ネットワークの障害分析と対策【基本情報技術者試験 平成30年度 秋期 午後 問4（ネットワーク）】

基本情報技術者試験 平成30年度 秋期 午後 問4（ネットワーク）

問4　ネットワークの障害分析と対策に関する次の記述を読んで、設問に答えよ。

　G社は、ソフトウェア開発会社である。G社のネットワーク構成を図1に示す。

（1）図1中の各セグメントには、図に記された機器を含む複数の機器が配置されており、各機器はセグメントごとに用意されたスイッチにLANケーブルで接続されている。

（2）社員は、事務作業を事務セグメント内のPCを使用して行い、ソフトウェア開発作業を開発プロジェクトごとに設けられた開発セグメント内のPCを使用して行う。現在、開発セグメントは、開発セグメント1から開発セグメント10まである。

（3）事務セグメント内のPCは、リモードデスクトップ（手元のPCをクライアントとして、他のPCをGUIで遠隔操作する技術であり、操作される側がサーバになる）のクライアント機能（以下、リモートデスクトップ機能という）又はSSHを用いて、開発セグメント内のPCを遠隔操作できる。

（4）開発セグメント内のPCは、事務セグメント内のファイルサーバにアクセスできる。

（5）事務セグメント内のPCからインターネット上に公開されたWebサイトを閲覧する際には、DMZセグメント内のプロキシサーバを経由する。

（6）ルータBは、内蔵のパケットフィルタ型のファイアウォール機能によってセグメント間の通信の可否を制御しており、上記（3）〜（5）に必要な通信だけを許可している。ルータBのファイアウォール機能は、送信元ネットワークから、宛先ネットワークの指定したポート番号への通信の可否を制御するものであって、許可した通信の応答パケットの通過も許可する。

【障害の発生】

　ある日、”事務セグメント内のPC B-1から、リモートデスクトップ機能を用いて、開発セグメント1内のPC 1-1を遠隔操作しようとしたが、接続できなかった”と報告があったので、障害箇所を特定するために原因の切分けを行った。

　初めに、事務セグメント内のPC B-2から、PC 1-1にリモートデスクトップ機能を用いて接続を試みたが、失敗した。

　次に、PC B-1からSSHを用いてログインした開発セグメント1内のPC 1-2でpingコマンドを実行し、PC 1-1から応答が返ってくることを確認した。

　これらのことから、障害の原因として（a：PC 1-1のソフトウェア）や（b：設定を含むルータBのソフトウェア）の不具合が考えられたので、これらに不具合があるかどうかを調査して、原因を特定した。

a、bに関する解答群

ア　PC 1-1のLANポート　イ　PC 1-1のソフトウェア　ウ　スイッチ1

エ　スイッチB　オ　設定を含むルータBのソフトウェア　カ　ルータBのLANポート

a：PC 1-1のソフトウェア、b：設定を含むルータBのソフトウェア

解答群をそれぞれ確認していきます。

• ア　PC 1-1のLANポート：PC 1-2からのping応答が返ってくるので正常です。
• イ　PC 1-1のソフトウェア：ping応答が返ってくるのでネットワーク層より上位層での不具合の可能性があり、それにはソフトウェアが含まれますので正解です。
• ウ　スイッチ1：SSHやpingが成功しているため正常です。
• エ　スイッチB：SSHが成功しているため正常です。
• オ　設定を含むルータBのソフトウェア：SSHでの接続は成功しているのにリモートデスクトップでの接続は失敗していることから、ネットワーク層より上位層での不具合の可能性があり、それには設定、ソフトウェアが含まれますので正解です。（設定については、変更作業を行っていなければ考えにくいです）
• カ　ルータBのLANポート：SSHでの接続は成功するので正常です。

【セグメントの追加】

　新しい開発プロジェクトの立上げに伴い、開発セグメント11をネットワークに追加した。開発セグメント11は、開発セグメント1〜10と同様にスイッチ11でルータBと接続する。ルータBのファイアウォールに追加した設定を表1に示す。ところが、表1の設定には誤りがあり、開発セグメント11に接続されたPCに関して、（c：当該PCから事務セグメント内のファイルサーバにアクセスできない）ことが分かった。

　事務セグメントと開発セグメント11のネットワークアドレスは、表2のとおりである。

cに関する解答群

ア　事務セグメント内のPCからSSHを用いて当該PCを遠隔操作できない

イ　事務セグメント内のPCからリモートデスクトップ機能を用いて当該PCを遠隔操作できない

ウ　当該PCから事務セグメント内のファイルサーバにアクセスできない　

c：当該PCから事務セグメント内のファイルサーバにアクセスできない

事務セグメントと開発セグメント間の通信要件については、本文に「事務セグメント内のPCは、リモートデスクトップ機能又はSSHを用いて、開発セグメント内のPCを遠隔操作できる。」「開発セグメント内のPCは、事務セグメント内のファイルサーバにアクセスできる。」とあります。

これを表1のファイアウォールの設定と照合するには、ポート番号（サービス）を参考にするのは早そうです。

すると、1行目のファイルサーバへのアクセスに関するルールで、事務セグメントから開発セグメント11への通信を許可するようになっており、方向が逆であることが分かります。

したがって、この設定では開発セグメント11から事務セグメント内のファイルサーバにアクセスできないことになります。

【障害発生の予防】

　現在のネットワーク構成では、社内のセグメント間の全ての通信がルータBを経由するので、ルータBの過負荷によって社内ネットワークに障害が発生することが懸念される。そこで、ルータCを増設することによって負荷を分散させることとし、増設後の構成として構成案1と構成案2の二つを検討した。

　構成案1及び構成案2における、ルータとスイッチの接続形態を図2に示す。

　構成案1では、セグメントごとにルータBかルータCのどちらかのルータを使用するように設定することによって、負荷を分散させる。このとき、ルータの冗長化技術を用いて、一方のルータに障害が発生したときは、もう一方のルータが使用されるように構成する。

　構成案2では、ルータBとルータCの役割を分けることによって、負荷を分散させる。ルータCに、事務セグメントと開発セグメントの間の通信を中継する役割をもたせる。

　G社では（d：可用性を高められる）ことや（e：ルータBとルータCの負荷に大きな差が生じないように調整できる）ことを重視して、構成案1を採用することにした。

d、eに関する解答群

ア　可用性を高められる

イ　機密性を高められる

ウ　障害発生時に原因を特定しやすい

エ　セグメント間で通信する際に経由する機器が少なくなる

オ　ルータB、Cとスイッチ間をつなぐLANケーブルの本数が少なくて済む

カ　ルータBとルータCの負荷に大きな差が生じないように調整できる

【出典：基本情報技術者試験 平成30年度 秋期 午後 問4（一部、加工あり）】

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2018h30_2/2018h30a_fe_pm_qs.pdf

d：可用性を高められる、e：ルータBとルータCの負荷に大きな差が生じないように調整できる

解答群をそれぞれ確認していきます。

• ア　可用性を高められる：構成案1では「ルータの冗長化技術を用いて、一方のルータに障害が発生したときは、もう一方のルータが使用される」とあるように可用性を高めることができます。
• イ　機密性を高めらる：機密性とは情報セキュリティの概念の一つで、正当な権限をもつ者だけが当該情報にアクセスできる状態のことです。構成案1、2での差がある記述は見当たりません。
• ウ　障害発生時に原因を特定しやすい：冗長構成がないこと構成案2の方が、障害の原因を特定しやすくなります。
• エ　セグメント間で通信する際に経由する機器が少なくなる：事務セグメントと開発セグメント間の通信については、構成案1、2とも機器数は同じです。ただしDMZセグメントへの通信は、構成案1の方が少なくなります。（対象のセグメントにより変わるので、間違いやすい選択肢かもしれません）
• オ　ルータB、Cとスイッチ間をつなぐLANケーブルの本数が少なくて済む：構成案2の方が少なくなります。
• カ　ルータBとルータCの負荷に大きな差が生じないように調整できる：構成案1は、「セグメントごとにルータBかルータCのどちらかのルータを使用するように設定することによって、負荷を分散させる」とあるように、負荷の調整が可能です。