仮想デスクトップ基盤の導入に関する次の記述を読んで,設問1〜3に答えよ。
L社は,本社のほか,全国に5か所の営業所をもつ中堅の医療機器販売会社である。L社では,本社と営業所の間を広域イーサネットサービス網(以下,広域イーサ網という)で接続し,業務サーバやファイルサーバ(以下,FSという)などを運用している。現在のL社のネットワーク構成を図1に示す。
図1 現在のL社のネットワーク構成(抜粋)
L社の本社と営業所の社員による,現状のNPCの利用形態を次に示す。
・本社の社員は,サーバ室の業務サーバを利用するとともに,ルータ1経由でインターネットにアクセスする。資料の印刷はオフィスエリアのPRで行い,ファイル共有はサーバ室のFS1で行う。
・営業所の社員は,広域イーサ網経由で本社の業務サーバを利用するとともに,自営業所のルータ経由でインターネットにアクセスする。資料の印刷は自営業所のPRで行い,ファイル共有は自営業所のFS(FS2〜6)と本社のFS1の両方で行う。
・本社と営業所の営業員は,外出時に各自のNPCを携帯し,NPCに保存したファイルを使って,顧客先でプレゼンテーションや製品の説明などを行う。
L社では,営業員が外出時にNPCを持ち出すので,NPCの紛失などによる秘密情報の漏えいリスクがあり,改善策が求められていた。一方,営業員からは,外出先でもNPCを利用して社内と同じ作業を行いたいという要望が挙がっていた。また,情報システム部では,営業所のシステム運用負荷を軽減したいという課題をもっていた。そこで,L社では,仮想デスクトップ基盤(以下,VDIという)の導入を決め,VDI導入プロジェクトを立ち上げた。このプロジェクトの責任者となった情報システム部のM課長は,部下のN主任に,導入するネットワーク構成の設計を指示した。
N主任は,VDIの方式を調査してネットワーク構成を検討した。N主任が設計したVDI導入後のネットワーク構成を図2に示す。
図2 N主任が設計したVDI導入後のネットワーク構成(抜粋)
N主任が,VDI導入後のネットワーク構成と併せて検討した運用方法を次に示す。
・本社のサーバ室に,仮想PCを稼働させるVDIサーバと関連機器を導入する。
・5か所の営業所のFS2〜6を,本社のサーバ室に移設するとともに,サーバ室にDHCPサーバを導入して,全社のTC及び仮想PCにIPアドレスなどのネットワーク情報を付与する。そのほかに,営業所からのインターネットアクセスを本社経由に変更することで,営業所のシステム運用負荷を軽減する。
・VDIの導入時に,NPCの内蔵ディスクに保存されているファイルを,VDIサーバに接続するディスクシステムに移した後,NPCから消去してNPCをTC化する。
・社内からは,TCでセッション管理サーバに接続して認証を受けた後に,当該利用者向けの仮想PCが使用できる。仮想PCからTCに,画面の情報が転送される。
・外出先からは,DMZに導入するSSL-VPN装置経由で仮想PCを使用する。TCでSSL-VPN装置に接続すると,TCに保存されたクライアント証明書と,利用者ID,パスワードという異なった利用者認証方式を組み合わせた a 認証を受ける。SSL-VPN装置は, b と認証連携して,SSL-VPN装置での認証だけで仮想PCを使用できるようにする。
・TCで仮想PCに接続すると,社内と同じ作業が外出先でも行える。
次に,N主任は,VDI導入による通信トラフィックの変化について検討した。最初に,現在,全社で発生している主要な通信の種類と内容を表1にまとめた。
項番 | 種類 | 内容 |
1 | 業務サーバ利用通信 | NPCから業務サーバ利用時の通信 |
2 | FS1利用通信 | NPCとFS1の間でのファイル共有時の通信 |
3 | 営業所FS利用通信 | 営業所のNPCと営業所用のFSの間でのファイル共有時の通信 |
4 | プリント通信 | NPCからPRに印刷を行うときの通信 |
5 | インターネット利用通信 | NPCからインターネットにアクセスするときの通信 |
次に,表1に示す通信に対する通信帯域の実績値などを基に,VDI導入後に,本社の社員向けの全仮想PC(以下,本社仮想PCという)及び五つの営業所の社員向けの全仮想PC(以下,全営業所仮想PCという)で発生する通信について検討した。N主任がまとめた,VDI導入後の最も混雑した時間帯に必要な平均通信帯域の予測値を表2に示す。表2中の項番6,7は,VDI導入後に新たに発生する通信であり,項番7は,外出先のTCがSSL-VPN装置経由で仮想PCを使用したときに発生する通信である。
単位 ビット/秒 | ||||
項番 | 種類 | 内容 | 平均通信带域 | |
全営業所仮想PC | 本社仮想PC | |||
1 | 業務サーバ利用通信 | 仮想PCと業務サーバの間の通信 | 100M | 25M |
2 | FS1利用通信 | 仮想PCとFS1の間の通信 | 60M | 7.5M |
3 | 営業所FS利用通信 | 営業所の社員向けの仮想PCと営業所用のFSの間の通信 | ー | 7.5M |
4 | プリント通信 | 仮想PCからPRに印刷を行うときの通信 | 80M | 20M |
5 | インターネット利用通信 | 仮想PCからインターネットにアクセスするときの通信 | 60M | 15M |
6 | 画面転送通信(社内) | 仮想PCから本社内及び営業所内のTCへの通信 | 60M | 15M |
7 | 画面転送通信(外出先) | 仮想PCから外出先のTCへの通信 | 36M | |
注記1 各通信の最も混雑した時間帯は,同一の時刻とする。 注記2 各通信とも双方向で行われるが,平均通信帯域の欄は,通信帯域が大きい通信方向の値を示している。 |
表2の結果から,プロバイダと契約している広域イーサ網への接続回線の帯域,及び本社のインターネットへの接続回線の帯域の見直しは,不要であると判断できた。N主任は,検討結果をM課長に報告し,VDIの導入構成案が承認された。
出典:令和2年度秋期 問5
設問1 本文中の a , b に入れる適切な字句を答えよ。
解答・解説
解答例
a:2要素 又は 多要素 又は 2段階
b:セッション管理サーバ
解説
設問2 図1及び図2について,(1),(2)に答えよ。
(1)図1の構成で,本社のNPC及び営業所1のNPCそれぞれに設定されているデフォルトゲートウェイの機器を,それぞれ図1中の名称で答えよ。
解答・解説
解答例
本社のNPC:L3SW1
営業所1のNPC:L3SW2
解説
(2)図2の構成で,営業所1内のTC向けにDHCPリレーエージェントを稼働させる機器を,図2中の名称で答えよ。また,DHCPリレーエージェントが必要になる理由を,40字以内で述べよ。
解答・解説
解答例
機器名:L3SW2
理由:DHCPサーバは,営業所1のTCと異なったセグメントに設置されるから
解説
設問3 〔通信トラフィックの変化内容の検討〕について,(1),(2)に答えよ。
(1)VDI導入後に,広域イーサ網を経由しなくなる通信の種類を表1中の項番で,新たに広域イーサ網を経由する通信の種類を表2中の項番で,それぞれ全て答えよ。また,VDI導入後の,図2中のL3SW1から広域イーサ網に向けた通信について,最も混雑した時間帯の平均通信帯域を,Mビット/秒で答えよ。
解答・解説
解答例
経由しなくなる通信:1,2
新たに経由する通信:4,6
平均通信帯域:35 [Mビット/秒]
解説
(2)表2中の項番5及び7の通信は,本社のルータ1を経由して行われるが,項番7の通信の平均通信帯域(36Mビット/秒)は,項番5の通信の平均通信帯域(75Mビット/秒)に含まれない。その理由を30字以内で述べよ。
解答・解説
解答例
インターネット利用通信と逆方向のトラフィックだから
解説
IPA公開情報
出題趣旨
仮想デスクトップ基盤(以下,VDI という)を導入することによって,利便性を損なわずに,情報流出などのセキュリティリスクを低減できる。しかし,既設 LAN に VDI を導入する場合は,通信トラフィックが大きく変わることに留意する必要がある。
本問では,VDI 導入によって発生する通信トラフィックの変化を題材に,TCP/IP 通信の基本技術の理解を問う。
採点講評
問 5 では,仮想デスクトップ基盤(以下,VDI という)の導入を題材に,VDI の導入によって発生するトラ フィックの変化内容について出題した。全体として正答率は平均的であった。
設問 2(1)は,正答率が平均的であった。NPC に設定されるデフォルトゲートウェイは,NPC が他のセグメン ト宛てにパケットを送信するとき,パケットの送信先となる機器であることを理解しておけば正答が導けたは ずである。(2)は,“機器名”の正答率がやや低かった。DHCP リレーエージェントは,DHCP のブロードキャ ストフレームを受信する機器(本問の場合は L3SW2)で稼働させることを理解しておいてほしい。
設問 3(1)については,VDI 導入前の NPC とサーバとの間の通信は,VDI 導入後は仮想 PC とサーバとの間の 通信に置き換わることを理解してほしかった。(2)は,正答率が低かった。項番 5 のインターネット利用通信 は,インターネットから仮想 PC へのトラフィックであるのに対し,項番 7 の画面転送通信は,仮想 PC からイ ンターネット上の TC へのトラフィックであり,トラフィックが逆向きであることを導き出してほしかった。