※解答はIPAのサイトを引用しておりますが、解説は独自ですので参考程度にご覧ください
(1) [ア]~[エ]に入る字句を答えよ
答: [ア] 暗号化 [イ] 検知 [ウ] 認証 [エ] TCP
[ア]は「暗号化」、[イ]は「検知」、 [ウ] は「認証」が入ります。TLSプロトコルのセキュリティ機能は共通鍵暗号方式による暗号化、証明書の検証による通信相手の認証、ハッシュ値の比較による改ざんの検知を持ちます。
[エ]は「TCP」が入ります。4ページの上段の説明にあるように工場内の機器とX社内の機器との通信はTLSを利用します。TLSはTCP/IPネットワーク上で動作するプロトコルで、ポート番号443番のTCPコネクションで確立しますので解答は「TCP」になります。
(2) 下線①の対策を述べよ
答: X社が運用、保守を行う機器からX社FWの方向に確立されるTCPコネクションだけを許可する
FWでは通信におけるルールを設定することができ、指定した通信を遮断、許可することが可能となります。
具体的には、送信元IPアドレス/ポート番号、宛先IPアドレス/ポート番号、プロトコル、アクション(許可/拒否)を指定できます。設問では顧客工場内のFWにて、工場内の機器とX社内の機器との通信以外の不正な通信を遮断する対策を問われています。
設問1の(1)で説明したとおり、両者は必ずTCPコネクションによって通信をしますので、「X社が運用、保守を行う機器からX社FWの方向に確立されるTCPコネクションだけを許可する」が解答となります。
(3) 下線②の対策を述べよ
答: クライアント証明書を配布してクライアント認証を行う
クライアント証明書は個人や組織を認証し発行する電子証明書のことで文字通りクライアント端末(=接続の際に認証を受ける端末)にインストールして使用します。
この設問でのクライアント端末はデバイスおよびエッジサーバとなります。
X社はあらかじめクライアント証明書を用意しておき、X社のサーバへ接続を許可しても良いと判断した正当な端末だけにクライアント証明書を配布、インストールさせておきます。これによりX社サーバ側で接続の際に認証が行うことができ、クライアント証明書がインストールされている端末からの通信の許可が可能となり、外部からの不正アクセス、なりすましの可能性がある通信を遮断することができます。
(1) 図3中のQoSレベルが0の場合のメッセージ送信について、TCPの再送機能だけではメッセージの消失が防げないのはどのような場合か
答: TCPの送信処理中に、デバイスの電源断などでTCPコネクションが開放された場合
6ページに「QoSレベルが0の場合、MQTT層におけるPUBLISHの送達確認は行わない。TCP層による送達確認だけが行われる」とありQoSレベルが0の場合、TCP層による送達確認だけが行われます。
このTCPコネクションがデバイスの電源断などで切断される状況になれば、送達確認が不可能になりますのでメッセージの消失を防ぐことができなくなります。
よって解答は「TCPの送信処理中にデバイスの電源断などでTCPコネクションが開放された場合」になります。TCPコネクションの再送機能だけでは相手に実際のメッセージが確実に届いたかどうかはチェックできません。
(2) 下線③について、PUBRELを受信するまで、メッセージの処理を保留にする目的を述べよ
答: メッセージの重複を防止する
図3の注記2に「QoSレベルが2の場合、受信者は、メッセージの処理を開始した以降に受信したPUBLISHは、パケットIDの重複にかかわらず新しいパケットとみなす」とあるように重複したパケットIDが届くと新しいパケットとして重複したメッセージを処理してしまいます。
そこで、送信者は受信者へ送ったメッセージが正常に届いたこと知らせ、1度届いたメッセージと同じパケットIDを再送しないようにさせる必要があります。
下線③に記載されているように、受信者はメッセージを処理する前にPUBRECを送り、正常にメッセージを受信したことを送信者へ伝え、送信者からPUBRELを受け取ってからメッセージを処理をするようにします。
このようにすることで送信者が同じパケットIDのメッセージを送信しなくなり、メッセージを重複して送信することがなくなります。
よって解答は「メッセージの重複を防止する」になります。
(3) [オ]~[ケ]に入る字句を答えよ
答: [オ] SUBSCRIBE [カ] config/Di [キ] デバイスDi
[ク] 交換サーバ [ケ] 業務サーバ
[オ]は「SUBSCRIBE」が入ります。SUBSCRIBEの意味は表1にあるようにクライアントからサーバへの購読要求になります。
項番1で行われる処理は”業務サーバから特定のデバイスDiに対して、設定情報を送信する”とあります。
それぞれのデバイスDiは「SUBSCRIBE」を交換サーバに送信しておくことで、この設定情報を受け取る(=購読する)ことが可能となります。
[カ]は「config/Di」が入ります。項番1のトピック名にあるようにデバイスDiの設定情報を受け取るには「config/Di」のPUBLISHが送信されるようにする必要があります。
[キ]は「デバイスDi」、[ク]は「交換サーバ」が入ります。項番1にて交換サーバからデバイスDiへのPUBLISH送信中ということで、電源断により非稼働になると考えられる機器は受信者となる「デバイスDi」となり、送達確認がとれなかった場合は送信者側、つまり「交換サーバ」でPUBLISHを保存しておきデバイスDiの稼働再開後に再送されることになります。
[ケ]は「業務サーバ」が入ります。QoSレベル0は送達確認を行わず、受信者が電源断などがなく安定して稼働できる機器に使用します。
項番2では、送信者である「交換サーバ」は受信者である業務サーバまたはエッジサーバに稼働情報を送信しているため、解答は「業務サーバ」となります。
(4) [コ]に入れる適切な機器名を全て答えよ
答: 業務サーバ、交換サーバ
図5をみると業務サーバ、交換サーバとデバイスがあり、これらの機器がTに関係していることがわかります。続いて図1をみると、このうちデバイスは各顧客の工場、業務サーバと交換サーバはX社にあることがわかります。
業務サーバ、交換サーバが別拠点の場合はt1およびt2が異なりTが大きく変わってきます。
つまり同一拠点に設置されている必要があるのは「業務サーバ、交換サーバ」になります。
(1) [サ]~[ソ]に入る字句を答えよ
答: [サ] 認可 [シ] WebAP [ス] リフレッシュトークン
[セ] (b)認可応答 [ソ] 認可
[サ]は「認可」が入ります。「認可」サーバはクライアントとなるPC(Webブラウザ)に対してアクセスを許可するトークンを発行するサーバのことです。
PCが有効なトークンがない場合にWebAPへ情報要求を行った場合はリダイレクトされて、認可サーバへ(a)認可要求をしてトークンを発行してもらう流れとなります。
[シ]は「WebAP」が入ります。(a)認可要求を受けた認可サーバは、Webブラウザに(b)認可応答を返します。
この(b)認可応答は図6で確認できるとおりlocationというヘッダが存在し、このlocationにアクセス許可したい宛先のURLが設定されます。図6の(Ⅰ)のシーケンスのとおり(b)認可応答はWebブラウザがこのlocationで指定されたURIへ認可応答をリダイレクトしますので、情報要求先である「WebAP」へリダイレクトされます。
[ス]は「リフレッシュトークン」が入ります。図6の(Ⅲ)をみるとアクセストークンを使った情報要求でエラー応答があった場合、今度は「リフレッシュトークン」で情報要求を行います。
この「リフレッシュトークン」が有効であればアクセストークンが無効な場合でも利用者認証を行わずに新しいアクセストークンが発行されます。
[セ]は「(b)認可応答」が入ります。10ページの上段にあるように”認可応答では、認可要求で通知されたURIを用いたリダイレクトによってWebAPに認可コードが通知”されます。
この「認可応答」に認可コードが含まれていますので解答は「認可応答」となります。
[ケ]は「認可」が入ります。図6の認可要求でredirect_uriが書き換えられていないかをチェックする“redirect_uriパラメタの確認”を行うのは、認可要求を受け付けるサーバになります。
図6の(I)をみてもわかるように認可要求先は「認可」サーバとなり、HTTPリクエストに含まれるredirect_uriとあらかじめ登録されている絶対URIの値が一致するかどうかで意図しない宛先に書き換えられていないかのを確認を「認可」サーバでおこないます。
(2) 下線④について提供するAPIの範囲を変更する場合、変更が有効になるのはX社がアクセストークンを変更してから最長で何分後か
答: 10
下線④に”アクセストークンの有効期間を10分間”とあります。このアクセストークンの有効期間が過ぎた場合に新アクセストークンが発行されますので、変更が有効になるのは最長「10」分後になります。
(3) 下線⑤について、顧客への依頼内容を述べよ
答: WebAPのURIを固定にし、絶対URIを事前に通知してもらう
認可サーバでは認可要求でredirect_uriが書き換えられていないかをチェックする“redirect_uriパラメタの確認”を行います。
具体的にはHTTPリクエストに含まれるredirect_uriとあらかじめ登録されている絶対URIの値が一致するかどうかで意図しない宛先に書き換えられていないかを認可サーバでチェックしますので、認可サーバで事前にWebAPの絶対URIを登録しておくこと、顧客はWebAPのURIを固定にしておく必要があります。
よって顧客への依頼内容は「WebAPのURIを固定にしてもらい、絶対URIを事前に通知してもらう」になります。
(1) 図8中のNATルータについて顧客ネットワークからXシステムの方向の通信におけるアドレス変換の内容を述べよ
答: 送信元IPアドレスをNATルータ-Pに、宛先IPアドレスをエッジサーバ-Pにそれぞれ変換する
11ページの下段でNATルータの説明で”NATルータ-PとNATルータ-P’を利用して、宛先IPアドレスと送信元IPアドレスの両方を変換される”とあり、これを使って顧客ネットワークからXシステムへ接続します。
また、図7のとおり顧客サーバの機器はエッジサーバを介して顧客の工場のデバイスと情報交換を行うことが分かります。
顧客サーバ-P’はプライベートIPアドレスが割り当てられていますが、プライベートIPアドレスなので顧客ネットワーク外へ通信できません。
そこでNATルータが送信元IPアドレスをNATルータ-PのIPアドレスにNAT変換します。また図7のとおり、顧客サーバの機器はエッジサーバを介して顧客の工場のデバイスと情報交換を行うことが分かりますので、顧客サーバ-P’からのNATルータ-P’宛の宛先IPアドレスはエッジサーバ-PのIPアドレスに変換します。
よって解答は「送信元IPアドレスをNATルータ-Pに宛先IPアドレスをエッジサーバ-Pにそれぞれ変換する」となります。
(2) 図8中の顧客FWについてXシステムとの接続のために新たに許可が必要になる通信を答えよ
答: 顧客サーバ-P’から NATルータ-P’のポート8883番への通信
顧客ネットワークとXシステムを接続するには、設問4(1)で解答したとおり顧客サーバ-P’から NATルータ-P’へ通信が必要となり、顧客FWではこの通信を許可する必要があります。
また、5ページ中段に記載がありますがMQTTプロトコル(MQTToverTLS)は8883番ポートを使用します。そのため顧客FWでは許可するポートは8883番になりますので、解答は「顧客サーバ-P’からNATルータ-P’のポート8883番への通信」となります。
(3) 下線⑥について、定義するトピック名を全て答えよ
答: config/Di、status/Di
12ページの中段に記載があるとおりMQTTブリッジは”メッセージをほかのMQTTサーバと送受信しメッセージ交換できるようにする機能”になります。
また”Xシステムのデバイスは複数の機器とTCPコネクションを確立できないので、このMQTTブリッジを利用する”とあるようにXシステムのデバイスDiとの通信にMQTTブリッジを利用することがわかります。
Xシステムが交換サーバを介して交換するメッセージを定義すれば良いことになりますので図4の特定のデバイスDiに対して設定情報を送信するconfig/Diと全てのデバイスDiから業務サーバ及び同じ工場のエッジサーバに対して稼働情報を定期的に送信するstatus/Diの2つのトピック名が解答となります。
(4) 図7~図9中の顧客サーバを1台追加する場合Xシステム側で必要となる対策を二つ挙げ述べよ
答: ・1:1静的双方向NATの設定をNATルータに追加する
・通信を許可するルールを通信装置内のFWに追加する
「NATルータは、1:1静的双方向NATとして動作させ」とあるように1つの機器ごとに対応するIPアドレスの変換の設定が必要となります。
顧客サーバを追加した場合は追加した顧客サーバのIPアドレスに対して「1:1静的双方向NATの設定をNATルータに追加する」必要があります。
4ページの①通信装置内のFWを使った設定で「X社が運用、保守を行う機器からX社FWの方向に確立されるTCPコネクションだけを許可する」という解答をしたとおり、通信装置内のFWにおいて、X社の機器からの通信のみ通信装置内のFWで許可していますので、顧客サーバを1台追加する場合は、その顧客サーバとの「通信を許可するルールを通信装置内のFWに追加する」必要があります。
答: [ア] スタック [イ] ステートフル [ウ] 負荷分散 [エ] チーミング
[ア]は「スタック」が入ります。「スタック」接続は複数のL2SW(スイッチハブ)を論理的に1つのL2SWとして扱う接続方法です。 片方のL2SWがもし故障しても運用を継続できる冗長構成となり、耐障害性を高めることができます。
また、複数台のL2SWを1台として設定や監視ができるため管理が容易になります。スタック接続を実現するにはL2SW同士をスタックケーブルという専用ケーブルを使って接続します。
[イ]は「ステートフル」が入ります。ステートフルフェイルオーバとは、FWが保持している通信セッションの情報をそのまま待機系のFWに引き継げる機能です。
この機能によって稼働中のFWに障害が発生した場合でも、セキュリティを維持した状態で安全に待機系FWに引き継ぐことができます。
[ウ]は「負荷分散」が入ります。負荷分散アルゴリズムとは、複数のサーバへのトラフィックを分散するためにLBが使用する処理方法です。負荷分散アルゴリズムは大きく分けると2種類に分けられます。コネクションの数や応答時間でサーバを振り分ける動的負荷分散アルゴリズムとラウンドロビンやハッシュなど決められたルールに基づいてサーバを振り分ける静的負荷分散アルゴリズムがあります。
[エ]は「チーミング」が入ります。サーバやPCに搭載した複数の物理NICを1つの論理的なNICとして束ねる技術のことです。ネットワークインタフェース部分を冗長化し耐障害性を高めることができます
(1) 下線①の要件が必要になる理由を述べよ
答: ・顧客ごとに異なるフィルタリングの設定が必要であるから
・顧客ごとにルーティングの設定が必要であるから
15ページに”(2)サービス基盤で稼働する顧客システムは顧客ごとに論理的に独立させること”とあります。つまり1つの物理的なFW1台の中に顧客の数だけの仮想FWを稼働させる必要があります。そしてそれぞれの仮想FWで顧客ごとのフィルタリングの設定やルーティングの設定が必要であります。
よって解答は「顧客ごとに異なるフィルタリングの設定が必要であるから」と「顧客ごとにルーティングの設定が必要であるから」になります。
(2) 下線②の機能についてアクティブのFWをFWaからFWbに切り替えるのにFWa又はFWbが監視する内容を三つあげよ。
答: 下記のうちいずれか3つ。
・FWbによるFWaの稼働状態
・FWaによるL2SWaへの接続ポートのリンク状態
・FWaによるLBaへの接続ポートのリンク状態
・FWaによるFWbの稼働状態
・FWbによるL2SWbへの接続ポートのリンク状態
・FWbによるLBbへの接続ポートのリンク状態
アクティブになっているFWaからスタンバイのFWbに切り替えるのにFWa又はFWbが監視する内容を答えれば良いことになります。
FWbがFWaそれぞれ互いのFWが正常に稼働しているかどうかの稼働状態の監視やお互いL2SWやLBと接続しているポートがリンクダウンしていないかリンク状態を監視する必要があります。
(3) 下線③について、VLANを設定するポート及び設定するVLANの内容を述べよ
答: 物理サーバへの接続ポートに、全ての顧客の仮想サーバに設定されたVLAN IDを設定する。
16ページの1行目で”サービス基盤はVLANによって顧客間のネットワークを論理的に独立させる”とあります。物理的な一つのLANを複数の仮想的なLANに分割するVLANで、各VLANを識別するための 顧客ごとにVLAN IDという識別IDを割り当てる必要があります。このVLAN IDを仮想サーバに設定しておくことで、そのVLAN IDが設定されたポートへの通信を許可することが可能になります。 下線③では”仮想サーバの物理サーバ間移動に必要となるVLANを設定する”とあるのでもし物理サーバを変更しても通信が行えるようにVLAN IDは全ての物理サーバへの接続ポートに、全ての顧客の仮想サーバに設定されたVLAN IDを設定しておく必要があります。
答: ・OFCのIPアドレス
・自OFSのIPアドレス
TCPでは、送信元と宛先のそれぞれのIPアドレスとポート番号を使用してコネクションを確立します。 OpenFlowでは使用するTCPポート番号は6653と定められていますので、OFC導入時に最低限必要となる情報は「OFCのIPアドレス」と「自OFSのIPアドレス」になります。
(1) 表1中の項番2について従来方式の場合、FWでは複数の仮想FWを設定することになる。仮想FWの設定に伴って各仮想FWに対して設定が必要なネットワーク情報を三つあげよ
答: 下記のうちいずれか3つ。
・フィルタリングルール
・仮想FWのVLAN ID
・仮想FWのIPアドレス
・仮想FWのサブネットマスク
・仮想FWの仮想MACアドレス
・ルーティング情報
設問2(2)で解答したとおり従来方式では顧客ごとに論理的にネットワークを独立させるため、1つの物理的なFW1台の中に顧客の数だけの仮想FWを稼働させ、顧客ごとのフィルタリングの設定やルーティングの設定を仮想FWに設定しておく必要があります。そのために仮想FWの仮想VLAN ID、仮想IPアドレス、仮想サブネットマスク、仮想MACアドレスのようなネットワーク情報が必要となります。
(2) 表1中の項番3について従来方式の場合、追加する顧客に対応したVLAN設定がサービス基盤の全ての機器及びサーバで必要になる。その中でポートVLANを設定する箇所を図2中の名称を用いて答えよ
答: 顧客のL2SW又はL3SWに接続するL2SWa及びL2SWbのポート
ポートVLANとは、VLANの方式の一つでL2SWのポートごとにVLAN IDを割り当てて構成する方式です。。 顧客1はVLAN10、顧客2はVLAN20とあらかじめ決めてL2SWのポート1にVLAN10、VLAN20を設定しておけば VLAN10、VLAN20のパケットを通すことが可能となりますます。 図2をみてわかるとおりL2SWa、L2SWbはどちらもL2SWやL3SWを介してP社、Q社、Z社と接続しています。 そのため、顧客を追加する場合は、新たにVLANIDを用意してポートにそのVLANIDを設定する必要があります。対応したVLANIDを顧客のL2SW又はL3SWに接続するL2SWa及びL2SWbのポートに追加する必要があります。
(1) 本番システムにおいて図4の形態で3顧客の仮想サーバを配置した場合に発生する可能性がある問題を述べよ。また、その問題が発生させないための仮想サーバの配置を述べよ
答: [問題] 物理サーバ3の障害によって、3顧客のシステムが同時に停止してしまう [対処] 3顧客向けの仮想サーバをそれぞれ異なった物理サーバに配置する
図4の3顧客の仮想サーバの配置構成に着目します。 3顧客の仮想サーバは、物理サーバ1にP社とQ社向け仮想サーバ、物理サーバ2にZ社向け仮想サーバ、物理サーバ3にP社とQ社とZ社向け仮想サーバが配置されています。このように各社の仮想サーバは3つの物理サーバに分散して配置しています。この構成では3つの物理サーバの正常な稼働が必要となり、もし1つの物理サーバが障害が発生した場合、例えば物理サーバ3が故障した場合はP社とQ社とZ社の一部サーバが止まることになり3顧客のシステムが同時に止まっています。 これを防ぐための対処ですが、物理サーバごとにP社仮想サーバだけが配置された物理サーバ。Q社仮想サーバだけが配置された物理サーバ、Z社仮想サーバだけが配置された物理サーバというように集約すれば1つの物理サーバの故障した場合、残り会社のサービス基盤は停止することなく稼働を続けることができます。よって解答は「3顧客向けの仮想サーバをそれぞれ異なった物理サーバに配置する」となります。
(2) 表8のFテーブル4中にはFWpの内部側ポートからLBpの仮想IPアドレスを持つポートにパケット転送させるためのFエントリが生成されない。当該FエントリがなくてもFWpとLBp間の通信が行われる理由を述べよ
答: FWpの内部側ポートとLBpの仮想IPアドレスをもつポートは、同一セグメントであり物理サーバ3内で処理されるから
OFCによってOFSにFエントリが生成されるタイミングは物理サーバにある仮想L2SWのポートからPacket-Out、Packet-Inするタイミングになります。続いて図4でFWpとLBpの配置を確認するとどちらも物理サーバ3となっています。同一仮想SWで、セグメントが同じためOFSにPacket-Out、Packet-Inせずに通信を行うことが可能となります。よって解答は「FWpの内部側ポートとLBpの仮想IPアドレスをもつポートは、同一セグメントであり物理サーバ3内で処理されるから」となります。
(3) [オ]~[キ]に入れる適切な字句を答えよ
答: [オ] Fテーブル1 項番2
[カ] Fテーブル0 項番6
[キ] Fテーブル4 項番6
[オ]には「Fテーブル1 項番2」が入ります。図4をみながら考えます。まずはルータからL2SWへ、続いてp1ポートに到達します。表4のFテーブル0の項番1にマッチングしますのでルールに従い”VLANIDが100のタグをセット、Fテーブル1で定義された処理”を行います。よってFテーブル1になります。
また、Fテーブル0の項番1でLANIDが100のタグをしているので、宛先Macアドレスはa:VLAN ID = 100のFWpになります。(図4より)
表5のFテーブル1の条件で、mDES=mFWとなり項番2がマッチします。(※[オ]の→がFWpとなっていることからもわかります)
よって解答は「Fテーブル1 項番2」になります。
[カ]には「Fテーブル0 項番6」が入ります。 図4をみながら考えます。LBpがパケット転送する先はOFSの入力ポートp13になります。20ページの上段のFテーブルの説明にもあるようにデータ転送するときに最初に処理されるの表4のFテーブル0になります。条件をみると項番6の入力ポート=p13にマッチします。よって解答は「Fテーブル0 項番6」になります。
[キ]には「Fテーブル4 項番6」が入ります。[カ]で、Fテーブル0 項番6のアクション行われると”Fテーブル4で定義された処理”が行われます。送信元MACアドレス(=mSRC)はmLBpで宛先アドレス(=mDES)はWebサーバp1のmWSp1になりますので、解答は「Fテーブル4 項番6」になります。
(4) P社のWebサーバp4が物理サーバ2に移動し、表7のOFS1のFテーブル3中の項番5によってOFCのPacket-Inメッセージが送信されるとOFCは表8のFテーブル4中の二つの項番を変更する。Fテーブル4が変更されるOFS名を全て答えよ。また、項番3のほかに変更される項番及び変更後のアクションを答えよ
答: [OFS名] OFS1、OFS2
[項番]7 [変更後のアクション] p12から出力
Webサーバp4(MACアドレスはmWSp4)が物理サーバ2に移動した場合、
mWSp4の場合は、物理サーバ1が接続されているp11から物理サーバ2が接続されているp12へ出力を変更する必要があります。
解答ですが、テーブル4の項番7、宛先MACアドレスがmDES=mWSp4の場合はp11ではなく「p12から出力」というルールに変更します。 また、解答ではありませんが、二つの項番を変更するうちの一つは項番3でアクションは”p11とp12から出力”に変更する必要があります。
22ページの下段から23ページの上段に参考となる説明文があります。mWSp4は物理サーバの変更でセグメントが変わったため、P社ルータが新しいIPアドレスを割り当てるためARPリクエストを送信します。
このときにマッチするテーブルと条件がFテーブル3の項番5になります。Fテーブル3の項番5をeTYPE=ARP、VLAN ID=310、mDES=FF-FF-FF-FF-FF-FFとなっておりアクションが”p11から出力”となっていますが、Webサーバp4の移動したことにより項番3はp11だけでなくp12にも出力するという変更が必要です。
※ARPパケットはブロードキャストのため宛先MACアドレスはFF-FF-FF-FF-FF-FF(決まりごと)
※図4のgより物理サーバ2へ移動したmWSp4はVLAN ID=310
また、Fテーブル4はOFS1とOFS2は冗長構成でそれぞれ同じエントリが設定されていますのでどちらのOFSもテーブル4を変更する必要があります。よって解答はOFS名は「OFS1、OFS2」、「項番7」、変更後のアクションは「p12から出力」となります。
となります。