※解答はIPAのサイトを引用しておりますが、解説は独自ですので参考程度にご覧ください
(1) 表2中の案2の初期設定について負荷分散を目的として一つのドメイン名に対して複数のIPアドレスを割り当てる方式を答えよ
答: DNSラウンドロビン
「DNSラウンドロビン」とは、1つのドメイン名に複数のIPアドレスを割り当て、クライアントからの問合せに対し複数のIPアドレスを順番に応答して負荷を分散させる方式です。
(2) ping監視では不十分な理由を答えよ
答: プロキシサーバのアプリケーションプロセスが停止した場合に検知できないから
ping監視とは通信先のネットワーク機器とIPパケットのやり取りができる状態であるかを確認する機能です。
具体的には、監視サーバでpingコマンドを使用し、プロキシサーバのIPアドレス宛にICMPエコー要求パケットを送信し、プロキシサーバからのICMPエコー応答の有無によってネットワーク接続ができているかを確認することができます。
しかし、このping監視では応答が返ってきたかどうか、つまりネットワーク接続ができているかどうかだけしか確認ができず、アプリケーションプロセスが正常に稼働しているかまでは確認できません。
よって解答は「プロキシサーバのアプリケーションプロセスが停止した場合に検知できないから」になります。
(3) 下線②について、表2の案1の初期設定を対象にドメイン名proxy.a-sha.co.jpの書き換え後のIPアドレスを答えよ
答: 192.168.2.145
5ページの表1の案1で”平常時はプロキシサーバBを利用し、プロキシサーバBに障害が発生した際にはプロキシサーバCを利用するように切り替える”とあります。
表2では案1ではドメイン名proxy.a-sha.co.jpは192.168.1.145(=プロキシサーバBのホスト)のIPアドレスが設定されているため、プロキシサーバBの異常を検知した場合は、これをプロキシサーバCのホストのIPアドレスである「192.168.2.145」に書き換える必要があります。
答: キャッシュDNSサーバがキャッシュを保持する時間を短くするため
DNSのリソースレコードの1つであるTTLとは、DNSレコードに関する情報のキャッシュを保持する有効時間です。
もしDNSレコードに関する情報を更新した場合、キャッシュDNSサーバはキャッシュを保持する有効時間内であれば更新前の情報を応答します。
TTLの値を小さくした場合では、キャッシュを保持する時間が短くなり、その分が更新したときの反映を早めることができます。
よって解答は「キャッシュDNSサーバがキャッシュを保持する時間を短くするため」になります。
(5) 下線④について、DNSとは異なる方法を答えよ。その方法の制限事項をプロキシサーバを利用する側の環境に着目して答えよ
答: 【方法】プロキシ自動設定機能を利用する
【制限事項】対応するPCやサーバ使用でしか利用できない
プロキシサーバの宛先IPアドレスを切り替える方法として、DNSで設定を変更する方法以外に、従業員が利用するPC内にあるプロキシ自動設定機能を利用してプロキシサーバのIPアドレスを指定する方法があります。
プロキシ自動設定機能とは、HTTP/HTTPS通信する際に経由するプロキシサーバのURL情報を指定することができる機能になります。
よって解答は「プロキシ自動設定機能を利用する」になります。
続いて、プロキシ自動設定機能で設定する方法を選んだときの制限事項です。
プロキシ自動設定機能で用いるプロキシ自動設定ファイルはJavaScriptで記述されたファイルであるため使用するブラウザがJavaScriptに対応していない場合は、プロキシ自動設定ファイルを読み込むことができなくなります。このようにプロキシ自動設定機能に対応するPCやサーバ使用でしか利用できない制限があります。
よって解答は「対応するPCやサーバ使用でしか利用できない」となります。
(1) [a]~[f]に入れる字句を記号で答えよ
答: [a]AS [b]ピア [c]UPDATE [d]KEEPALIVE
[e]ルーティングテーブル [f]大きい
[a]には「AS」が入ります。
BGPはパスベクタ型と呼ばれるルーティングプロトコルで、隣接する「AS」間の経路交換をおこなうプロトコルで、TCPポート179番を利用して接続します。
AS(自律システム)とは、ある管理組織にあるネットワークの集まりであり、例えば、ISPが管理しているネットワークは1つのASとなります。
[b]には「ピア」が入ります。
BGPで経路交換をおこなう隣接のルータを「ピア」と呼びます。
[c]には「UPDATE」が入ります。
「UPDATE」メッセージはBGPで交換されるメッセージの一つです。
表3に記載のとおり、経路情報の交換に利用し、経路の追加や削除が発生した場合に送信されます。
[d]には「KEEPALIVE」が入ります。
「KEEPALIVE」メッセージはBGPで交換されるメッセージの一つです。
表3に記載のとおり、BGP接続の確立やBGP接続の維持のために交換します。
[e]には「ルーティングテーブル」が入ります。
BGPでは最適経路選択アルゴリズムという決められた仕様によってベストパス(最適ルート)を決め、その経路を「ルーティングテーブル」に登録します。
[f]には「大きい」が入ります。
BGPではベストパスを判断するための情報として、経路情報にパスアトリビュートという属性が付加されています。
最適経路選択アルゴリズムでは、ベストパスを決める際に経路情報に付加されているパスアトリビュートのLOCAL_PREFが「大きい」値をもつ経路情報を優先します。
(2) next-hop-self設定をおこうなうとiBGPで広告する経路情報のIPアドレスには何が設定されるか
答: 自身のIPアドレス
BGPでは隣接するBGPルータ同士でTCPコネクションを確立し、情報交換をおこないます。このようなBGPルータ同士で接続が確立された状態をピアと呼びます。
BGPはiBGPとeBGPの2種類に分けられ、同じASにあるBGPルータとの間で確立するiBGP、異なるASにあるBGPルータとの間で確立するBGPはeBGPと呼びます。
iBGPにはネイバー(経路交換をおこなう隣接のルータ)にルートを広告する際にネクストホップのIPアドレスが変更されません。
これによりiBGPとeBGPで通信が到達できない問題が発生する場合があります。
例えばR12→R11→R13というルート広告が行われた場合を考えます。
eBGPには1.0.0.0/24のネットワークアドレス、R12のeBGPアドレスは1.0.0.1、R11のeBGPアドレスは1.0.0.2のIPアドレスが設定されているとします。
続いてiBGPには2.0.0.0/24のネットワークアドレス、R11のiBGPアドレスは2.0.0.1、R13のiBGPアドレスは2.0.0.2のIPアドレスが設定されているとします。
この状態でR12が、NEXT_HOPアトリビュート(隣の宛先ネットワークへNEXT_HOPとなるルータのIPアドレスを示す経路情報)を広告すると、R11にはR12の1.0.0.1のIPアドレスがNEXT_HOPに登録されます。
R11は1.0.0.2のIPアドレスがあるため、R12の1.0.0.1を認識することができ通信が可能となりますが、この広告がR13へ届いた場合はどうでしょうか。
R13はiBGPの2.0.0.2のIPアドレスしか持っていないため、NEXT_HOPとなるルータであるR12の1.0.0.1のIPアドレスを認識できずASに到達ができません。
そこで、この問題を解消するためにiBGPではnext-hop-self設定を行い、eBGPからの広告を中継する際にNEXT_HOPのIPアドレスを自身のIPアドレスに書き換えてあげます。
よって解答は「自身のIPアドレス」になります。
(3)表3についてBGPピアの間で定期的にやり取りされるメッセージをタイプで答えよ。また、そのメッセージが一定時間受信できなくなるとどのような動作をするか
答: 【タイプ】4(KEEPALIVE)
【動作】BGPを切断し、経路情報がクリアされる
タイプ「4」のKEEPALIVEメッセージは表3に記載のとおり、BGP接続の確立やBGP接続の維持のために交換します。
このメッセージをBGPピアの間で定期的にやり取りすることで、自身が正常に経路情報を交換できる状態かを確認しています。
ネイバーに自身が正常に動作していることを知らせるためにKEEPALIVEメッセージを定期的に送信し、ネイバーからの定期的なKEEPALIVEが一定時間(指定したタイマの時間内)に届か無かった場合は、ネイバーがダウンしたとみなしてBGPを切断し、現在の経路情報をクリアして別の経路情報を作成します。
よって解答は「BGPを切断し、経路情報がクリアされる」になります。
(4) 下線⑥についてBGPの導入を行った後にVRRPの導入を行うべき理由をR13が何らかの理由でVRRPマスターになったときのR13の経路情報の状態を想定し答えよ
答: VRRPマスターになったR13が経路情報を保持していないと受信したパケットを転送できないから
8ページの表4の項番6で”全てのBGP接続を確立させ、送受信する経路情報が正しいことを確認”とあり、もし項番6より前に項番8の”R11とR13との間のVRRPで利用する新しい仮想IPアドレスを割り当て、VRRPを構成”した場合、R13にはBGPによる経路情報の交換ができていないため、経路情報が無い状態となり、マスタルータとなった場合にパケット転送する経路情報を保持しておらずが受信したパケットを転送できないことになります。
よって解答は「VRRPマスターになったR13が経路情報を保持していないと受信したパケットを転送できないから」になります。
(5) 表4中の下線⑦についてpingコマンドの試験で確認すべき内容を20字以内で答えよ。また、pingコマンド試験で確認すべき送信元と宛先の組み合わせを二つ挙げ、図3中の機器名で答えよ
答: 【確認すべき内容】パケットロスが発生しないこと
【組合せ①】送信元:R14、宛先:R13
【組合せ②】送信元:R13、宛先:FW
pingとは通信先のネットワーク機器とIPパケットのやり取りができる状態にあるかの疎通を確認する機能です。
変更後の構成でR13及びR14を増設したため、Pingコマンドを使用し、機器のIPアドレス宛にICMPエコー要求パケットを送信し、R13及びR14からのICMPエコー応答の有無によってネットワーク接続が正常にできており「パケットロスが発生しないこと」を確認することができます。
表4の項番2で”R13と増設する専用線とを接続”、”R14と増設する専用線とを接続”、”R13とL2SW10増設とを接続”とあり、増設により追加された疎通確認すべき経路はR14→R13→(L2SW10)→FWとなります。
そのためR14からR13への疎通およびR13からFWへの疎通ができていれば正常に通信ができるという確認が取れます。
よって1つめの経路の組合せは「送信元:R14、宛先:R13」、2つめが「送信元:R13、宛先:FW」となります。
(6) 表4中の下線⑧についてR11及びR12では静的経路情報制御の経路情報を削除することで同じ宛先のBGPの経路情報が有効になる。その理由を答えよ
答: 経路情報は、BGPと比較し静的経路情報の方が優先されるから
ルーティングテーブルの静的経路制御と動的経路制御では、静的経路制御が優先で適用され、BGPは動的経路制御にあたります。
静的経路情報が設定されている場合に動的経路制御も有効になっている状態であれば、静的経路情報を削除した時点で動的経路制御だけになるため、自動で動的経路による切り替えが行われることになります。
よって解答「経路情報は、BGPと比較し静的経路情報の方が優先されるから」となります。
(7) 下線⑨について想定する障害を6つ挙げ答えよ
答: ①R11
②R13
③R11とL2SW10とを接続する回線
④R13とL2SW10とを接続する回線
⑤R11とR12間とを接続する回線
⑥R13とR14間とを接続する回線
マルチホームの可用性ということで、想定する障害は図3に設置されたA社の機器および接続する線で冗長構成となっているL2SW10→R11→R12とL2SW10→R13→R14の経路上で想定される故障箇所が解答になります。
まずはルータ自体の故障が考えられ「①R11」本体の故障、「②R13」本体の故障が挙げられます。
次にA社のR11とR13が接続しているL2SW10の回線の故障も考えられ、「③R11とL2SW10とを接続する回線、④R13とL2SW10とを接続する回線」の故障が挙げられます。
最後にD社閉域NWと接続している「⑤R11とR12間とを接続する回線の故障、⑥R13とR14間の回線の故障」が挙げられます。
これらの①から⑥のいずれかの故障で片側のルートが使えなくなった場合に、もう一方の経路で正常に稼働が続けられるかの確認が必要です。
(1) 下線⑩についてD社閉域NWの設定変更より前にFW10のデフォルトルートを変更するとどのような状況となるか
答: ルーティングのループが発生する
まず、デフォルトルートとはルーティングテーブルに登録されていない宛先のパケットを受信したときに転送する転送先(ネクストホップ)のIPアドレス設定になります。
3ページの中段に”本社装置のR10を経由してインターネットに接続している”と記載があり、9ページの図4の構成に当てはめると、FW10がインターネット宛の通信を受信した場合、デフォルトルートの設定に従いR10へ転送します。
続いてD社閉域NWの設定変更とは9ページの上段で”A社とインターネットとの通信をR10経由からFW40経由になるようにインターネット接続を切り替える”とあります。
もしD社閉域NWの設定変更より前にFW10のデフォルトルートの設定を変更しR10からR13とR11の仮想IPアドレスに転送先を切り替えてしまうと、D社閉域NW設定側がそれに対応できず、A社とインターネット宛ての通信がR10とFW40の間をループする状態となってしまいます。
よって解答は「ルーティングのループが発生する」となります。
(2) 下線⑪について業務に影響が発生する理由を20字以内で答えよ
答: 送信元IPアドレスが変わるから
3ページの上段に”A社の一部の部門では、担当する業務に応じてインターネット上のSaaSを独自に契約し、利用している。これらのSaaSでは送信元IPアドレスによってアクセス制限しているものがある”と記載があります。このことからインターネット上のSaaSを利用する場合はA社の決められた送信元IPアドレス(=FW10のグローバルIPアドレス)からしかアクセスができないように制限をされていることがわかります。
インターネット接続の切り替え期間中の構成は9ページの中段にあるように”FW40には新たにグローバルIPアドレスが割り当てられる。FW40を経由するインターネット宛ての通信はNAPT機能によってIPアドレスが変換される”とあり、送信元IPアドレスがFW40のグローバルIPアドレスにNAPT変換されるため、送信元IPアドレスを利用したアクセス制限機能によりSaaSを利用した業務ができなくなってしまう問題が発生します。
よって解答は「送信元IPアドレスが変わるから」になります。
(1) 下線⑫についてFW10にどのようなポリシーベースルーティングの設定が必要か
答: 送信元IPアドレスがプロキシサーバA、宛先がインターネットであった場合にネクストホップをR10とする設定
下線⑫の内容で”プロキシサーバAからのインターネット宛ての通信だけは既存のR10経由となるようにする”とあります。
設問3の(1)で解説したとおり、FW10は設定変更後、デフォルトルートの設定でR13、R11の仮想IPアドレスを指定するため、ルーティングテーブルに登録されていない宛先のパケット、つまりインターネットへの通信はR11またはR13に転送されます。
しかしFW10で静的経路をルーティングテーブルに登録しておけばその設定が経路として選ばれますので、FW10のルーティングテーブルに登録に「送信元IPアドレスがプロキシサーバA、宛先がインターネットであった場合にネクストホップをR10とする設定」をすればよいことになります。
(2) 下線⑬についてどのような設定変更を依頼すればよいか
答: SaaSの送信元IPアドレスによるアクセス制限の設定変更
3ページの上段に”A社の一部の部門では、担当する業務に応じてインターネット上のSaaSを独自に契約し、利用している。これらのSaaSでは送信元IPアドレスによってアクセス制限しているものがある”、また同ページの中段で”FW10にはグローバルIPアドレスを付与しており、FW10を経由するインターネット宛ての通信はNAPT機能によってIPアドレスとポート番号の変換が行われる”とあります。
つまり現状はSaaSのアクセス制限により、送信元IPアドレスがFW10のグローバルIPアドレスに制限しています。
切り替え後はFW40を経由するため、SaaSのアクセス制限の送信元IPアドレスについても接続を許可するように設定変更することで恒久的な対応ができます。
よって解答は「SaaSの送信元IPアドレスによるアクセス制限の設定変更」となります。
答: [a] NS [b] MX [c]100.α.β.1 [d]100.α.β.3
[e]192.168.1.1 [f]192.168.1.3
[a]には「NS」が入ります。
DNSのNSレコードとはゾーン情報を管理するネームサーバをホスト名で定義するレコードです。
ネームサーバとは名前解決を行いホスト名に対するIPアドレスを知らせてくれる役割を持ちます。
図1にあるDNSサーバが上記に該当し、ホスト名が”ns”となっていることからも”ns.exsample.jp”はNSレコードの定義であることがわかります。
[b]には「MX」が入ります。
DNSが管理しているドメイン宛てのメールを配送するメールサーバをホスト名で定義するレコードです。
ちなみにMXレコード内の”10”の値はプリファレンス値と呼ばれる優先度の設定値です。MXレコードが複数登録されている場合はこの値が最小のレコードが優先されます
[c]には「100.α.β.1」が入ります。
NSレコードはホスト名で定義する必要があり、そのホスト名に対するIPアドレスをAレコードで定義しておく必要があります。
13ページで”DMZのDNSサーバは、ECサイトのインターネット向けドメインexample.jpと、社内向けドメインy-sha.example.lanの二つのドメインのゾーン情報を管理する”とあります。
図2の項番1~6は定義されているホスト名のドメインがexample.jpとなっており、インターネット向けゾーン情報であることがわかります。
また、DNS通信はTCP、UDPの53番ポートを使いますので、表1の1行目に該当し、IPアドレスはインターネットを経由して外部と通信することが可能なグローバルIPアドレスになります。
よって解答は「100.α.β.1」になります。
[d]には「100.α.β.3」が入ります。
MXレコードはホスト名で定義する必要があり、そのホスト名に対するIPアドレスをAレコードで定義しておく必要があります。
13ページで”DMZのDNSサーバは、ECサイトのインターネット向けドメインexample.jpと、社内向けドメインy-sha.example.lanの二つのドメインのゾーン情報を管理する”とあります。
図2の項番1~6は定義されているホスト名のドメインがexample.jpとなっており、インターネット向けゾーン情報であることがわかります。
また、メール転送で使用するSMTP通信はTCPの25番ポートを使いますので、表1の3行目に該当し、IPアドレスはインターネットを経由して外部と通信することが可能なグローバルIPアドレスになります。
よって解答は「100.α.β.3」になります。
[e]には「192.168.1.1」が入ります。
NSレコードはホスト名で定義する必要があり、そのホスト名に対するIPアドレスをAレコードで定義しておく必要があります。
13ページで”DMZのDNSサーバは、ECサイトのインターネット向けドメインexample.jpと、社内向けドメインy-sha.example.lanの二つのドメインのゾーン情報を管理する”とあります。
図2の項番7~12は定義されているホスト名のドメインがy-sha.example.lanとなっており、社内向けゾーン情報であることがわかります。
また、DNS通信はTCP、UDPの53番ポートを使いますので、表1の1行目に該当し、IPアドレスは社内LANで通信することが可能な192.168で始まるプライベートIPアドレスになります。
よって解答は「192.168.1.1」になります。
[f]には「192.168.1.3」が入ります。
MXレコードはホスト名で定義する必要があり、そのホスト名に対するIPアドレスをAレコードで定義しておく必要があります。
13ページで”DMZのDNSサーバは、ECサイトのインターネット向けドメインexample.jpと、社内向けドメインy-sha.example.lanの二つのドメインのゾーン情報を管理する”とあります。
図2の項番7~12は定義されているホスト名のドメインがy-sha.example.lanとなっており、社内向けゾーン情報であることがわかります。
また、メール転送で使用するSMTP通信はTCPの25番ポートを使いますので、表1の3行目に該当し、、IPアドレスは社内LANで通信することが可能な192.168で始まるプライベートIPアドレスになります。
よって解答は「192.168.1.3」になります。
(1) URLをhttps://ecsv.y-sha.example.lanに設定してECサーバにアクセスするとTLSハンドシェイク中にエラーメッセージが画面に表示される。その理由をサーバ証明書のコモン名に着目して答えよ
答: コモン名とURLのドメインが異なるから
証明書のコモン名とは、サーバ証明書の設定項目の一つで、TLS暗号化通信を行うサイトURLのうち、サブドメインまでを含んだドメイン部分を設定します。
TLSハンドシェイクをする際に、アクセス先に指定されるURLのFQDN(ホスト名+ドメイン名)と証明書のコモン名が一致している必要があります。
もしコモン名と一致しない場合はエラーメッセージが画面に表示されます。
設問では証明書のコモン名がECサイトのインターネット向けドメインで”ecsv.example.jp”で登録されているのに対し、アクセスするURLのFQDNが”ecsv.y-sha.example.lan”であったため不一致となりエラーが表示されたと考えられます。
よって解答は「コモン名とURLのドメインが異なるから」になります。
(2) 下線①でアクセスしたとき運用PCが送信したパケットがECサーバに届くまでに経由する機器をすべて答えよ
答: L3SW→FWz→L2SW
運用PCからECサーバへのアクセス経路は13ページの上段で”運用担当者は運用PCのWebブラウザでhttps://ecsv.y-sha.example.lan/を指定して、広域イーサ網経由でECサーバにアクセスする”とあるように広域イーサ網を経由することがわかります。よって運用PCからECサーバへ届くまでの機器は図1を参考にして、「L3SW→FWz→L2SW」となります。
(1) 表6中の[g]、[h]に入れる適切な字句を答えよ
答: [g]アップ [h]アウト
サーバの構成における増強対策として、サーバ自体の処理能力を向上させるスケール「アップ」方式と、サーバの台数を増やして分散によりシステム全体の処理能力を高めることをスケール「アウト」方式があります。
サーバ自体の処理能力を向上させるスケール「アップ」方式は、サーバ自体のパーツ交換や別のマシンへ置き換えが必要となるため1度ECサイトを停止させる必要があります。
一方でスケール「アウト」方式は新たにサーバの台数を増やすため既存のECサイトを停止させることなく増強が行えます。
よって解答の[g]にはアップ、[h]にはアウトが入ります。
(2) 下線②について、2台ではなく3台構成にする目的を答えよ
答: 1台故障時にもECサイトの応答速度の低下を発生させないため
下線②にて”ECサーバを2台にすればECサイトは十分な処理能力を持つ”とあります。
逆に、もし2台のうち1台が故障した場合、残りのECサーバ1台だけでは不十分な処理能力という意味でもありますので、1台故障したときに備え3台の構成にします。
よって解答は「1台故障時にもECサイトの応答速度の低下を発生させないため」になります。
(3) [i]~[k]に入れる適切な字句を答えよ
答: [i]100.α.β.2 [j]192.168.1.2 [k] 192.168.1.4
[i]について、13ページの表1でFWzには静的NATが設定されているとあります。
NATとは宛先となるプライベートIPアドレスをグローバルIPアドレスに、グローバルIPアドレスをプライベートIPアドレスに変換する機能です。
PCからECサーバへのアクセスは13ページの上段で”運用担当者は運用PCのWebブラウザでhttps://ecsv.y-sha.example.lan/を指定して、広域イーサ網経由でECサーバにアクセスする”とあるようにHTTPSで通信していることがわかります。
14ページの図3で構成を確認できますが、FwZの右側DMZの枠内はプライベートIPアドレスで、外部から直接アクセスできないIPアドレスが割り当てられており、PCからECサーバへのアクセスはグローバルIPアドレスの宛先はFWzを指定し、FWzがその通信を受信し、宛先をプライベートIPアドレスへ変換するという流れになります。
HTTPSは443番ポートを使用する通信のため、表1からPC→FwZ間の宛先IPアドレスは変換前の「100.α.β.2」となり、FwZ→既設ECサーバ間の宛先IPアドレスは変換後の「192.168.1.2」になります。
よって[i]は「100.α.β.2」、[j]には「192.168.1.2」が入ります。
次に[k]です。ソースNATとは送信元のIPも変換することができる機能です。
表2の(iii)みるとLBでソースNATを行わない場合は送信元がPCの「200.a.b.c」ですが、LBでソースNATを行った場合は送信元がLBのIPアドレスへ変換されます。
図4のとおりLBのIPアドレスは「192.168.1.4」になりますので、[k]には「192.168.1.4」が入ります。
(1) 下線③についてどの機器を示すことになるかを図3中の機器名で答えよ。また、下線③の特別なIPアドレスは何と呼ばれるかを答えよ
答: 機器名:LB 特別なIPアドレス:仮想IPアドレス
図3の構成では「LB」(負荷分散装置)を設置しています。
ECサイト宛ての通信はこの「LB」が状況に応じて既設ECサーバ、増設ECサーバ1、増設ECサーバ2の3つのサーバへ振り分ける役割を持ちます。
また、15ページに”導入するLBには負荷分散用のIPアドレスである仮想IPアドレスで受信したパケットをECサーバで振り分ける”とあるように、外部からECサイトへの通信先はLBの仮想IPアドレス(特別なIPアドレス)にする必要があります
よって図2の項番5と項番11のDNSのゾーン情報のecsvに紐づくAレコードはLBの特別なIPアドレスは「仮想IPアドレス」になります。
(2) 下線④について、ホスト名のほかに変更する情報を答えよ
答: IPアドレス
まず1つめに変更する情報であるホスト名についてです。
既設ECサーバは図1より構成変更前のホスト名はescvとなっていますが、構成変更後の図4のDNSの設定で既設ECサーバのレコードはecsv1とAレコードで定義していますのでecsv→ecsv1へ変更する必要があります。
次に2つめに変更する情報は「IPアドレス」になります。既設ECサーバは表1より、構成変更前のIPアドレスが192.168.1.2となっていますが、構成変更後の図4のDNSの設定で既設ECサーバのレコードは192.168.1.5とAレコードで定義していますので「IPアドレス」を192.168.1.2→192.168.1.5へ変更します。
(3) 下線⑤について、どの機器からどの機器のIPアドレスに変更するのかを図3中の機器名で答えよ
答: FWzのIPアドレスからLBのIPアドレスにする
デフォルトゲートウェイとは、最初にパケットを転送する玄関口となるネットワーク機器が該当します。
図1の変更前の構成では既設ECサーバで最初にパケットを転送する先はFWzになりますのでFWzがデフォルトゲートウェイはFWzになります。
構成変更後の図3では「LB」(負荷分散装置)を設置し、ECサイト宛ての通信はこの「LB」が状況に応じて既設ECサーバ、増設ECサーバ1、増設ECサーバ2の3つのサーバへ振り分ける役割を持ちます。
また、ECサーバが送信元となる通信もLBがまず最初に受信しますので、デフォルトゲートウェイはLBのIPアドレスに変える必要があります。
よって解答は「FWzのIPアドレスからLBのIPアドレスにする」になります。
(4) 下線⑥について、X-Forwarded-Forフィールドを追加する目的を答えよ
答: ECサーバにアクセス元のIPアドレスを通知するため
15ページの中段の文章にてLBでは、ソースNATという送信元IPアドレスをLB自身のIPアドレスへ変換する機能がありますが、この機能を利用した場合、ECサーバと外部のPCがLBを経由して通信を行う場合に、送信元となるIPアドレスが全てLBのIPアドレスとなってしまい実際にどのサーバからの通信かを把握することができません。
そこでX-Forwarded-Forフィールドを追加します。
X-Forwarded-Forフィールドとは、HTTPヘッダフィールドの1つで、HTTPヘッダの中に受信した送信元のIPアドレスを設定することが可能なフィールドです。
これにより、LBのソースNAT機能で送信元IPアドレスがLBのIPアドレスに変換された場合にも、どのECサーバのIPアドレスからの通信かを把握することが可能になります。よって解答は「ECサーバにアクセス元のIPアドレスを通知するため」となります。
(5) 下線⑦に対応するための作業内容を答えよ
答: 既設ECサーバにインストールされているサーバ証明書と秘密鍵のペアをLBに移す
下線⑦の文に記載されている増設したECサーバにはサーバ証明書をインストールせず既設ECサーバ内のサーバ証明書の流用で対応する方法について考えます。
13ページの上段で”ECサーバに登録されているサーバ証明書は一つ”とあるように、ECサイトのドメインであるecsv.example.jpとコモン名が一致するサーバ証明書と秘密鍵のペアが既設ECサーバに登録されていることが分かります。
また15ページの図5で図3の構成に変更後はecsv.example.jpのアクセスはLBが中継を行うため、LBに既設ECサーバ内のサーバ証明書と非陸奥鍵のペアを取り出してインストールすれば、LBでサーバ証明書による認証を行うことができるため2台の増設ECサーバへの証明書のインストールが不要となります。
よって解答は「既設ECサーバにインストールされているサーバ証明書と秘密鍵のペアをLBに移す」となります。
(1) 下線⑧についてセッション維持ができなくなる理由を答えよ
答: TCPコネクションが再設定されるたびにポート番号が変わる可能性があるから
下線⑧の文中にある、”IPアドレスとポート番号の組合せでアクセス元を識別する場合は、TCPコネクションが切断されると再接続時にセッション維持ができなくなる問題”について考えます。
TCPコネクションの再接続時にアクセス元のIPアドレスは基本的に変わりません(例外はあります)が、送信元のポート番号は任意の番号で毎回ランダムに変わります。
これをランダムポートと呼び、アクセス元はポート番号1024以降のポート番号でTCPコネクション接続ごとにランダムな番号でアクセスします。
なお、ポート番号1023番以下のポート番号はウェルノウンポートと呼ばれる意味を持つ固定のポート番号になります。
宛先のポート番号についてはECサーバへHTTPS通信をするため443番となりウェルノウンポートになります。
よって解答は「TCPコネクションが再設定されるたびにポート番号が変わる可能性があるから」になります。
(2) 下線⑨についてLBがセッション管理テーブルに新たにレコードを追加するのはどのようなときか
答: サーバからの応答に含まれるCookie中のセッションIDがセッション管理テーブルに存在しない場合
セッションIDとは、アクセス元の利用者を一意に識別するためのIDのことです。
セッションIDはECサーバ(Webサーバ)へのアクセス時にECサーバによって払い出されCookieヘッダに格納され、定められた決まりによって一定期間維持します。
セッション管理テーブルでは、払い出されたセッションIDと振り分け先のサーバを紐付けたレコード情報で構成すると下線⑨の文中にあり、LBはこのテーブルを保持します。
ECサーバへアクセスがあったときにLBは、サーバからの応答に含まれるCookie内のセッションIDを取得し、セッション管理テーブルにセッションIDと一致するレコード情報があるなら紐付いているECサーバへ通信先の振り分けを行い、Cookie中のセッションIDがセッション管理テーブルに存在しない場合はLBがセッション管理テーブルに新たにレコードを追加して、セッションIDと振り分け先のECサーバを登録します。
よって解答は「サーバからの応答に含まれるCookie中のセッションIDがセッション管理テーブルに存在しない場合」となります。
(3) 下線➉についてレイヤー3およびレイヤー4方式では適切な監視が行われない。その理由を答えよ
答: サービスが稼働しているかどうか検査しないから
LBが持つヘルスチェック機能とは、サーバの稼働状態をチェックする機能で、レイヤー3方式、レイヤー4方式、レイヤー7方式の3つの方式があります。
レイヤー3方式…Ping(ICMP echo request)を送信し、応答(ICMP echo reply)があればサーバが稼動していると判断する。
レイヤー4方式…ECサーバ(Webサーバ)のTCPポート(またはUDPポート)にTCPコネクション確立要求を行い、3wayハンドシェイクが確立できれば、サーバが稼動していると判断する。
レイヤー7方式…ECサーバ(Webサーバ)にHTTPリクエストを送信し、HTTPレスポンスで正常な応答があればサーバが稼動していると判断する。
レイヤー3方式、レイヤー4方式では、サーバがダウンしていないことは確認できますが、それだけではECサイトのサービス自体の稼動状況までの判断はできず不十分な監視となります。
よって解答は「サービスが稼働しているかどうか検査しないから」となります。
(1) 下線⑪についてログイン要求を受信したECサーバがリダイレクト応答を行うために必要な情報を購買担当者の認証・認可の情報を提供するIdPが会員企業によって異なることに着目して答えよ
答: アクセス元の購買担当者が所属している会員企業の情報
問題文にあるとおり、会員企業ごとにY社のECサーバへアクセスするために必要な購買担当者の認証・認可の情報が異なります。
そのためログインURLについても会員企業ごとに異なっており、「アクセス元の購買担当者が所属している会員企業の情報」に応じて処理する必要があります。
図7の(ii)で、Y社のECサーバ(SP:サービスプロバイダ)は、IdPへ要求するSAML RequestをPCに送信しますが、このときに「アクセス元の購買担当者が所属している会員企業の情報」の内容に応じてリダイレクト先URLを生成します。
よって解答は「アクセス元の購買担当者が所属している会員企業の情報」となります。
(2) 下線⑫について図7の手順の処理を行うためにECサーバに登録すべき情報を答えよ
答: IdPの公開鍵証明書
IdPからY社のECサーバ(SP:サービスプロバイダ)への SAML応答は、なりすましや改ざんができないように、IdPの秘密鍵で暗号化しています。
これを受け取るECサーバ側では、暗号化されたSAMLを復号するため、対応する「IdPの公開鍵証明書」が必要となります。
そのためECサーバには「IdPの公開鍵証明書」を登録する必要があります。
(3) 下線⑬について取り出したSTをPCは改ざんすることができない理由を答えよ
答: IdPの鍵を所有していないから
ST(Service Ticket)は実際にECサーバへアクセスするときに利用されるチケットのことですが、20ページの(vi)の説明で ”TGTを基に、購買担当者の身元情報やセッション鍵が含まれたSTを発行し、IdPの鍵でSTを暗号化する”とあります。
つまり、STはIdPの秘密鍵で暗号化されてPCへ送られるため、PCがSTを取り出しても「IdPの鍵を所有していない」ので復号できず内容の変更はできません。
よって解答は「IdPの鍵を所有していないから」になります
(3) 下線⑭について受信したSAMLアサーションに対して検証できる内容を二つ挙げ、答えよ
答: ・信頼関係のあるIdPが生成したしたものであること
・SAMLアサーションが改ざんされていないこと
21ページの(viii)に記載のとおり ”IdPは、STの内容を基に購買担当者を検証し、デジタル署名付きのSAMLアサーションを含むSAML応答を作成 ”とあるように、SAML Responseに含まれるSAMLアサーションはIdPの秘密鍵により生成したデジタル署名が付与されています。
これを受け取ったY社のECサーバ(SP:サービスプロバイダ)はIdPの公開鍵で復号します。
このときに復号ができれば、公開鍵に紐付く秘密鍵で暗号化されたことになり、「信頼関係のあるIdPが生成したしたものであること」が確認できます。
また、検証できる内容の2つめとして、復号して取り出したハッシュ値と受信したデータから算出したハッシュ値を比較し、ハッシュ値が完全に一致すれば「SAMLアサーションの内容が改ざんされていないこと」の確認ができます。
よってデジタル署名の検証に成功により検証できる内容は「信頼関係のあるIdPが生成したしたものであること」と「SAMLアサーションが改ざんされていないこと」になります。
※問2のケルベロス認証の仕組みは令和4年春の情報処理安全確保支援士の午後Ⅱの問2の解説でも説明しておりますので過去問をみながら参考してください