H28年 情報工学部門・情報ネットワーク U-1-1問題 模範解答と解説 (VXLAN規格)

問題文

 VXLAN(Virtual eXtensible Local Area Network, RFC 7348)について、規格の概要や規格化された背景と、VLAN(IEEE802.1Q)やTRILL(RFC6325)と比べた時の特徴を述べよ。

 


模範解答   簡易答案形式

1.規格の概要

 VXLANは、送信元でイーサネットフレームに8バイトの識別番号を付加し、UDP/IPでカプセル化することにより、レイヤ3ネットワークを越えたレイヤ2通信を実現させることにより、レイヤ2通信を拡張するための規格である。

2.規格化の背景

 クラウドサービスの登場に伴い、利用者がいつでも、どこでも、好きなだけサービスを利用できる柔軟性・拡張性が求められ、サーバ設備についてはサーバ仮想化技術により対応できる一方で、従来型ネットワークの制約が大きなボトルネックとなっており、新たなネットワークの規格策定によりこの制約を解消する必要があった。

3.特徴

3-1 VLAN(IEEE802.1Q)と比べた時

 VLANがグループの識別番号の数が約4000個であり、識別番号がネットワークの物理位置に紐付くことに対し、VXLANの識別番号の数は約1600万個まで対応可能で、物理位置の制約も受けないことから、VXLANはスケーラビリティが高いため大規模ネットワークに向いている。

3-2 TRILL(RFC6325)と比べた時

 TRILLはパケットの転送方式そのものを新しくしたものであり、既存の転送機器を全て対応機器に交換することが前提であるが、VXLANは従来ネットワークを仮想化するため、既存ネットワークとの共存が可能で対応機器への交換は一部で良く、結果としてコストを抑えたスモールスタートが可能である。

H28年 情報工学部門・情報ネットワーク U-1-3問題 模範解答と解説 (クラウドコンピューティングの5つの基本的な特徴)

問題文

 米国NIST(米国国立標準技術研究所)は、クラウドコンピューティングを定義し、その5つの基本的な特徴と、3つのサービスモデル、および4つの実装モデルについて述べている。このうち、5つの基本的な特徴について述べよ。

 


模範解答   簡易答案形式

1.オンデマンド・セルフサービス

利用者がサービス提供者と直接やりとりすることなく、サーバの性能や機能及びストレージの容量等を自動的に自由に配備できること。

2.幅広いネットワークアクセス

サービスの利用があらゆるアクセス方法で可能であることで、具体的にはデスクトップPC、ノートPC,スマートフォン、タブレット等である。

3.リソースの共用

CPU、メモリー、ストレージ等の物理・仮想的なリソースは複数の場所にダイナミックに割り当てられ、複数の利用者と共有される。利用者は割り当て先を一般的にはコントロールできない。

4.スピーディーな拡張性

リソースや機能を状況により自動的に割り当て変更が可能で、利用者の要求により即座にスケールアウト/スケールインができる。

5.サービスが計測可能であること

リソースや機能の利用状況がサービスの種類に最適な項目でモニタされており、利用者及び提供者に明示できる。

H28年 情報工学部門・情報ネットワーク U-2-2問題 模範解答と解説 (負荷分散装置の切り替え対策)

問題文

 負荷分散装置を2台用意して、冗長化した。2台の負荷分散装置は仮想IPアドレスと仮想MACアドレスを共有しているとする。このとき、以下の問いに答えよ。

(1)  負荷分散装置の切り替えの際の典型的な動作を説明せよ。

(2)  アクティブ側の負荷分散装置に障害が発生し、スタンドバイ側の負荷分散装置に切り替わった瞬間に、アプリケーションレベルの通信の切断が発生した。想定される通信断の原因を説明し、対応策を述べよ。なお、切り替わりに伴う時間は十分に短く、切り替え後の負荷分散装置自体は正常に動作しているものとする。

(3)  (2)で述べた通信切断の原因を除去したことにより、LAN内の通常時トラフィックが急増する現象が発生した。想定される原因を説明し、対応策を述べよ。

 


模範解答   簡易答案形式

1.切り替えの際の典型的な動作

スタンバイ機がアクティブ機からの通知パケットを監視しており、障害により一定時間届かないことを検知すると、仮想IPアドレスおよび仮想MACアドレスをスタンバイ機が引き継ぐことにより通信を継続させる。

2.通信断について

1)原因

スタンバイ機は、正常時には通信トラフィックが通過しないためセッション情報の学習ができない。この状態で障害が発生し、スタンバイ機経由へと通信が切り替わってもセッションの維持ができず、通信アプリケーションが切断されるため。

2)対応策

切り替え時のセッションを維持させるため、アクティブ機のセッション情報をスタンバイ機にリアルタイムに通知し同期させる。

3.LAN内の通常時トラフィックが急増する現象

1)原因

アクティブ機がスタンバイ機に対してリアルタイムにセッション情報を送信するため、セッション数に比例してLAN内の通常トラフィック量が増加した。

2)対応策

セッション情報の同期のためのトラフィックを、通信用ポートとは別の専用のポートを利用することとし、アクティブ機、スタンバイ機相互の専用ポートを直接接続する。

H28年 情報工学部門・情報ネットワーク U-1-1問題 模範解答と解説 (VXLAN規格)

問題文

 サイバー攻撃に関するビジネスリスクが増大している。サイバーセキュリティは多くの企業にとって経営課題の1つであり,経営幹部もサイバーセキュリティに関心を持ち積極的にそれを推進することが求められている。  A社は社員1,000名,年間売上500億円の企業である。A社の情報システム部が,図の例のようなネットワークシステムを運用している。情報システム部長を委員長とするA社の情報セキュリティ委員会があり,外部のコンサルタントが作成した情報セキュリティ診断結果を基に,サイバーセキュリティの強化を推進中である。A社のサイバーセキュリティについて,次の問いに答えよ。

(1)情報セキュリティ診断には,ネットワーク境界での防御を中心とした現行対策についての指摘があり,多層防御の必要性が述べられていた。そのことから想定される,現行対策への指摘事項と多層防御の概要を述べよ。(解答用紙1枚程度)

 なお,解答に当たっては,必要に応じ,A社の業務やネットワークシステムについて適当な仮定を置いても良い。

(2)(1)の内容から導かれる技術的対策を2つ挙げ,その実現について具体的に述べよ。  (解答用紙1枚程度)

(3)情報セキュリティ診断では,情報システム部主体でのセキュリティ対策の限界についても指摘があった。そのことを踏まえ,サイバーセキュリティに関して経営者や経営幹部が認識すべき事項を3つ挙げ,それぞれ概説せよ。(解答用紙1枚程度)

 ネットワーク


模範解答   簡易答案形式

1.情報セキュリティ診断

1)指摘事項

公開WEBサーバに対しては、改ざん防止等のアプリケーションレベルの対策が必要である。PC等に対しては、未知のマルウェアへの対策や紛失時の情報漏洩や、不正WEBサイトへのアクセス及び不正メールの受信対策が行われていない。また侵入を許した際に、早期発見や被害状況を監査できる仕組みも行われていない。

2)多層防御とは

ネットワーク境界だけではなく、サーバやPC側内部等、対策する場所を増やしたり、ふるまい検知型や自動学習型のソフトウェア等、アプローチの異なる複数の対策によってシステム全体の被害を最小限にする手法である。

2.情報セキュリティ対策

1)プロキシサーバに、URLフィルタと呼ばれる機能を追加し、不正なWEBサイトへのアクセスを抑止すると共に、不正サイトへのアクセスログを残す。

2)持ち出す可能性のあるPC・スマホ・タブレットに対し、ファイル暗号化ソフトウェアを導入し、紛失による情報漏洩やVPNを経由する社内への侵入を防ぐ。

3.経営者が認識すべき3原則

1つ目は、情報セキュリティ部に対して、最新のサイバー攻撃手法や防御手法に関する、継続的な教育が必要ということである。

2つ目は、侵入を完全に防ぐことは困難であることを認識し、多層化のための様々な対策の中から、情報システム部と共に、経営への影響度や費用を勘案し、適切な対策を選択することである。

最後は、不正WEBサイトのアクセスや不正メールの添付ファイルの取扱いについて、情報システム部と共に、経営者の立場からも従業員に注意喚起することである。