こんにちは、こじろうです。
この記事では、N/Wスペシャリスト平成30年午後Ⅰ問1に挑戦していきたいと思います。
別記事のネットワークエンジニアのススメでも紹介しましたが、文系SEからするとシステムエンジニアよりもネットワークエンジニアになった方が良いキャリアを気づかる可能性があります。
僕自身も、プログラマ➡システムエンジニア➡ITコンサルタントとキャリアチェンジしてきましたが、所々、ネットワークエンジニアとして活動し、成果を出すことに成功してきました。
文系SEのみなさまにも是非、ネットワークの知識を蓄えて頂きたく、IPAが主催しているネットワークエンジニアの資格試験について、僕なりの解答方法と、IPAが公表している模範解答を紹介していきたいと思います。
【この記事でわかること】
- N/Wスペシャリストの問題を解く上で持つべき考え方
- 平成30年午後Ⅰ問1における各設問の考え方
- 1 設問を解き始める前の前提
- 2 問題文を読みながら僕が考えていった内容
- 3 プロキシには[空欄ア]プロキシと[空欄イ]プロキシがある…
- 4 下線部①プロキシサーバにおいて認証を行う
- 5 下線部➁アクセス先のホスト名は記録されていたが、URLは記録されていなかった…
- 6 社内PCに[空欄ウ]をインストール…
- 7 通信装置を集中制御する[空欄エ]プレーンから構成されており…
- 8 下線部③G社SaaSのIPアドレスが変更された場合でもその都度L3SWを設定しなくても済むように、L3SWの静的経路情報を設定変更する。
- 9 自動的にツールから[空欄オ]に指示に従い
- 10 下線部④プロキシ自動設定ファイルを作成する…
- 11 下線部⑤プロキシサーバからではなく、G社SaaSのAPIにアクセスして取得することにした…
- 12 ネットワークの勉強をして良かったなーと思うこと
設問を解き始める前の前提
詳細は以下の記事を読んで頂きたいのですが、過去問に挑戦する前に頭に入れておいて欲しいことが2つあります。参考:【文系SE】ネットワークスペシャリストー解答時のフレームワークー
- 問題文を読みつつ設問を推測する。(設問を読んでから考えていては間に合わない)
- 問題文を読んでいく中で「これ、聞かれるだろうな」と推測する。
それでは、いってみましょう!!😃
問題文を読みながら僕が考えていった内容
プロキシには[空欄ア]プロキシと[空欄イ]プロキシがある…
※更新中
プロキシの種類と言ったら、フォワードかリバースしかありません。
模範解答は
ア:フォワード
イ:リバース
でした。
下線部①プロキシサーバにおいて認証を行う
※更新中
設問1⑵ですが、プロキシサーバで認証を行うことによってアクセスログに付加できる情報を問われています。
プロキシサーバ以外で認証を実施するときと、プロキシサーバで認証を行うときで、扱う情報にどんな違いがあるか、比べていきたいところです。
模範解答は’利用者ID’でした。
下線部➁アクセス先のホスト名は記録されていたが、URLは記録されていなかった…
※更新中
設問2⑴ですが、HTTPSでアクセスするためのHTTPメソッド名と、このメソッドを用いる場合、社内に侵入したマルウェアによる通信(但しHTTPS以外の通信)を遮断するためのプロキシサーバの対策を求められています。
HTTP、HTTPSのメソッドは、大体GET、PUT、POSTなんですが、アクセス先のサーバとの間にプロキシサーバが設置されている場合、CONNECTメソッドにてサーバへのアクセスを実施します。
参考:CONNECTメソッド
更にこのCONNECTメソッドを用いるとき、仮に社内にマルウェアが存在し、そのマルウェアがプロキシサーバを経由して社外に出ていくのを防ぐための対策ですが、そもそもCONNECTメソッドを使う使わないに関わらず、社内にマルウェアが蔓延していたら、そのマルウェアの通信はプロキシサーバを経由して社外に出ていく可能性はあると思うんですよね…
模範解答は
メソッド名:CONNECT
プロキシサーバにおける対策:HTTPS以外のポートのCONNECTを拒否する
でした。
社内PCに[空欄ウ]をインストール…
※更新中
公開鍵認証についての知識が無いと解答は厳しいでしょう。
参考:【文系SE】ネットワーク~公開鍵/秘密鍵 ~
結局、SSL/TLSの認証において、クライアント側へ渡さなければならないのは、’サーバのルート証明書’と’サーバの公開鍵’になります。公開鍵は、ルート証明書に同梱されるので、ここでの解答はルート証明書になります。
模範解答は’プロキシサーバのルート証明書’でした。
通信装置を集中制御する[空欄エ]プレーンから構成されており…
※更新中
模範解答は’コントロール’でした。
下線部③G社SaaSのIPアドレスが変更された場合でもその都度L3SWを設定しなくても済むように、L3SWの静的経路情報を設定変更する。
※更新中
設問3⑵ですが、G社SaaSのIPアドレスが変更された場合でもL3SWの設定(ルーティングテーブル)を変更しなくても済む、L3SWの静的経路情報の設定方法を問われています。
G社SaaSへのアクセスは必ずSD-WANを経由するようできれば良いので、デフォルトゲートウェイをSD-WANにしてしまえばよく、模範解答もそうなっていますが、通常のインターネットへの通信はプロキシサーバを経由するひつようがあるため、デフォルトゲートウェイにSD-WANをしてしまうと、本来プロキシサーバを経由して暗号化するべきだったパケットが平文のままインターネットへ送出されてしまう可能性があると思われます。しかし、この点はまったく触れられていません。
模範解答は’ネクストホップがSD-WANルータとなるデフォルトルート’でした。
自動的にツールから[空欄オ]に指示に従い
※更新中
模範解答は’SD-WANコントローラ’でした。
下線部④プロキシ自動設定ファイルを作成する…
設問3⑷ですが、このファイルを用意することで除外できる通信が何か問われています。
まず、このプロキシ自動設定ファイルは何のために用意されるのでしょうか?
※更新中
模範解答は’G社へのHTTPS通信’でした。
下線部⑤プロキシサーバからではなく、G社SaaSのAPIにアクセスして取得することにした…
※更新中
設問3⑸ですが、APIを利用する理由を問われています。
APIを利用するメリット(もしくはプロキシサーバではなくG社SaaSにアクセスしてログを取得しなければならない制約etc)は何なのでしょうか?
そもそも、ここまでの問題文と設問から、G社SaaSへのアクセスは、プロキシサーバを経由しませんね。
なので、プロキシサーバにG社SaaSへのアクセスログは残されていないのです。
また、社内のPCについては上記の通りですが、出張先のPCついても、当然社内のプロキシサーバは経由しないため、これら2つが解答となります。
模範解答は
社内PCからG社SaaSへのアクセスがプロキシサーバを経由しなくなるから
出張先のPCからG社SaaSへのアクセスが記録されるから
でした。
ネットワークの勉強をして良かったなーと思うこと
ITコンサルタントとしての現場において、プロジェクト内でトラブルシューティングやシステムインフラ設計において最も頼られる存在になり、安定した案件・プロジェクトアサインが実現できるようになりました。
参考:コンサルファームでアベイラブルになったら
文系SEであっても、こういった知識があると一目置かれた存在になれますし、キャリアアップの一助になります。
実際、僕はプログラマ➡SE(ネットワークエンジニア)➡ITコンサルタントとキャリアップしてきましたが、ITコンサルタントとして活動している今も本記事の様な技術的な部分を大事にしているため、’他のコンサルタントとは差別化された人材になれているな’と感じています。
本記事は技術的な内容でしたが、キャリアに関する情報をお探しの方はこちらも是非、ご覧ください。
参考:【文系 SE】ネットワークエンジニアのすすめ
それでは、Tchau◎
こじろう