こんにちは、こじろうです。
この記事では、N/Wスペシャリスト平成28年午後Ⅰ問2に挑戦していきたいと思います。
別記事のネットワークエンジニアのススメでも紹介しましたが、文系SEからするとシステムエンジニアよりもネットワークエンジニアになった方が良いキャリアを気づかる可能性があります。
僕自身も、プログラマ➡システムエンジニア➡ITコンサルタントとキャリアチェンジしてきましたが、所々、ネットワークエンジニアとして活動し、成果を出すことに成功してきました。
文系SEのみなさまにも是非、ネットワークの知識を蓄えて頂きたく、IPAが主催しているネットワークエンジニアの資格試験について、僕なりの解答方法と、IPAが公表している模範解答を紹介していきたいと思います。
【この記事でわかること】
- N/Wスペシャリストの問題を解く上で持つべき考え方
- 平成28年午後Ⅰ問2における各設問の考え方
- 1 設問を解き始める前の前提
- 2 問題文を読みながら僕が考えていった内容
- 3 下線部①SSIDを隠ぺいするステルス機能…
- 4 下線部➁ステルス機能とMACアドレスフィルタリング機能を用いたセキュリティ対策だけでは不十分…
- 5 無線LANの暗号化アルゴリズムとして[空欄ア]が初めて採用…
- 6 Wi-Fiルータに同じパスフレーズを設定する[空欄イ]認証を用いる…
- 7 下線部③このプライベートIPアドレスは他のネットワークと重複しないように設計
- 8 通信事業者が契約者を識別できる情報が記載されている[空欄ウ]が挿入されている…
- 9 ゲートウェイの指定を意味する、[空欄エ]の情報を設定する…
- 10 モバイルWi-Fiルータでは[空欄オ]によるIPアドレスとポート番号の変換処理が行われる
- 11 下線部④営業員が、これらを紛失した際には、直ちにモバイルネットワーク管理者に報告するという運用ルールを策定する…
- 12 下線部⑤VPN接続で許可する通信を必要最小限に設定する…
- 13 下線部⑥プロキシサーバのログから各営業所を特定できるようにする
- 14 プロキシサーバはタブレット端末からの[空欄カ]要求によって…
- 15 下線部⑦HTTPSの場合は、HTTPと比較して取得できるログの内容が求められる内容が限られるが…
- 16 ネットワークの勉強をして良かったなーと思うこと
設問を解き始める前の前提
詳細は以下の記事を読んで頂きたいのですが、過去問に挑戦する前に頭に入れておいて欲しいことが2つあります。参考:【文系SE】ネットワークスペシャリストー解答時のフレームワークー
- 問題文を読みつつ設問を推測する。(設問を読んでから考えていては間に合わない)
- 問題文を読んでいく中で「これ、聞かれるだろうな」と推測する。
それでは、いってみましょう!!😃
問題文を読みながら僕が考えていった内容
下線部①SSIDを隠ぺいするステルス機能…
設問2⑴ですが、無線LANにおけるステルス機能の具体的な内容を問われています。本機能ついての知識が無いと解答は厳しいでしょう。
参考:無線LAN通信の概要
模範解答は’定期的に送信するビーコン信号を停止する’でした。
下線部➁ステルス機能とMACアドレスフィルタリング機能を用いたセキュリティ対策だけでは不十分…
設問2⑵ですが、上記で不十分とされている理由は、SSIDやMACアドレスは容易に取得されてしまうからなのですが、その理由を問われています。
セキュリティ対策とはつまり、盗聴⇒盗難⇒不正侵入・攻撃⇒改ざん・コンピュータウィルスの投入…というステップを、攻撃者に踏ませない、と理解できます。
あるべき姿は、盗聴から防いでしまうことですが、これはつまり、MACアドレスが盗聴されてなりすましされてしまったら、MACアドレスフィルタリングでのセキュリティ対策は破られてしまうよ、という話になります。
つまるところ、MACアドレスが暗号化できなというのが、根本的な課題という話になります。
模範解答は’SSIDやMACアドレスは暗号化できず、傍受されるから’でした。
無線LANの暗号化アルゴリズムとして[空欄ア]が初めて採用…
設問1ですが、暗号化アルゴリズムの変遷についての知識がないと解答は厳しいと思われます。
参考:https://tech.broadmedia.co.jp/blog/wifi/security-protocols/
参考:https://security.nekotricolor.com/entry/difference-in-wireless-lan-protocol-wep-wpa-wpa2-tkip-ccmp-aes
模範解答は’AES’でした。
Wi-Fiルータに同じパスフレーズを設定する[空欄イ]認証を用いる…
設問1ですが、無線通信における暗号化や認証の知識が無いと解答は厳しいと思われます。
模範解答は’事前共有鍵’でした。
下線部③このプライベートIPアドレスは他のネットワークと重複しないように設計
設問2⑶ですが、IPアドレスが重複してはいけないセグメントを求められています。
P.8 4行目に、”販売管理サーバ、プロキシサーバ及び内部DNSサーバには、プライベートIPアドレスを割り当てる”とあるため、これらとの重複が懸念されます。
模範解答は’E’でした。
通信事業者が契約者を識別できる情報が記載されている[空欄ウ]が挿入されている…
※更新中
設問1ですが、
模範解答は’SIMカード’でした。
ゲートウェイの指定を意味する、[空欄エ]の情報を設定する…
設問1ですが、無線lANにおいて、端末が外部へのアクセスを試みる際に最初に通信する先(Access Point)になります。
当初、デフォルトゲートウェイと書いてしまいました。。
参考:
模範解答は’APN’でした。
モバイルWi-Fiルータでは[空欄オ]によるIPアドレスとポート番号の変換処理が行われる
設問1ですが、IPアドレスとポート番号の変換と言ったら、これしかありませんね。
模範解答は’NAPT’でした。
下線部④営業員が、これらを紛失した際には、直ちにモバイルネットワーク管理者に報告するという運用ルールを策定する…
設問3⑴ですが、セキュリティ運用についての知識を問われています。
状況・インシデントが起きた端末・範囲を特定出来たら、まずは隔離・当該アカウント・端末を停止するのが重要です。
模範解答は’VPN接続の利用者IDを停止する’でした。
下線部⑤VPN接続で許可する通信を必要最小限に設定する…
※更新中
設問3⑵ですが、許可するとしている通信を、図1の字句で記載するよう求められています。
正直、”販売管理サーバにもVPNでアクセスできないと仕事できなくない?”って思うんですが、模範解答はちょっと違うんですよね…
→後日、P.7最終行に”タブレット端末から販売管理サーバ及びインターネット上の端末への通信は、VPN接続を通じて、プロキシサーバから行う”という記載を見つけ、”だからVPNからの直接の通信先として販売管理サーバは外れたのか”と気が付きました。。
模範解答は’プロキシサーバと内部DNSサーバへの通信’でした。
下線部⑥プロキシサーバのログから各営業所を特定できるようにする
※更新中
設問4⑴ですが、上記を実現するためにプロキシサーバに必要な機能名と、営業員を特定するために必要な設定内容を問われています。
機能名、模範解答見て、”そのままかよ!”と思いましたが、これを素直に書けるか書けないかで合否が別れるのでしょう。。
設定内容は、ユーザIDと営業員の一覧リストと当初回答して居りました。部分点は貰えるかな。
模範解答は
機能名:プロキシ認証
設定内容:営業員ごとに利用者IDを登録する
でした。
プロキシサーバはタブレット端末からの[空欄カ]要求によって…
※更新中
設問1ですが、HTTPSの接続シーケンスを理解していないと回答は難しいでしょう。
参考:
模範解答は’CONNECT’でした。
下線部⑦HTTPSの場合は、HTTPと比較して取得できるログの内容が求められる内容が限られるが…
設問4⑵ですが、HTTPSのRequest URIから取得できるログは、HTTPの同ログより平文として確認できる情報量が少ないが、本問で想定する運用の実現に必要且つ、取得な可能な情報は何かを問われています。
参考:
模範解答は
接続先ホスト名
接続先ポート番号
でした。
ネットワークの勉強をして良かったなーと思うこと
ITコンサルタントとしての現場において、プロジェクト内でトラブルシューティングやシステムインフラ設計において最も頼られる存在になり、安定した案件・プロジェクトアサインが実現できるようになりました。
参考:コンサルファームでアベイラブルになったら
文系SEであっても、こういった知識があると一目置かれた存在になれますし、キャリアアップの一助になります。
実際、僕はプログラマ➡SE(ネットワークエンジニア)➡ITコンサルタントとキャリアップしてきましたが、ITコンサルタントとして活動している今も本記事の様な技術的な部分を大事にしているため、’他のコンサルタントとは差別化された人材になれているな’と感じています。
本記事は技術的な内容でしたが、キャリアに関する情報をお探しの方はこちらも是非、ご覧ください。
参考:【文系 SE】ネットワークエンジニアのすすめ
それでは、Tchau◎
こじろう