【過去問解説】ネットワークスペシャリスト令和5年午後Ⅱ問2

令和5年春期ネットワークスペシャリスト（NW）試験の午後Ⅱ問2の解説をしていきます。
解答はIPAが公表している解答を引用しています。
解説には間違いが含まれる可能性があるため、その際は指摘していただけると幸いです。

設問1

a

解答：NS

空欄aのレコードには「ns.example.jp.」「ns.y-sha.example.lan.」というようにネームサーバ（DNSサーバ）が記載されているため、「NS」が入ります。
NSは、Name Serverの略です。

b

解答：MX

同様に、空欄bのレコードには「mail.example.cjp.」「mail.y-sha.example.lan.」というようにメールサーバが記載されているため、「MX」が入ります。
MXは、Mail Exchangerの略です。

c

解答：100.α.β.1

「会員企業の事務用品購入の担当者は、Webブラウザでhttps://ecsv.example.jp/を指定してECサーバにアクセスする。」とあるため、図2の項番1～6はインターネット経由の社外アクセス用のものであることが分かります。
そのため、表1からDNSのポート番号53と同じ行に記載されているグローバルIPアドレスの”100.α.β.1”が入ることが分かります。

d

解答：100.α.β.2

空欄cと同様に、表1から電子メールのプロトコルであるSMTPのポート番号25と同じ行記載されているグローバルIPアドレスの”100.α.β.3”が入ります。

e

解答：192.168.1.1

「運用担当者は、運用PCのWebブラウザでhttps://ecsv.y-sha.example.lan/を指定して、広域イーサ網経由でECサーバにアクセスする。」とあるため、図2の項番7～12は広域イーサ網経由の社内アクセス用のものであることが分かります。
そのため、表1からDNSのポート番号53と同じ行に記載されているプライベートIPアドレスの”192.168.1.1”が入ることが分かります。

f

解答：192.168.1.3

空欄eと同様に、表1から電子メールのプロトコルであるSMTPのポート番号25と同じ行に記載されているプライベートIPアドレスの”192.168.1.3”が入ることが分かります。

設問2

(1)

解答：コモン名とURLのドメインとが異なるから

「ECサーバに登録されているサーバ証明書は一つであり、マルチドメインに対応していない」という記述からECサーバのサーバ証明書で対応しているドメインは、”example.jp”のみであることが推測できます。
そのため、”https://ecsv.y-sha.example.lan/”でアクセスすると、サーバ証明書のコモン名とURLのドメインが異なることになり、エラーが表示されます。

(2)

解答：L3SW, FWz, L2SW

運用PCからECサーバまでに経由する機器はL3SW、FWz、L2SＷになります。
個人的にはFQDNでアクセスしているため、名前解決のためにDNSサーバも経由するんじゃないかと思ったのですが、そうではないみたいです。（有識者の方教えていただけますと幸いです。）

設問3

(1)

解答：g）アップ
　　　h）アウト

サーバの増強策には、サーバのスペックを上げるスケールアップとサーバの台数を増やすスケールアウトがあります。
「ECサイトを停止せずにECサーバの増強を行える」のは、スケールアウトです。
そのため、空欄gに「アップ」、空欄hに「アウト」は入ります。

(2)

解答：1台故障時にも、ECサイトの応答速度の低下を発生させないため

2台に増やしても1台故障すれば、現状と変わらない状態になってしまいます。
3台に増やすことで、1台故障しても残りの2台で負荷分散するため、応答速度を維持できます。

(3)

解答：i）100.α.β.2
　　　j）192.168.1.2
　　　k）192.168.1.4

(ⅰ)の通信の宛先IPアドレスは既設ECサーバのグローバルIPアドレスです。
そのため、空欄iには表1から”100.α.β.2″が入ることが分かります。

(ⅱ)では、宛先IPアドレスはFWzによってNAT変換されるため、空欄jには表1の変換後IPアドレスである”192.168.1.2″が入ります。

LBでソースNATを行う場合、空欄kには、LBのIPアドレスが入ります。
LBのIPアドレスは、図4から”192.168.1.4”であることが分かります。

設問4

(1)

解答：どの機器）LB
　　　IPアドレスの呼称）仮想IPアドレス

「LBを利用して」とあるため、複数のECサーバをLBでロードバランシングする構成になります。よって、機器はLBです。
また、ここでいう特別なIPアドレスとは、LBが持つ仮想IPアドレスになります。

(2)

解答：（自身の）IPアドレス

既設ECサーバではホスト名をecsvからecsv1へ、IPアドレスを”192.168.1.2″から”192.168.1.5″へ変更する必要があります。

(3)

解答：FWz から LB に変更

FWzとの間にLBが挟まることになるため、FWzからLBへ変更する必要があります。

(4)

解答：ECサーバに、アクセス元PCのIPアドレスを通知するため

LBを経由した通信では、通常ECサーバはLBのIPアドレスを受け取ります。
しかし、X-Forwarded-Forフィールドを追加することで、アクセス元のIPアドレスをECサーバまで知らせる事ができるようになります。

(5)

解答：既設ECサーバにインストールされているサーバ証明書と秘密鍵のペアを、LBに移す。

LBによって冗長化された構成では、必ずしも既設ECサーバに通信が振られるわけではなくなります。
その代わり、必ずLBを経由するようになるため、既設ECサーバに設定されていたサーバ証明書と秘密鍵のペアをLBに移してあげれば良いということになります。

設問5

(1)

解答：TCPコネクションが再設定されるたびに、ポート番号が変わる可能性があるから

クライアント側のポート番号は、セッション確立時に自動的に振られるため、変わってしまう可能性があります。

(2)

解答：サーバからの応答に含まれるCookie中のセッションIDが、セッション管理テーブルに存在しない場合

LBは、セッションIDがセッション管理テーブルに存在する場合、対応する振り分け先のサーバに転送します。
対して、セッションIDが存在しない場合は、セッション管理テーブルに新しいレコードを作成してセッションIDと振り分け先のサーバを保持します。

(3)

解答：サービスが稼働しているかどうか検査しないから

レイヤー3及びレイヤー4のレベルでは、サーバが稼働していることは検知できても、サービスが稼働していることまでは検知することができません。
この手の問題は非常によく問われているため、この考え方は頭に入れておきましょう。

設問6

(1)

解答：アクセス元の購買担当者が所属している会員企業の情報

リダイレクト先のIdPを特定するためには、アクセス元の企業を特定する情報が必要になります。

(2)

解答：IdPの公開鍵証明書

ECサーバがIdPのデジタル署名を検証するためには、IdPの公開鍵証明書が必要になります。
公開鍵暗号方式の仕組みを理解していれば解ける問題です。

(3)

解答：IdPの鍵を所有していないから

PCはIdPの公開鍵を所有していないため、STを復号化することができません。

(4)

解答：①）信頼関係のあるIdPが生成したものであること
　　　②）SAMLアサーションが改ざんされていないこと

公開鍵暗号方式によって検証できるのは、真正性と完全性です。
真正性とは通信の相手が正しいこと、完全性とは通信の内容が改ざんされていないことを指します。
これを今回のケースに当てはめた内容が記述できていれば正解になります。