令和4年度春期のネットワークスペシャリスト(NW)の問題を解いてみた(午後Ⅱの問1)

※本サイトはアフィリエイト広告を利用しています。
広告

※本記事は問題を解いた考え方と解答を記載していますので、事前に令和4年度春期のネットワークスペシャリスト試験(NW)の午後Ⅱを解いてからご確認ください。

令和4年度春期のネットワークスペシャリスト(NW)の午後問題

令和4年度春期のネットワークスペシャリスト(NW)の午後問題は以下の3つあります。
それぞれの問題について、解説を記載しました。


ネットワークスペシャリスト試験(問1の設問1の解答)

(1)
本文中を ア ~ カ に入れる適切な字句を答える問題です。

ア、イ、ウについて
の箇所は以下の通りです。
  2022年4月ネットワークスペシャリスト午後2問1(1)

はTLSプロトコルのセキュリティ機能が入ります。
TLSのセキュリティ機能は、暗号化、通信相手の認証、改ざん検知です。

はSSL-VPNの方式の一つで動的にポート番号が変わるアプリケーションプロトコルでも使用できる方式です。
L2フォワーディング方式は、SSL-VPNクライアントソフトがインストールしてSSL-VPNゲートウェイとVPN接続して、全てのポート番号で接続できる方式です。

はSSL-VPN方式の一つのポートフォワーディング方式でアクセスできる内容が入ります。
ポートフォワーディングは、特定のポート番号宛てに届いた事前に設定した宛先に転送するものです。


エについて
の箇所を確認すると、認証局によって発行された電子証明書に含まれる鍵を答える問題です。
  2022年4月ネットワークスペシャリスト午後2問1(2)
鍵に関する内容ですので、公開鍵か秘密鍵であると推測できます。
電子証明書は不特定多数がダウンロードできますので、秘密鍵を含めているとは考えにくいので、答えは公開鍵になります。

オについて
の箇所を確認すると、TCPの3389番であるRDPのみ使用する場合のSSLVPNの方式が入ります。
  2022年4月ネットワークスペシャリスト午後2問1(3)

本文中の以下の箇所に方式の説明があり、今回はポート番号が固定のためポートフォワーディング方式を選択します。
  2022年4月ネットワークスペシャリスト午後2問1(4)

カについて
の箇所を確認すると、TLD1.3の鍵交換方式が入ります。
  2022年4月ネットワークスペシャリスト午後2問1(5)

TLG1.3の鍵交換方式はDHE、ECDHE、PSKの3つあります。
DHEとは、Ephemeral Diffie-Hellmanの略で、「Ephemeral」は一時的なという意味です。

【解答例】
  ア : 改ざん検知
  イ : L2フォワーディング
  ウ : ポート
  エ : 公開
  オ : ポートフォワーディング
  カ : DHE

ネットワークスペシャリスト試験(問1の設問2の解答)

(1)
本文中の下線①について、同時に行われる二つのセキュリティ処理を答える問題です。

下線①の箇所を確認すると、AEAD暗号利用モードのセキュリティ処理答える問題です。
  2022年4月ネットワークスペシャリスト午後2問1(6)
AEAD(Authentication Encryption with Associated Data)という言葉を直訳すると、「関連データによる暗号認証」です。
そのため、「暗号化」と「メッセージ認証」が答えです。

【解答例】
  暗号化

  メッセージ認証


(2)
本文中の下線②について、電子証明書において識別用情報を示すフィールドは何か答える問題です。

下線②の箇所を確認すると、以下のようになっています。
  2022年4月ネットワークスペシャリスト午後2問1(7)  

電子証明書を識別する情報は「件名(subject)」です。
本サイトの電子証明書を表示すると、以下のように件名(subject)が表示されています。
  2022年4月ネットワークスペシャリスト午後2問1(8)

【解答例】
  subject


ネットワークスペシャリスト試験(問1の設問3の解答)

(1)
本文中の下線③について、クライアント証明書で送信元の身元を一意に特定できる理由を、”秘密鍵”という用語を用いて答える問題です。

下線③の箇所を確認すると、SSL-VPNをする際にクライアント証明書を元に特定した場合に送信元の身元を特定できる理由を答える必要があります。
  2022年4月ネットワークスペシャリスト午後2問1(9)

「機密鍵」というキーワードを使用して回答するため、秘密鍵を用いて送信元の身元を特定する場合の図を以下に示します。
正規の利用者は秘密鍵を持っているためVPNの認証ができますが、不正利用をしようとする攻撃者は秘密鍵を持っていないため認証できません。
  2022年4月ネットワークスペシャリスト午後2問1(10)

クライアント証明書の公開鍵に対する秘密鍵は本人しか保有していないため、送信元の身元を確認できます。

【解答例】
  クライアント証明書の公開鍵に対する秘密鍵は本人しか保有していない



(2)
本文中の下線④について、クライアント証明書の検証のために、あらかじめSSL-VPN装置にインストールしておくべき情報を答える問題です。

下線④の箇所を確認すると、以下のようになっています。
  2022年4月ネットワークスペシャリスト午後2問1(11)

設問3の(1)で説明したようにクライアント証明書の秘密鍵は利用者側で持っています。
秘密鍵が正しいことを確認するルート証明書はVPN装置内に事前にインストールする必要があります。

【解答例】
  CAのルート証明書


(3)
本文中の下線⑤について、検証によって低減できるリスクを答える問題です。

下線⑤の箇所を確認すると、SSL装置からサーバ証明書を個人PC宛に送ることによって低減できるリスクを答える問題です。
  2022年4月ネットワークスペシャリスト午後2問1(11)

設問3の(1)から利用者とVPN装置の検証が逆になりました。
以下の図のように利用者が正しいVPN装置に接続しているか検証するために、VPN装置から利用者に対してサーバ証明書を送信します
  2022年4月ネットワークスペシャリスト午後2問1(13)-2

【解答例】
  なりすまされたSSL-VPN装置へ接続してしまうリスク



(4)
本文中の下線⑥について、TLS1.3で規定されている鍵交換方式に比べて、広く復号されてしまう通信の範囲に含まれるデータは何か答える問題です。”秘密鍵”と”漏えい”という用語を用いて答える必要があります。

下線⑥の箇所を確認すると、TLS1.3になった時に秘密鍵が漏洩してしまった場合のデータが復号される範囲を答える必要があります。
  2022年4月ネットワークスペシャリスト午後2問1(12)

設問1の(1)のカで説明したように、TLS1.3ではDHE(Ephemeral Diffie-Hellman)を使用する。
「Ephemeral」は一時的なという意味ですので、DHEは復号に使用する秘密鍵は変わります
そのため、秘密鍵が漏洩しても秘密鍵が漏洩する前に行われたデータは復号できません。

【解答例】
  秘密鍵が漏洩する前に行われた通信のデータ



(5) 本文中の下線⑦について、利用者がCAサービスにCSRを提供するときに署名に用いる鍵は何か、本文中の用語を用いて答える答える問題です。また、CAサービスがCSRの署名の検証に用いる鍵は何か、本文中の用語を用いて答える問題です。

下線⑦の箇所を確認すると、クライアント証明書をCAサービスから発行する際に提出するCSRの署名に使用する鍵を答える問題です。
  2022年4月ネットワークスペシャリスト午後2問1(14)

本文中に利用者の秘密鍵利用者の公開鍵の2つの記載があるため、それぞれ署名と検証で用いる鍵であることが想像できます。

署名の目的と実施する組織は以下のようになります。
  ・署名の目的 : 不正に証明書を発行しようとしている利用者ではないことを確認するため
  ・署名する組織 : 利用者
  ・署名を検証する組織 : CAサービス
  2022年4月ネットワークスペシャリスト午後2問1(16)
利用者の秘密鍵は利用者しか持っていないため、CSRの署名で用いる鍵は利用者の秘密鍵になります。
利用者の秘密鍵で署名したことを確認するのは利用者の公開鍵です。

【解答例】
  署名に用いる鍵 : 利用者の秘密鍵

  署名の検証に用いる鍵 : 利用者の公開鍵


(6) 本文中の下線⑧について、証明書失効リストに含まれる証明書を一意に識別することができる情報は何か答える問題です。

下線⑧の箇所を確認すると、以下のようになっています。
  2022年4月ネットワークスペシャリスト午後2問1(17)

証明書失効リスト(CRL)で証明書を一意に識別するのはシリアル番号です。

【解答例】
  シリアル番号


ネットワークスペシャリスト試験(問1の設問4の解答)

(1)
本文中の下線⑨について、ユーザテーブルに含まれる情報を答える問題です。

下線⑨の箇所を確認すると、SSL-VPN接続時の処理に必要な情報が含まれているユーザテーブルに含まれている情報を答える必要があります。
  2022年4月ネットワークスペシャリスト午後2問1(18)

VPN処理を理解するために、図2に記載されている処理を考えます。
【VPN処理の流れ】
(a) 個人PC上の「SSL-VPNクライアント」を用いて接続された場合に、VDI利用者の情報を認証し、VPN接続及びポートフォワーディングが確立させます。
(b) 個人PC上の「VDIクライアント」を用いて「localhost:3389」に接続すると、「ユーザテーブル」に格納されたVDI利用者の利用者IDに対応した仮想PCのIPアドレスを確認します。
(c) VIPを上記(b)で確認した仮想PCのIPアドレスに変換する旨の情報を「NATテーブル」に格納し、「NATテーブル」の情報を参照してDNAT処理をして送信先IPアドレスを変換します。
(d) 「仮想PC」へリモートデスクトップの通信(3389/tcp)の通信が流れ、仮想PCのデスクトップ画面が表示されます。
  2022年4月ネットワークスペシャリスト午後2問1(19)-2

上記の流れで処理をするため、ユーザテーブルに含まれる情報は「VDI利用者の利用者IDとその利用者の仮想PCのIPアドレスの組」です。

また、表1の赤い箇所にもVPN接続の動作が記載されているため、実務でVPNの運用やポートフォワーディングを使ったことがある人はイメージしやすかったと思います。
  2022年4月ネットワークスペシャリスト午後2問1(20)

【解答例】
  VDI利用者の利用者IDとその利用者の仮想PCのIPアドレスの組



(2)
本文中の下線⑩について、検索のキーとなる情報はどこから得られるどの情報か答える問題です。
また、その情報をどのタイミングで得るか、図3中の(Ⅰ)~(Ⅹ)の記号で答える問題です。

下線⑩の箇所を確認すると、以下のようになっています。
  2022年4月ネットワークスペシャリスト午後2問1(21)

上記の図3の動作の説明の(1)~(8)を図3上に記入すると、以下のようになる。
図3の(6)のユーザテーブルで検索するキーを選択するため、(6)より前の通信でキーが流れています。
  2022年4月ネットワークスペシャリスト午後2問1(22)

ここで、設問4の(1)の問題で、ユーザテーブルの内容は「VDI利用者の利用者IDとその利用者の仮想PCのIPアドレスの組」であることが分かります。
本文中の以下の箇所にクライアント証明書を用いて認証することが記載されているため、キーの情報は「クライアント証明書から得られる利用者ID情報」です。
  2022年4月ネットワークスペシャリスト午後2問1(23)

利用者IDはクライアントから送信されるため、「SSL-VPNクライアントからSSL-VPN装置」への通信です。
「(Ⅷ)Certificate」、「(Ⅸ)CertificateVerify」、「(Ⅹ)Finished」のうち、認証情報である利用者IDを送信するため、、「(Ⅷ)Certificate」が答えです。

【解答例】
  情報 : クライアント証明書から得られる利用者ID情報

  タイミング : Ⅷ


ネットワークスペシャリスト試験(問1の設問5の解答)

(1)
本文中の下線⑪について、P主任がECMPの利用を前提にしたコスト設定を行う目的を答える問題です。

下線⑪の箇所を確認すると、以下のようになっています。
    2022年4月ネットワークスペシャリスト午後2問1(24)

図4中のL3SWのOSPFのコストをEqual Cost Multi-path機能(ECMP)にする目的を答える必要があるため、L3SWの場所を確認します。
L3SEの場所と広域イーサネットへの経路を確認すると、L3レイヤ(ネットワーク層)で直接接続されていることが分かります。
  2022年4月ネットワークスペシャリスト午後2問1(26)

そのため、L3SWをEqual Cost Multi-path機能(ECMP)にすると、M社広域イーサネットとN社広域イーサネットへのOSPFコストが同じになり、M社とN社の広域イーサネットの両方を利用することができます。

【解答例】
  M社とN社の広域イーサネットの両方を利用すること



(2)
本文中の下線⑫について、経路数とそのコストをそれぞれ答える問題です。

下線⑫の箇所を確認すると、L3SW11からサーバセグメントへの経路数とコストを答える問題です。
  2022年4月ネットワークスペシャリスト午後2問1(24)

L3SW11からサーバセグメントへの経路をそれぞれ確認します。
〇経路1
  [L3SW11]→[L2SW13]→[M社広域イーサネット]→[L2SW34]→[L3SW31]→[サーバセグメント]の経路の通信です。
  本経路のコストは[L3SW11]→[L2SW13]の50[L3SW31]→[サーバセグメント]の20を合計した70です。
  2022年4月ネットワークスペシャリスト午後2問1(27)

〇経路2
  [L3SW11]→[L2SW13]→[M社広域イーサネット]→[L2SW34]→[L3SW32]→[サーバセグメント]の経路の通信です。
  本経路のコストは[L3SW11]→[L2SW13]の50[L3SW32]→[サーバセグメント]の20を合計した70です。  
  2022年4月ネットワークスペシャリスト午後2問1(28)

〇経路3
  [L3SW11]→[L2SW14]→[N社広域イーサネット]→[L2SW35]→[L3SW31]→[サーバセグメント]の経路の通信です。
  本経路のコストは[L3SW11]→[L2SW14]の50[L3SW31]→[サーバセグメント]の20を合計した70です。
  2022年4月ネットワークスペシャリスト午後2問1(29)

〇経路4
  [L3SW11]→[L2SW14]→[N社広域イーサネット]→[L2SW35]→[L3SW32]→[サーバセグメント]の経路の通信です。
  本経路のコストは[L3SW11]→[L2SW14]の50[L3SW32]→[サーバセグメント]の20を合計した70です。
  2022年4月ネットワークスペシャリスト午後2問1(30)

【解答例】
  経路数 : 4

  コスト : 70


(3)
本文中の下線⑬について、フローモードの方が通信品質への影響が少ないと判断した理由を答える問題です。

下線⑬の箇所を確認すると、動作モードとしてパケットモードとフローモードがあるが、パケットモードよりもフローモードの方が通信品質への影響が少ないと判断した理由を答える問題です。
  2022年4月ネットワークスペシャリスト午後2問1(31)

パケットモードとフローモードの違いを確認します。
上記の本文中「パケットモードの場合、パケットごとにランダムに経路を選択し、フローモードの場合は、送信元IPアドレスと宛先IPアドレスからハッシュ値を計算して経路選択を行う」という記載があります。
2つのモードによって経路選択の方法が異なるため、経路選択に注目して違いを考えます。

ここでネットワークの基礎知識になりますが、ネットワークで大きいデータを送信する場合、データをパケット単位に分割して、受信後にパケットを集約します
図にすると、以下のようにデータを送ります。
  2022年4月ネットワークスペシャリスト午後2問1(32)

パケットモードのようにパケットごとにランダムに経路選択した場合、各ネットワーク機器の負荷状態などによって、パケットの到達する順番が逆転してしまいパケットの集約ができず処理できない可能性があります。

【解答例】
  フローモードはパケット到達順序の逆転が起こりにくいから



(4)
本文中の下線⑭について、利用率がほぼ均等になると判断した理由をL3SWのECMPの経路選択の使用に照らして答える問題です。

下線⑭の箇所を確認すると、以下のようになっています。
  2022年4月ネットワークスペシャリスト午後2問1(33)

本文中の以下の箇所にECMPの仕様が記載されており、フローモードの経路選択の説明があります。
フローモードの場合、送信元IPアドレスと宛先IPアドレスからハッシュ値を計算して経路選択をすることが分かりました。
送信元IPアドレスと宛先IPアドレスから計算したハッシュ値が偏らないため、経路が偏らず利用率がほぼ均等になります。
  2022年4月ネットワークスペシャリスト午後2問1(34)

【解答例】
  送信元IPアドレスと宛先IPアドレスから計算したハッシュ値が偏らないから



(5) 本文中の下線⑮について、この設定によるVRRPの動作を”優先度”という用語を用いて答える問題です。

下線⑮の箇所を確認すると、図5中のa又はbでの障害をトラッキングするように設定した場合のVRRPの動作を答える問題です。
  2022年4月ネットワークスペシャリスト午後2問1(35)

図5中のa又はbの障害が発生した場合、可能な限りL3SW31に通信を流すと通信ができない可能性があります。
そのため、VRRPでは片方のインターフェースで障害が発生した場合に、そのスイッチのVRRPの優先度を下げます

【解答例】
  インターフェースの障害を検知したときにL3SW1のVRRPの優先度を下げる


書籍紹介

本問題など令和4年度春期のネットワークスペシャリスト試験(NW)の午後問題の解説を詳しく知りたい方は以下の書籍を購入して勉強することをお勧めします。