応用情報技術者試験の令和7年度 秋季試験 午後 問5:ネットワークの解説を行ってきます。
出題テーマ:クラウドサービスへの移行
出題テーマは『クラウドサービスへの移行』でした。
クラウドサービスへの移行を題材として、ファイアウォールポリシー(プロトコル)、DHCP、DNS、NAT、ルーティングなどが出題されていました。
基本的に今挙げた単語の知識がないと解答することが難しかったと思います。
一部の問題では問題文中のヒントから解答することができましたので、問題文をしっかりと読み込むクセをつけておきましょう。
設問1 (1)
下線①として、『本社及び営業所のPC(以下、社内PCという)には、L3SW1上で稼働するDHCPサーバから配布されるIPアドレス、そのリース期間及びサブネットマスク、デフォルトゲートウェイのIPアドレス並びにDNSサーバのIPアドレスを設定している。』とあります。
基本的にルータやL3SWなどのレイヤー3(ネットワーク層)の機器は異なるセグメントの境目に配置されます。
図解をするとこのようにセグメントが割り当てられていると考えられ、デフォルトゲートウェイは同じセグメント内である必要がありますので、営業所のPCに割り当てられているデフォルトゲートウェイを持つ機器は『L3SW0』であると考えることができます。
ちなみに、PCから送信されるDHCPのリクエスト(厳密にはDHCP DISCOVER)はブロードキャストで送信されますので、PCとDHCPサーバは基本的に同じセグメント内にいる必要があります。
今回の場合ですと、営業所PCとDHCPサーバであるL3SW1は異なるセグメントにありますが、このように異なるセグメントに属していてもDHCPを割り当てるDHCPリレーエージェントという設定があり、それがL3SW0に設定されていると考えられます。
『応用情報技術者試験 令和2年度 10月試験 問5:ネットワーク』の設問2 (2)にて出題がありましたので、時間があれば見ておいてください。
設問1 (2)
知識の問題です。
下線②として、『メール中継サーバでは、スパムメールの踏み台になることを避けるために、オープンリレー防止策を実施している。』とあります。
オープンリレーとは、外部から送信された外部宛のメールをそのまま送信(中継)することです。
ということで解答例は『外部から送信された外部宛のメールをそのまま中継すること(30文字)』となります。
悪意のある人がスパムメールの送信に使用したりなどで悪用される可能性があるため、基本的にオープンリレーの状態になっていることは避けるべきです。
オープンリレーの対策はSMTPで認証を行う、自分のドメイン宛のメールのみ受信するように設定するなどが挙げられます。
設問1 (3)
【a】
アクセス経路はインターネット→DMZ、プロトコル/宛先ポート番号はTCP/443となっています。
TCP/443はHTTPS(Web通信)で用いられます。
重要な部分として、『業務サーバおよびDMZのWebサーバは、HTTP Over TLSによるアクセスだけを受け付ける。』とあるように、HTTP Over TLSはHTTPSのことで、図1内でインターネット(外部)からTCP/443宛で通信を受けるサーバは『a:Webサーバ』であると考えることができます。
【b】
アクセス経路はインターネット→DMZ、プロトコル/宛先ポート番号はTCP/53、UDP/53となっています。
TCP/53、UDP/53はDNSで用いられますので、図1内でインターネット(外部)からDNS宛に通信を受けるサーバは『b:外部DNSサーバ』であると考えることができます。
【c】
アクセス経路はDMZ→インターネット、プロトコル/宛先ポート番号はTCP/80、TCP/443となっています。
重要な部分として、『社内PCは、インターネット上のWebサイト及びDMZのWebサーバに、DMZのプロキシサーバ経由でアクセスする。』とあります。
TCP/80(HTTP)、TCP/443(HTTPS)はWeb通信で用いられ、インターネット宛にWeb通信を行うサーバは『c:プロキシサーバ』であると考えることができます。
設問2 (1)
下線部③として、『インターネットから公開セグメントのサーバ宛に送信されたパケットは、IGWが公開セグメントのサーバに中継する。』とあります。
SMTPパケットのSMTPの部分はメールの送信の際に用いられるプロトコルのことです。
つまりは、図2における公開セグメント内にあるメール中継サーバ向けの通信であることがわかります。
重要な部分として、『BCL-Aに移行後の各サーバのインターネット向けのIPアドレスには、移行前のDMZの各サーバと同じグローバルIPアドレスを設定する。』とあります。
そのため、インターネットからIGWまでは、宛先IPアドレスがメール中継サーバのグローバルIPアドレスである『通過前:200.α.β.2』であると考えることができます。
そして、『公開セグメントのサーバは、IGW経由でインターネットと通信する。IGWは、NATによって、公開セグメントの各サーバに設定された172.20.1.11~172.20.1.14をインターネットに公開する各サーバの対応するIPアドレスである200.α.β.1~200.α.β.3、200.α.β.5に変換する。』とあります。
なので、BCL-A内では図2における公開セグメントのサーバのIPアドレスに記載のあるメール中継サーバのアドレスである『通過後:172.20.1.14』に変換されると考えることができます。
設問2 (2)
下線④として、『IPSecルータ2は、BCL-A宛てのパケットを、IPSecルータ1に転送する。』とあります。
重要な部分として、『メールサーバは、本社及び営業所の従業員によるメール送受信に利用される。』とあります。
さらに、『社内PCは、内部DNSサーバで名前解決を行う。』とあります。
本社にあるPCから及び営業所のPCは各サーバと通信していましたが、それらがBCL-Aに移動したので、本社を経由してでBCL-Aに移動となった各サーバと通信をする必要があります。
本社内のセグメントとして、A社.lanがありますが、『業務サーバは、社内PCとだけ通信する。』とありますので、業務サーバしかないA社.lanからBCL-A向け(IPSec経由の)通信は行われないと考えることができます。
移行前の通信経路を図示するとこのようになります。
移行後の通信経路はこのようになります。
よって解答は営業所および本社のPCからのみとなり、『172.16.128.0/20、192.168.1.0/24』と考えることができます。
設問2 (3)
下線⑤として、『L3SW0とL3SW1の経路表』とあります。
設問2 (2)でも見ましたが、社内PCから通信要件があったサーバを見ていきます。
重要な部分として、『メールサーバは、本社及び営業所の従業員によるメール送受信に利用される。』とあり、メールサーバへアクセスする必要があると考えられます。
また、『社内PCは、内部DNSサーバで名前解決を行う。』とあり、内部DNSサーバへアクセスする必要があると考えられます。
そして、『社内PCは、インターネット上のWebサイト及びDMZのWebサーバに、DMZのプロキシサーバ経由でアクセスする。』とあり、プロキシサーバへアクセスする必要があると考えられます。
移行前の通信経路はこのようになります。
移行後の通信経路はこのようになり、内部DNSサーバおよびメールサーバとプロキシサーバのIPアドレスが変更になったことにより経路も変更になっていると考えることができます。
よって解答は『内部DNSサーバ、メールサーバ、プロキシサーバ』と考えることができます。
公式解答例との比較・予想配点
出題テーマは『クラウドサービスへの移行』でした。
クラウドサービスへの移行を題材として、ファイアウォールポリシー(プロトコル)、DHCP、DNS、NAT、ルーティングなどが出題されていました。
基本的に今挙げた単語の知識がないと解答することが難しかったと思います。
ですが、これらの単語はこれまでも出題されたことがあり、基本的な内容とも言えますので、ネットワーク関連の業務に携わっている方であれば解答してほしい問題でした。
難易度としては『普通』だったかと思います。
配点 |
|||
| 設問1 | L3SW0 | L3SW0 | 2点 |
| 設問2 | 外部から送信された外部宛のメールをそのまま中継すること(30文字) | 社外のメールサーバから送信された社外宛てのメールを中継する処理 | 4点 |
| 設問3 (1) | a:Webサーバ b:外部DNSサーバ c:プロキシサーバ |
a:Webサーバ b:外部DNSサーバ c:プロキシサーバ |
各2点 |
| 設問3 (2) | 192.168.1.0/24、172.16.128.0/20 | 192.168.1.0/24、172.16.128.0/20 | 2点 |
| 設問3 (3) | 内部DNSサーバ、メールサーバ、プロキシサーバ | 内部DNSサーバ、メールサーバ、プロキシサーバ | 2点 |
引用元
問題および解答例に関しては、『独立行政法人 情報処理推進機構(IPA)』より引用しています。
YouTube解説動画
鋭意作成中につき少々お待ちください。
応用情報技術者試験解説
その他の年度、問題は『こちら』にてまとめています。
