※本記事は問題を解いた考え方と解答を記載していますので、事前に令和4年度春期のネットワークスペシャリスト試験(NW)の午後一を解いてからご確認ください。
令和4年度春期のネットワークスペシャリスト(NW)の午後問題
令和4年度春期のネットワークスペシャリスト(NW)の午後問題は以下の3つあります。
それぞれの問題について、解説を記載しました。
- 午後Ⅰの問1 ネットワークの更改に関する問題
- 午後Ⅰの問2 セキュアゲートウェイサービスの導入に関する問題
- 午後Ⅰの問3 シングルサインオンの導入に関する問題
- 午後Ⅱの問1 テレワーク環境の導入に関する問題
- 午後Ⅱの問2 仮想化技術の導入に関する問題
ネットワークスペシャリスト試験(問1の設問1の解答)
(1)
本文中のa~cに入れる適切な字句を答える問題です。
a について
以下のaの箇所はログデータ転送に用いるプロトコルです。
ログデータを転送する際は一般的にSyslogプロトコルを使用します。
Linuxサーバを使用する際は、Syslogをよく使用しますので、構築経験のある方は簡単だったかと思います。
また、「RFC 5424」で定義されている旨の記載がありますが、PFCの番号を覚えている人は少ないと思われます。
b について
以下のbの箇所はプロキシサーバでMD5やSHA-256でハッシュ化する認証方式で、ダイジェスト認証といいます。
c について
以下のcの箇所はHTTPのトンネリング通信で使用するメソッドです。
トンネリング通信ではCONNECTメソッドを使用します。
参考までに、HTTPのメソッドには以下のようなものがあり、ネットワークスペシャリスト試験ではGET、POST、PUT、DELETE、CONNECTは必須で覚えておいた方がいいと思います。
| メソッド | 説明 |
|---|---|
| GET | サーバからデータを参照する際に使用します。 |
| POST | サーバにデータを送る際に使用します。 問い合わせフォームなど利用者が入力した情報を送る際に使用します。 |
| PUT | 指定したデータを更新する際に使用します。 |
| DELETE | 指定したデータを削除する際に使用します。 |
| CONNECT | サーバーとの間にトンネルを確立する際に使用します。 |
| HEAD | サーバからヘッダ情報のみ取得する際に使用します。 GETリクエストと同じレスポンスをレスポンス本文なしで取得します。 |
| OPTIONS | 通信オプションを取得する際に使用します。 サーバ側で許可しているHTTPメソッドの一覧などを取得できます。 |
| TRACE | サーバに対してクライアントが送信した内容をそのまま返します。 |
| PATCH | 指定したデータを更新する際に使用します。 |
【解答例】
a:Syslog
b:ダイジェスト
c:CONNECT
(2)
外部に公開しているサーバをFWによって独立したDMZに設置すると、OAセグメントに設置するのに比べて、どのようなセキュリティリスクが軽減されるか答える問題です。
例として、外部メールサーバをDMZからOAセグメントに設置した場合の通信経路を考えていきます。
[外部メールサーバをDMZに設置した場合]
[通信経路]
インターネット ⇒ FW ⇒ L2SW ⇒ 外部メールサーバ ⇒ L2SW ⇒ FW ⇒ L2SW ⇒ 内部メールサーバ
[外部メールサーバをOAセグメントに設置した場合]
[通信経路]
インターネット ⇒ FW ⇒ L2SW ⇒ 外部メールサーバ ⇒ L2SW ⇒ 内部メールサーバ
上記の通信経路を確認したところ、外部メールサーバをOAセグメントに設置した場合、内部メールサーバへの通信はFWを経由しないためアクセス制御ができないことが分かります。
そのため、社外から外部メールサーバなど公開しているサーバが乗っ取られた場合、アクセス制御なしでOAセグメント内の機器に侵入されてしまう可能性があります。
【解答例】
社外からサーバに侵入されたときにOAセグメントの機器に侵入されるリスク
ネットワークスペシャリスト試験(問1の設問2の解答)
(1)
本文中の下線①について、利用者の認証を既存のサーバで一元的に管理する場合、どのサーバから認証情報を取得するのが良いか図2中の字句を用いて答える問題です。
下線①の箇所を確認したところ、FTAにWebブラウザでログインする際の認証であることが分かります。
以下の赤枠の箇所に内部メールサーバとプロキシサーバのユーザ認証はLDAPサーバを参照している旨の記載があるため、FTAにWebブラウザでログインする際もLDAPサーバを参照したらいいと思います。
【解答例】
LDAPサーバ
(2)
本文中の下線②について、FTAにアクセスできるのはどのセグメントか答える問題です。
下線②の箇所を確認したところ、FTAに性的経路や経路制御プロトコルの設定を行わない場合のFTAがアクセスできるセグメントを答える問題です。
指示(c)の内容を確認すると、「工場の制御セグメントおよび管理セグメントと、事務所のOAセグメントとの間はルーティングを行わない」との記載があります。
ネットワーク構成が以下のようになっており、ルーティング設定をしていないため、FTAが接続されているセグメントからのみアクセスでき、「管理セグメント」と「OAセグメント」が答えになります。
【解答例】
管理セグメント、OAセグメント
(3)
本文中の下線③について、FTAにおいて認証と認可はそれぞれ何をするために使われるか答える問題です。
この問題を回答するために、システムの認証をする際に使用されるAAAの知識があった方がいいです。
AAAとは、Authentication(認証)、Authorization(認可)、Accounting(アカウンティング)の頭文字を取ったもので、3つのセキュリティ機能を提供する枠組みのことです。
それぞれの意味は以下の通りです。
| 用語 | 説明文 |
|---|---|
| Authentication(認証) | 信頼できるかどうか。本人であるかを確かめる。 |
| Authorization(認可) | サービス利用の権限を持っているか。ユーザごとに制限する。 |
| Accounting(アカウンティング) | ユーザ情報を収集する。ログに記録する。 |
上記の内容を今回の問題にあわせると、「FTAの利用者が本人であり、操作ごとの権限を持っているか確認する」という意味の内容が答えになります。
【解答例】
認証:FTAの利用者が本人であることを確認するため
認可:操作ごとに実行権限を有するかを確認するため
ネットワークスペシャリスト試験(問1の設問3の解答)
(1)
本文中のdに入れる適切な字句を答える問題です。
問題文のdの箇所を確認したところ、フレームを転送するときに宛先MACアドレスが学習されていない場合の用語を答える問題です。
知らないと答えることができませんが、このような動作のことを「フラッディング」といいます。
参考までに、類似の動作をする「ブロードキャスト」といいものがあります。
違いはフラッディングはMACアドレスが分からず仕方なく全ての宛先に送信するのに対し、ブロードキャストは宛先MACアドレスにブロードキャストアドレス (FF:FF:FF:FF:FF:FF)を指定して意図的に全ての宛先に送信します。
【解答例】
d:フラッディング
(2)
本文中の下線④について、L2SWからミラーパケットでNPBにデータを入力する場合、ネットワークタップを用いてNPBにデータを入力する方式と比べて、性能面でどのような制約が生じるか答える問題です。
下線④の内容を確認したところ、想定トラフィック量が少ないため既存のL2SWを使用する旨の記載があり、問題文にも性能面でどのような制約が生じるかという記載があります。
そのため、トラフィックの観点で回答を考えてみます。
全てのLANケーブルが1Gbpsの全二重であると想定した場合の通信を考えると、以下の図のようにL2SWとNPB間の通信は最大2Gbps流れることになります。
しかし、本文中にNPBにつながるケーブルは1000BASE-SXで最大1Gbpsしか通信を流すことができないケーブルを使用します。
そのため、最大2Gbps通信が流れるのに対し、1Gpbsの通信しかミラーできないということが制約になります。
下線④に想定トラフィック量が少ないので既存のL2SWのミラーポートを使用するという記載があるため、今回回答した制約にあっていることが分かります。
【解答例】
送信側と受信側のトラフィックを合計1G/秒までしか取り込めない。
(3)
本文中の下線⑤について、1ポートだけからミラーパケットを取得する設定にする場合には、どの装置が接続されているポートからミラーパケットを取得するように設定する必要があるか答える問題です。
下線⑤の内容を確認したところ、測定データを収集するためにL2SWのミラー設定をするポートを答える問題です。
制御セグメントのL2SWは以下の図のように接続されており、L2SWとNPB間のケーブルはミラーポートで通信を送っているため、赤線のいずれかのポートの通信を送っていることになります。
本文中に以下の記載があり、測定データの通信の流れが記載されており、緑色の箇所に「コントローラは常に測定データを英魚サーバに送信する」という記載があります。
通信経路を図に記載すると以下のようになるため、2つのコントローラの通信が集約される[L2SW]-[制御サーバ]間の通信を取得します。
参考までに、[コントローラ]-[L2SW]間の通信を取得した場合、片方のコントローラから送信された通信しか取得できないため、不正解になります。
【解答例】
制御サーバ
(4)
本文中の下線⑥について、サーバでミラーパケットを受信するためにはサーバのインターフェースを何というモードに設定する必要があるか答える問題です。また、このモードを設定することによって、設定しない場合と比べどのようなフレームを受信できるようになるか答える問題です。
本問題は基本的に用語の知識を知らないと解けない問題ですが、情報処理試験で頻繁に問われる頭語のため、覚える必要があります。
前者の問いであるミラーパケットを受信するためのインターフェースのモードは「プロミスキャスモード」です。
通常は宛先MACアドレスが自身ではない場合はそのフレームを廃棄しますが、プロミスキャスモードでは宛先MACアドレスが自分のMACアドレス以外のフレームも取得します。
【解答例】
モード:プロミスキャス
フレーム:宛先MACアドレスが自分のMACアドレス以外のフレーム
(5)
キャプチャサーバに流れるミラーパケットが平均100k ビット/秒であるとき、1,000日間のミラーパケットを保存するのに必要なディスク容量は何Gバイトになるか答える問題です。
単位に気を付けて以下のように計算すると、答えが出ます。
[1時間のミラーパケットの容量]
100 × 103 × 3600秒 = 360,000,000 ビット/時間
[1日間のミラーパケットの容量]
360,000,000 ビット/時間 × 24時間 = 8,640,000,000 ビット/日
[1日間のミラーパケットの容量(ビットからバイトへの変換)]
8,640,000,000 ビット/日 ÷ 8 = 1,080,000,000 バイト/日
[1000日間の容量]
1,080,000,000 バイト/日 × 1000日 = 1,080,000,000,000 = 1,080 Gバイト
【解答例】
1080
書籍紹介
本問題など令和4年度春期のネットワークスペシャリスト試験(NW)の午後問題の解説を詳しく知りたい方は以下の書籍を購入して勉強することをお勧めします。
