所を探します。「認証局(CA)によって発行された電子証明書には、証明対象を識別する情報、有効期限、公開鍵、シリアル番号、CAのデジタル署名といった情報が含まれる」という一文にあります。
証明対象を識別する情報とは、Subjectフィールドのことです。参考
答えは、Subject
設問3(1)
クライアント証明書で送信元の身元を一意に特定できる理由を答える問題です。
クライアント証明書とは、Webサーバーに接続する際に、クライアント(ブラウザ)側が自分自身を証明するためのデジタル証明書のことです。クライアント証明書は、公開鍵暗号方式によって暗号化されており、証明書を持っているクライアントのみがWebサイトとの通信を行うことができます。
クライアント証明書の発行手順は以下のとおりです。
- クライアントPCで秘密鍵の作成
- クライアントPCで証明書署名要求(CSR)の生成
- 認証局(CA)に証明書署名要求(CSR)を提出
- 認証局(CA)からクライアント証明書をもらう
- クライアントPCでクライアント証明書をインストール
クライアント証明書を作成する際には、クライアントで秘密鍵を作成する必要があります。秘密鍵はクライアント本人のみが保有するものであり、対になる公開鍵で暗号化された通信を復号するために使われる鍵です。
「クライアント証明書の秘密鍵は本人のみが所有する」という点を理解していれば、答えられます。
答えは、クライアント証明書の秘密鍵は本人のみが所有するものだから(28字)
IPA公式解答は、クライアント証明書の公開鍵に対する秘密鍵は本人しか保有していないから(34字)
設問3(2)
クライアント証明書の検証のために、SSL-VPN装置にインストールしておくべき情報を答える問題です。「クライアント証明書の検証のために」とあるので、クライアント証明書の検証する過程で必要となるものを答えます。
クライアント証明書を発行する際には、クライアントから認証局(CA)に対して、CSRを提出して、クライアント証明書を発行してもらいました。ただ、証明書を発行する認証局(CA)が正当でなければ、信頼できません。
SSL-VPN装置がクライアント証明書が正当なものか検証するためには、クライアント証明書を発行した認証局(CA)がそもそも信頼できる認証局(CA)であるかを確認する必要があります。そこで、認証局(CA)のルート証明書をSSL-VPN装置にインストールします。
認証局(CA)のルート証明書とは、認証局が自ら署名して作成した自己署名証明書であり、認証局の中でも最上位に位置する認証局の証明書のため、中間CA証明書やサーバー証明書などの下位の証明書を発行するための信頼の起点となります。
認証局(CA)のルート証明書をインストールすることで、信頼できる認証局が発行した証明書に対して信頼をおくことができます。
答えは、認証局のルート証明書
IPA公式解答は、CAのルート証明書
設問3(3)
下線⑤では、「SSL-VPN装置からサーバ証明書が個人PCに送られ、個人PCで検証される。」とあり、検証によって低減できるリスクを答える問題です。
サーバ証明書とは、通信の暗号化やサーバーの身元を証明する役割を持つ電子証明書です。クライアント証明書と同じく、認証局(CA)にサーバ証明書を発行してもらいます。
- サーバで秘密鍵の作成
- サーバで証明書署名要求(CSR)の生成
- 認証局(CA)に証明書署名要求(CSR)を提出
- 認証局(CA)からサーバ証明書をもらう
- サーバでサーバ証明書をインストール
本問では、サーバ証明書の検証によって低減できるリスクを答える問題のため、検証しなかった場合のリスクを考えます。サーバ証明書はサーバーの身元を証明する役割を持つ電子証明書なので、サーバ証明書を検証しなければ、なりすましされたサーバに接続してしまう可能性が高まります。
IPA公式解答は、なりすまされたSSL-VPN装置へ接続してしまうリスク(27字)
設問3(4)
TLS1.3では規定されている鍵交換方式に比べて、広く復号されてしまう通信の範囲に含まれるデータを答える問題です。秘密鍵が漏洩してしまった時に復号されてしまうデータを検討します。
TLS1.3で規定されている鍵交換方式は、DHE、ECDHE、PSKの3方式です。TLS1.3では、前方秘匿性(Forward Secrecy、サーバーの秘密鍵が漏洩した場合でも、過去に暗号化した通信データの安全性を守る技術)を確保できるDHE、ECDHEが推奨です。
よって、秘密鍵が漏洩してしまうと、過去に暗号化した通信データも復号されてしまう可能性が高まります。秘密鍵が漏洩してしまった時に復号されてしまうデータは、過去に暗号化した通信データです。
秘密鍵が漏えいする以前の過去に暗号化した通信データ(25字)
IPA公式解答は、秘密鍵が漏えいする前に行われた通信のデータ(21字)
設問3(5)
利用者が認証局(CA)にCSRを提出する時に署名に用いる鍵と、認証局(CA)がCSRの署名の検証に用いる鍵を本文中の用語で答える問題です。
利用者が認証局(CA)にCSRを提出する時に署名に用いる鍵は、利用者の秘密鍵です。また、認証局(CA)がCSRの署名の検証に用いる鍵は、利用者の公開鍵です。
本文中にも「新しいクライアント証明書が必要なときは、利用者の公開鍵と秘密鍵を生成し、」とあるため、利用者の公開鍵と利用者の秘密鍵でよさそうです。
答えは順に、利用者の秘密鍵、利用者の公開鍵
設問3(6)
証明書失効リスト(CRL)に含まれる証明書を一意に識別できる情報は、シリアル番号です。
証明書失効リスト(CRL)とは、有効期限内に失効したディジタル証明書のシリアル番号のリストです。(ネットワークスペシャリスト平成24年秋期 午前Ⅱ 問19より)
CRLは、証明書の誤発行や証明書の秘密鍵紛失による不正使用を防止するために、有効期限前に失効させることがあります。
また本文にもヒントとして、シリアル番号の記載があります。
答えは、シリアル番号
設問4(1)
下線⑨の該当箇所を確認すると、SSL-VPN装置のユーザテーブル、SSL-VPN接続時の処理に必要な情報が含まれるテーブルであり、仮想PCの起動時に自動設定されると記載があります。
この際に、ユーザテーブルに含まれる情報を答える問題です。「SSL-VPN接続時」とあるので、SSL-VPN接続の手順を確認していきます。ユーザテーブルという名前のとおり、ユーザに関する情報が記載されていると推測できます。
表1を確認します。SSL-VPN装置は、SSL-VPN接続要求を受けてSSL-VPNトンネルの処理を行い、仮想PCへRDP接続を中継します。さらに、上記のVPN処理のために、ユーザテーブルとNATテーブルの2つのテーブルが利用されます。
ここで、ユーザに関する情報として、SSL-VPN接続要求をだれがするのかという点に着目します。
表1の仮想PCの説明に、「利用者ごとに仮想PCがあらかじめて割り当てられており、IPアドレスは静的に割り当てられている。」という文言から、IPアドレスによって利用者を識別できるということがわかります。
表1のSSL-VPNクライアントの説明に、クライアント証明書を用いて処理を行うとあり、さらに本文に「K社においては、社員番号を利用者IDとしてクライアント証明書に含める」ともあり、利用者を識別する情報として利用者IDを使用していることがわかります。
よって答えは、仮想PCに割り当てられているIPアドレスとクライアント証明書に含まれる利用者ID(40字)
IPA公式解答は、VDI利用者の利用者IDとその利用者の仮想PCのIPアドレスの組(32字)
設問4(2)
SSL-VPN装置がユーザテーブルを検索するときに、検索のキーとなる情報をどこから得るのか答える問題です。まず検索のキーとなる情報を特定します。
前問の問題が絡んできますが、ユーザテーブルの情報は、仮想PCに割り当てられているIPアドレスとクライアント証明書に含まれる利用者IDのため、どちらかになります。設問では、図3中のどのタイミングで情報を受け取るかも答えるため、クライアント証明書に含まれる利用者IDに目星がつきます。
VDIクライアントがSSL-VPN装置にクライアント証明書を送信するタイミングは、「Certificate」です。
TLS1.3のSSLハンドシェイクの確立手順は以下のとおりです。
- クライアントがサーバーに接続要求を送信(Client-Hello)
- サーバーがクライアントに公開鍵を含めたサーバ証明書などを送信(Server-Hello)
- サーバがクライアントに鍵交換、署名、暗号化アルゴリズムに関する情報を送信(Encrypted Extensions)
- サーバがクライアントにクライアント証明書を要求する(Certificate Request、任意)
- サーバがクライアントにサーバ証明書を送信する(Certificate)
- サーバがクライアントにサーバ証明書の署名データを送信する(Certificate Verify)
- サーバがクライアントにメッセージ送信が終了したことを通知する(Finished)
- クライアントがサーバにクライアント証明書を送信する(Client Certificate、任意)
- クライアントがサーバにクライアント証明書の署名データを送信する(Client Certificate Verify、任意)
- クライアントがサーバにメッセージ送信が終了したことを通知する(Finished)
- 以降、通信は暗号化された状態で行われる
IPA公式解答は、クライアント証明書から得られる利用者ID情報(22字)、タイミングはⅦ
設問5(1)
OSPFのECMPを利用したコスト設定を行う目的を答える問題です。
ECMP(Equal Cost Multi Path)は、等コストの経路が複数ある場合、すべての通信経路に負荷を分散させる設定で冗長性と可用性を高めます。本問では、どの通信経路を負荷分散するのかを確認します。
本文を確認すると、「拠点間接続の冗長化のために、新たにN社の広域イーサネットを契約する。その回線速度と接続トポロジーは現行のM社の広域イーサネットと同等とする。」「通常は、M社とN社の広域イーサネットの両方を利用する」とあり、広域イーサネットを冗長化したことが読み取れます。目的としては、M社とN社の広域イーサネットの両方を利用する旨を答えればよいです。
IPA公式解答は、M社とN社の広域イーサネットの両方を利用すること(24字)
設問5(2)
「L3SW11のルーティングテーブル上には、サーバセグメントへの同一コストの複数の経路が確認できる」とあり、該当の経路数とコストを答える問題です。
経路は以下の4通りです。オレンジ色の機器はL3SW11のルーティングテーブルに表示される機器。
- L3SW11→L2SW13→M社広域イーサネット→L2SW34→L3SW31
- L3SW11→L2SW13→M社広域イーサネット→L2SW34→L3SW32
- L3SW11→L2SW14→N社広域イーサネット→L2SW35→L3SW31
- L3SW11→L2SW14→N社広域イーサネット→L2SW35→L3SW32
OSPFコストは、出力されるインターフェースのコスト値の合計で比較され、値が低い経路を優先します。
50(L3SW11の出力インターフェースのコスト)+20(L3SW31、32の出力インターフェースのコスト)=70
答えは、経路数が4、コストが70
設問5(3)
下線部を含む一文では、「P主任は、K社の社内のPCと業務サーバ間の通信における通信品質への影響を考慮して、フローモードを選択することにした。」とあり、その理由を答える問題です。
ECMPのパケットモードは、パケットごとにランダムに経路を選択するモードです。同じ宛先でも経路をランダムに選択するため、ネットワーク経路による遅延が発生しやすくなります。遅延ゆえにパケットの到着順序の逆転が起こりやすいです。
ECMPのフローモードは、送信元IPアドレスと宛先IPアドレスからハッシュ値を計算して経路選択を行うモードです。経路を固定できるため、通信品質を高めることができます。
よって解答としては、パケットモードのデメリットであるパケットの到着順序の逆転が起こりやすい点をフローモードでは改善できる旨を答えます。
IPA公式解答は、フローモードはパケット到着順序の逆転が起こりにくいから(27字)
設問5(4)
下線の「複数回線の利用率がほぼ均等になると判断」した理由を答える問題です。「L3SWのECMPの経路選択の仕様に照らして」とあるので、概要箇所を確認します。
ECMPのフローモードは、送信元IPアドレスと宛先IPアドレスからハッシュ値を計算して経路選択を行うモードと記載があります。送信元IPアドレスと宛先IPアドレスの組み合わせが多ければ多いほど、偏りは少なくなります。よって、送信元IPアドレスと宛先IPアドレスから計算するハッシュ値が偏らない旨を答えます。
IPA公式解答は、送信元IPアドレスと宛先IPアドレスから計算したハッシュ値が偏らないから(35字)
ちなみに、送信元と宛先MACアドレスの組み合わせが少なくハッシュ関数の計算値が分散しないため、負荷分散できない旨の問題が令和元年午後1-1で問われていたので、過去問を解いていた方にとっては本問は解きやすかったはずです。
設問5(5)
図5中のL3SW1のインターフェースaまたはbでの障害をトラッキングするように設定したVRRPの動作を答える問題です。
VRRPトラッキングは、VRRPで使用されるルーターの物理的なインターフェースの状態などを監視する機能です。障害に応じて、マスタールータの優先度(プライオリティ値)を小さくすることで、バックアップルーターの優先度(プライオリティ値)が大きくなり、マスタールータに昇格します。
IPA公式解答は、インターフェースの障害を検知した時にL3SW1のVRRPの優先度を下げる(35字)
ネスペ要点まとめ(復習用)
本ページで解説した、ネスペ令和4年午後2 問1の過去問も含めて、別記事でネスペ午後過去問の要点をまとめていますので、復習用にぜひ活用ください。
