LANのネットワーク構成変更に関する次の記述を読んで,設問1〜4に答えよ。
K社は,従業員約200名の自動車部品製造会社である。主に国内自動車メーカから注文を受けて,駆動系部品の開発・設計・製造を行っている。K社の事務所は,工場敷地内の3階建ての事務棟に置かれており,各フロアで企画部,開発製造部,営業部及び総務部の,事務所勤務を行う社員約100名が業務を行っている。
事務棟にはK社LANが敷設されており,社員は一人1台のデスクトップPC(以下,DPCという)を使って各自の業務を行っている。現在のK社LANは,サーバを接続するサーバLAN,DPCを接続するPCLAN,及びDMZの三つのサブネットワークで構成されている。無線LANは未導入で,DPCは有線LANで接続している。各部署の業務で扱っている重要情報と,それを管理するサーバを表1に示す。また,現在のK社ネットワーク構成を図1に示す。
| 部署名 | 重要情報名 | サーバ名 |
| 企画部 | 経営情報 | 経営管理サーバ |
| 開発製造部 | 設計情報 | 設計管理サーバ |
| 営業部 | 顧客情報 | 顧客管理サーバ |
| 総務部 | 社員情報 | 社員管理サーバー |
図1 現在のK社ネットワーク構成
PC LANとサーバLANはL3SW及びL2SWで接続されており,各DPCから全てのサーバにアクセスすることができる。各サーバ内の情報には,社員IDとパスワードで認証を行い,許可された社員だけがアクセスできる。
K社では,サーバの認証情報の設定ミスによって,総務部の一部の社員が顧客情報を入手して閲覧できる状態になっていたというインシデントが発生した。K社では同種のインシデントへの対策として,セキュリティの強化を行うことになった。まず,PCLANを部署ごとに異なるサブネットワークに分割し,サブネットワークごとに接続可能なサーバを定め,それ以外のサーバへのアクセスを遮断することにした。また,ランサムウェアなどの新たな脅威に対応できるウイルス対策ソフトを全てのDPCに導入することにした。サーバLAN上にウイルス対策ソフトの更新サーバを導入し,全てのDPCから定期的にアクセスして,ウイルス定義ファイルを最新の状態にすることにした。更新サーバのIPアドレスは192.168.101.21とした。
ネットワーク構成の変更を担当することになった総務部のLさんは,各フロアに設置されているL2SWを利用して,既設のPCLANを部署ごとに異なるサブネットワークに分割し,各サブネットワークにVLANを割り当てることを考えた。分割後のK社ネットワーク構成案を図2に,L3SWのアクセスコントロールリストを表2に示す。
図2 サブネットワーク分割後のK社ネットワーク構成案
| 項番 | 送信元IPアドレス | 宛先IPアドレス | 処理 |
| 1 | 192.168.64.0/24 | (省略) | 許可 |
| 2 | 192.168.65.0/24 | a | 許可 |
| 3 | 192.168.66.0/24 | (省略) | 許可 |
| 4 | 192.168.67.0/24 | (省略) | 許可 |
| 5 | 192.168.64.0/ b | 192.168.101.21 | 許可 |
| 6 | ANY | ANY | 遮断 |
注記1 サブネットマスク長を指定しないIPアドレスはホストIPアドレス(サーバやDPCに付与するIPアドレス)を示す。
注記2 ANYは対象が全てのIPアドレスであることを示す。
注記3 L3SWのダイナミックパケットフィルタリング機能によって,戻りパケットは通過できるものとする。
注記4 アクセスコントロールリストは,項番の小さい順に参照され,最初に該当したルールが適用される。
Lさんが検討したセキュリティ強化のための対策案を総務部内で説明したところ,表3に示す課題が指摘された。Lさんは,各課題に対して対策を検討した。
| 項番 | 課題 |
| 1 | 既設のPCLANはカテゴリ5のUTPケーブルを使って配線されており,DPCとは100BASE-TXで接続している。ネットワークの速度が遅く業務に支障が出ているので,改善してほしいと各部署から要望があがっている。 |
| 2 | フロア間の管路に余裕がなく,既設のケーブルを撤去しないとフロア間に新しいケーブルを配線できない。 |
| 3 | 近い将来,無線LANを導入し,DPCをノートPCに置き換えることを検討したい。各フロアに無線LANアクセスポイント(以下,無線APという)を設置する準備をしておきたい。 |
| 4 | 部署ごとの人員増減に伴って,近い将来部署を配置するフロアが変更となる可能性がある。その際にもケーブルの配線変更を最小限にしたい。 |
〔物理配線の検討〕
表3の項番1,項番2の課題に対応して,既設のPCLAN用のケーブルを撤去し,新たなケーブルを配線することにした。フロア内のL2SWからDPCまでの配線は,①1000BASE-T方式に対応したUTPケーブルとした。また,1階のサーバルームに設置したL3SWから各フロアのL2SWまでは,②最大10Gビット/秒で通信可能な光ファイバケーブルとした。
表3の項番3の課題に対して,事務棟の各フロアで無線APの設置に適した場所の調査を行った。その結果,電源の確保が困難な設置場所が判明した。また,事務棟が東西方向に約50mと細長く,部屋を仕切る壁が厚いことや金属製の扉が多いことも確認した。
そこで,各フロアに設置するL2SWを今後リプレースする場合には,UTPケーブルで無線APに電力供給が可能な c 機能を備える機器を導入することにした。また,③導入予定の無線APと各DPCの設置位置での電波強度の調査を行うこ とにした。
表3の項番4の課題に対して,一つのフロアに複数部署が混在したり,部署がフロア内やフロア間で移動する可能性を考慮して,ネットワークスイッチのポート単位にVLANを設定するポートベースVLANではなく,一つのポートに複数のVLANを同時に設定できる d VLANの機能を備えるネットワークスイッチを導入することにした。
現状の部署の配置を前提とした,ネットワークスイッチのフロア配置を図3に示す。図2のネットワーク構成を図3のネットワークスイッチで構成した場合の,各ネットワークスイッチのVLAN構成の案を表4に示す。
Lさんの検討案は総務部内で承認され,具体的な実施計画を策定することになった。
図3 現状の部署の配置を前提としたネットワークスイッチのフロア配置
| ネットワークスイッチ | ポートID | 設定するVLAN ID |
| L3SW | P1 | VLAN66 |
| P2 | VLAN65 | |
| P3 | e | |
| L2SW-1 | P11 | VLAN66 |
| P12 | VLAN66 | |
| L2SW-2 | P21 | f |
| P22 | f | |
| L2SW-3 | P31 | e |
| P32 | VLAN67 | |
| P33 | VLAN64 |
出典:令和3年度秋期 問5
設問1 表2中の a , b に入れる適切な字句を答えよ。
解答・解説
解答例
準備中
解説
設問2 〔物理配線の検討〕について,(1),(2)に答えよ。
(1)本文中の下線①に該当するUTPケーブルの規格を,解答群の中から全て選び,記号で答えよ。
解答群
- カテゴリ3
- カテゴリ5e
- カテゴリ6
- カテゴリ6a
解答・解説
解答例
準備中
解説
(2)本文中の下線②で,光ファイバケーブルを採用した理由を,UTPケーブルの伝送特性と比較して,20字以内で述べよ。
解答・解説
解答例
準備中
解説
設問3 〔無線LAN導入の検討〕について,(1),(2)に答えよ。
(1)本文中の c に入れる適切な字句を,アルファベット3字で答えよ。
解答・解説
解答例
準備中
解説
(2)本文中の下線③について,電波強度の調査を実施せずに無線APを導入した場合に,発生するおそれのある不具合を,Lさんの調査結果を踏まえて,30字以内で述べよ。
解答・解説
解答例
準備中
解説
設問4 〔VLAN構成の検討〕について,(1)〜(3)に答えよ。
(1)本文中の d に入れる適切な字句を5字以内で答えよ。
解答・解説
解答例
準備中
解説
(2)表4中の e , f に入れる適切なVLANIDを全て答えよ。
解答・解説
解答例
準備中
解説
(3)図3のフロア配置に対して,総務部が1階に移動した場合,VLAN構成に変更を加える必要がある。このうち,変更を加えるべきL3SWのポートのポートIDを全て答えよ。また,変更内容を30字以内で述べよ。
解答・解説
解答例
準備中
解説
IPA公開情報
出題趣旨
昨今,サイバーセキュリティ対策の一環として,既設 LAN をゾーン分割し,ゾーン間のアクセス制御を行う ことが普及しつつある。
本問では,既設 LAN のネットワーク構成変更を題材に,物理配線やネットワークスイッチに関する基本的な 理解,及び VLAN を用いたゾーン分割に関する理解について問う。
採点講評
問 5 では,LAN のネットワーク構成変更を題材に,物理配線やネットワークスイッチの構成,VLAN を用いたサブネットワークの分割について出題した。全体として正答率は平均的であった。 設問 1 の b は,正答率が低かった。サブネットマスク長の指定では,よく使われるクラス C(24 ビット)などの固定値だけでなく,クラスレス(CIDR)の可変値も指定可能であることを理解してほしい。また,セキュリティの観点から,アクセスコントロールリストでは最小限のアドレス範囲を指定して通信を許可することが望ましいことも理解してほしい。
設問 2 は,(1)(2)ともに正答率が低かった。LAN 高速化の需要に伴い新しい規格の策定が今後も続くと考え られるので,UTP ケーブルや光ファイバケーブルの規格については,最新の動向に常に注意を払ってほしい。 設問 4(1)は,正答率が低かった。LAN のサブネットワークへの分割を柔軟に行うために,タグ VLAN の機能や構成方法を理解してほしい。