平成30年度の午後Ⅰ問題対策① ―問1

2019年8月7日(水)
加藤 裕

はじめに

今回から3回にわたって、平成30年度の午後Ⅰ問題を取り上げます。今回は問1を解説します。本問題の問題文や解答例、講評はこちらからダウンロードできます。本解説を読む前に、ぜひ問題に挑戦してみてください。

午後Ⅰ/Ⅱ問題の概要

まず、午後Ⅰ/Ⅱ問題の概要を確認します。一般的に、午後Ⅰ/Ⅱ問題は問題文の冒頭にある全体説明と大括弧(〔〕)のタイトルが付いた段落で構成されています。全体説明や各段落には解答に必要な状況や条件が記載されているため、全体説明や各段落でどのような話題が扱われていたか、ある程度覚えておく必要があります。特に段落は設問の単位となることも多いので、常に設問に対応する段落を意識しておきましょう。

また、問題文を確認すると同時に設問についても確認しておきます。午後Ⅰ/Ⅱ問題は共に選択式となるため、得意な分野の問題を選択できると有利になります。試験開始から5~10分程度で全ての問の概要を把握しておくと良いでしょう。

午後Ⅰ問題 問1の概要

問1はSaaSの導入に関する問題です。全体説明と3つの段落で構成されており、以下の内容が読み取れます。1、2段落目ではプロキシサーバの話題が、3段落目ではSDNの話題がそれぞれ取り上げられています。

  • 全体説明(2ページ1~8行目)
    自社で管理するグループウェアサーバからG社のSaaSへの移行を検討
  • 1段落目(2ページ[F社の原稿ネットワーク構成とG社SaaS導入に合わせたセキュリティ対策]部分)
    F社のネットワークの現状と、SaaS導入時のセキュリティ対策の検討
  • 2段落目(3ページ[G社SaaSの試用]部分)
    SaaSの試用とそれに伴う問題点の発見
  • 3段落目(4ページ[SD-WANルータの導入]部分)
    発見した問題点を解決するSD-WANの概要と運用方針の説明

問の概要を確認する際には、問題文と同時に設問の内容にも目を通しておきましょう。問題を選択する際の判断材料としても活用できます。問1では設問3にSDNの話題が出ていますが、SDNの知識を深く要求するものではなさそうだと読み取れます。

それでは、設問1~3を解説していきましょう。

設問1

(1)の解説と回答例

プロキシサーバの2つの役割に関する問題です。プロキシサーバには、利用者の通信を中継するフォワードプロキシと、サーバに対する通信を中継するリバースプロキシの2種類の役割があります(図1)。フォワードプロキシは、利用者のアクセスログを一元管理する機能やキャッシュ機能を実現します。一方リバースプロキシは、サーバに対する不正アクセスを防止する機能やキャッシュ機能、負荷分散機能を実現します。設問1では問題文にプロキシサーバの利用目的が記述されているので、この内容をヒントに回答します。解答は(ア)がフォワード、(イ)がリバースとなります。

図1:フォワードプロキシとリバースプロキシの利用イメージ

(2)の解説と回答例

プロキシサーバで取得できるログに関する問題です。設問を読むと、【プロキシサーバで認証を行うことによってアクセスログに付加できる情報】を回答すれば良いことがわかります。次に、回答するために必要な設問の条件を確認します。設問1は[F社の原稿ネットワーク構成とG社SaaS導入に合わせたセキュリティ対策]の段落に対応する問題であるため、問題文冒頭の全体説明に加えて2ページの該当箇所から条件を読み取ります。問題文から関連する箇所を抜粋し、さらにプロキシサーバに関連した情報をまとめると「セキュリティ強化のため、プロキシサーバで3点(アクセス先URL、利用者ID、G社SaaSのファイルアップロード/ダウンロードのログ)の情報を取得する」ことがわかります(図2)。

図2:プロキシサーバに求められる役割(2ページ中段を抜粋)

続いて、プロキシサーバで認証を導入した場合に得られる情報を考えます。認証するためのユーザIDや認証情報、アクセスに利用した社内PCのIPアドレス、利用するブラウザの情報など、様々な情報が挙げられるため、このままで回答が絞り込めません。そこで先ほどの条件を参照すると、ユーザIDが利用者IDに相当するため、これが解答として求められる情報だと読み取れます。したがって、解答は「利用者ID」となります。なお、回答は記述式であるため、「ユーザID」や「利用者の情報」など、様々な表現が考えられますが、今回は問題文に利用者IDというキーワードが出ているため、この表現に従うと良いでしょう。

設問2

(1)の解説と回答例

HTTPS通信に関する問題です。設問の前半は、プロキシサーバを経由してHTTPS接続を行うためのメソッドを求めています。正解するには知識が必要な問題で、解答は「CONNECT」となります。なお、CONNECTメソッドで指定できる接続先とポート番号は任意であるため、仕様上はHTTPS通信以外にも利用できます(図3)。

図3:CONNECTメソッドの利用イメージ

設問の後半は、CONNECTメソッド利用時に社内に侵入したマルウェアの通信(HTTPSを除く)をプロキシサーバで遮断するための対策を問う問題です。先述した通りCONNECTメソッドは任意のポート番号を指定でき、また、CONNECTメソッドが成功したコネクションの通信はプロキシサーバで遮断されません。そのため、プロキシサーバの対策としてはHTTPS以外の通信を遮断すれば良いと考えられます。この方法ではマルウェアがHTTPSを利用した場合に遮断できない欠点がありますが、問題文に【(ただし、HTTPS以外の通信)】とあるので、解答に求められる条件は満たします。

あとは、解答の条件として【30字以内】の指定があるため、条件やキーワード(「CONNECTメソッド」や「HTTPSの通信のみ許可」など)を組み立てます。したがって、解答例は「HTTPS以外のポートのCONNECTを拒否する。」となります。

なお、この解答例はIPAで公開されたものです。この内容に準じていれば正解と考えて問題ないでしょう(「CONNECTでの通信は、HTTPSの通信のみを許可する」など)。

(2)の解説と回答例

記述式の穴埋め問題です。設問に条件が記述されていないため、空欄(ウ)の周辺から条件を読み取ります(図4)。設問に関連する情報をまとめると、「HTTPS通信を社内PC‐プロキシサーバ間で終端させた際に、社内PCで証明書に関するエラーメッセージ(証明書が信頼できない)が表示された」と読み取ることができます。

図4:設問2(2)の状況(3ページ下段から4ページ上段を抜粋)

このエラーメッセージ(証明書が信頼できない)が表示される原因の1つとして、サーバ(プロキシサーバ)から社内PCに送信される電子証明書の正当性が確認できないことが挙げられます。このエラーを解決するには、プロキシサーバの電子証明書を社内PCが信用するように設定します。すなわち、社内PCにプロキシサーバの電子証明書を発行した認証局のCA証明書(ルート証明書)をインストールします。したがって、解答例は「プロキシサーバのルート証明書」となります。

この解答を細かく書き下すと「プロキシサーバの利用する電子証明書を発行した認証局において管理されるルート証明書」などとなりますが、【20文字以内】の指定があるので、うまくまとめる必要があります。試験対策としては、解答に必須の表現を維持しつつ、内容を削ることも重要となるため、過去問を解く際に意識して練習しておきましょう。

設問3

(1)の解説と回答例

SDNの構成に関する問題です。用語を回答する問題なので、空欄(エ)周辺のキーワードをヒントに考えます。「SDNはデータプレーンと(エ)プレーンで構成される」とあるので、解答は「コントロール」となります。用語に関する穴埋め問題は午後Ⅰ/Ⅱ問題でそれなりに出題されるため、試験対策の一環として用語(できれば略語と正式名称両方)を正確に覚えることも意識しましょう。

(2)の解説と回答例

L3SWに登録する経路情報に関する問題です。設問の条件から、まずはL3SWの設定変更前と設定変更後の状況を読み取ります。

L3SWの設定変更前の情報は、2~3ページに書かれています(図5)。ここからは、図1のネットワーク構成が用いられていることや、L3SWには2つの静的経路の設定が行われていることが読み取れます。

図5:L3SWの設定変更前の設定内容(2ページ下段から3ページ上段を抜粋)

一方、L3SWの設定変更後の情報は、4~5ページに書かれています。ここからは、ネットワーク構成を図2に変更した上で、G社SaaSへのアクセスはSD-WANルータを経由したいこと、G社SaaSのIPアドレスが変更された場合でもL2SWの静的経路情報を都度変更し直さないようにしたいことが読み取れます(図6)。以上のことから、L3SWに求められるルーティング情報は「G社SaaSへのWebアクセスは中継先をSD-WANルータとする」ことと、「(G社SaaSのIPアドレスが変更されるため)宛先IPアドレスに依存しないルーティングが必要である」ことを満たす必要があるとわかります。宛先IPアドレスに依存しないルーティングは、デフォルトルートで実現できます。したがって、解答例は「ネクストホップがSD-WANルータとなるデフォルトルート」となります。

図6:L3SWの設定変更後の設定内容(5ページ中段を抜粋)

(3)の解説と回答例

記述式の穴埋め問題です。設問の条件などを読み取るために、空欄(オ)の周辺を確認します。すると、G社SaaSが利用しているIPアドレスブロックの情報を(オ)に指示して、本社や営業所のSD-WANルータに展開させることが読み取れます。SD-WANルータはSDNにおけるデータプレーンの機器であるため、(オ)はSDNにおけるコントロールプレーンの機器であるとわかります。したがって、解答は「SD-WANコントローラ」となります。設問の条件に【図2中の機器名】と指定があるため、解答する際には機器名を正確に記述するように気を付けましょう。

(4)の解説と回答例

プロキシ自動設定ファイルに関する問題です。プロキシ自動設定(Proxy Auto Configuration)ファイルはPACファイルとも呼ばれ、コンピュータが利用するプロキシサーバの情報をまとめたファイルです。JavaScriptで記述されており、アクセス先となるURLの情報と利用すべきプロキシサーバの情報が関連付けられています。プロキシ自動設定ファイルを端末に設定することで、接続先のURLに応じた通信の振り分け(直接そのサイトにアクセスする、プロキシサーバを経由する、など)が可能となります。

設問の下線⑤に関連する情報を問題文から確認すると、社内PCからG社SaaSへのWebアクセスはSD-WANルータを経由し、それ以外のWebアクセスはプロキシサーバを経由させる意図があることがわかります(図7)。また、設問には【このファイルを作成することによってプロキシから除外する通信】と条件があります。プロキシサーバを利用させたくない通信はG社SaaSへのWebアクセスで、このWebアクセスはHTTPSを利用します。したがって、解答例は「G社SaaSへのHTTPS通信」となります。G社SaaSへのアクセスがHTTPS通信であることは1つ目の段落([F社の原稿ネットワーク構成とG社SaaS導入に合わせたセキュリティ対策])に記述されていますが、見落としやすいと思われます。

図7:Webアクセスに関する要件(3ページ中段と5ページ中段を抜粋)

なお、設問3(3)と(4)の情報をまとめると、SD-WANルータ導入後のWebアクセスの全体像は図8となることがわかります。「設問の前後の回答は関連していることもある」と意識しておくと、その問題の回答のヒントにつながる場合があります。

図8:SD-WANルータ導入後のWebアクセスのイメージ

(5)の解説と回答例

G社SaaSのアクセスログに関する問題です。プロキシサーバのアクセスログと比較して、G社SaaSのアクセスログが必要な点を2つ見つけます。まず、社内PCがG社SaaSにアクセスする際の通信はプロキシサーバを経由していません(図8)。そのため、社内PCのアクセスログを取得するにはG社SaaSからアクセスログを取得する必要があるとわかります。また、3ページ中段の検討結果に記述されている通り、出張先のPCはG社SaaSに直接アクセスする運用を想定しています。この通信もプロキシサーバを経由しないため、G社SaaSからアクセスログを取得する必要があります。したがって、解答例は(1)「社内PCからG社SaaSへのアクセスがプロキシサーバを経由しないから」、(2)「出張先のPCからG社SaaSへのアクセスが記録されるから」となります(図9)。

図9:プロキシサーバのアクセスログでは確認できない通信の一例

おわりに

今回は平成30年度午後Ⅰ問題の問1を解説しました。次回は問2を取り上げます。

NECマネジメントパートナー株式会社 人材開発サービス事業部
2001年日本電気株式会社入社。ネットワーク機器の販促部門を経て教育部門に所属。主にネットワーク領域の研修を担当している。インストラクターとして社内外の人材育成に努めているほか、研修の開発・改訂やメンテナンスも担当している。

連載バックナンバー

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています