【AP午後R04春NW】応用情報技術者R04春ネットワークの解説

応用情報技術者試験R04春は、通信経路の特化した問題でした。

一問目は簡単なように見えて、プロキシ使用時のパケットヘッダへの深い理解が必要でした。「知らず知らずに失点」しますが、他の問題は普通なので大丈夫です。

面白かったのはIPsecルータの使い方。

そもそも営業所と本社間の暗号通信のためでしたが、FWの負荷軽減のためにインターネットへのアクセスにも使うようにしています。

「こんな使い方もできるんだな」と初めて知りつつ「今後の問題で困ったらテとして書いてみよう」と学びになりました。

IT技術者さんでなければ、機器の詳しい使い方・応用は知らなくて当たり前。だからこそ、模範解答や問題から実践例を吸収するのが有効になります。

今回は、AP-PM-NWシリーズの一区切り。

40枚以上の図解＋補強解説もして、今までにない品質で書いてみました。少しでも理解の手助けになれば嬉しいいです。

このNoteは、私がIT専門学校でしてきた授業がベース。

一緒に読んで解いていきます。解くためのコツや学ぶべき追加知識も書いています。

書籍や解説サイトでの学習で、「短い解説で良く分からなかった」「正解だけでなく、どう解いていくかも知りたい」方のために書きました。

情報安全確保支援士（セキュスペ）まで見通した「本質的な正解力をゲットしたい」方は、私や担当してきた学生さんの仲間。ぜひぜひ読んでください。

なお、私は応用情報技術者試験の午後は88点、情報安全確保支援士の午後2を97点で合格しています。ITパスポートからずっと独学。スキル4高度資格は、SC, NW, DB, ESを取得。

血の通った解説を、魂込めて伝えます。

それでは、始めましょう！

過去問を一度解いてから読んでくださいね。
＞＞公式の問題pdfへのリンク＜＜
＞＞公式の解答pdfへのリンク＜＜

• ＞応用情報技術者試験の無料Note集（20以上～）

• ＞応用情報技術者試験R05秋の感想戦Note

---

選択するか考える

問題文と設問文を見て選ぶか考えます。

まずは問題文。

• 最初の問題を解くまでに読む量が少ないか

• ネットワーク図を一目見て理解できそうか

• 穴埋めや下線がどれくらいあるか

読む量を見積もる際は、図と表は抜いて考えます。

今回はわりと絶望。

穴埋めaが3頁目前半、図1と2を差し引いても1.5頁。図1のネットワークは複雑に見えますし、図2には見慣れない図が。

しかし。少し見るとそう複雑ではありません。

ネットワークは営業所は本社にIPsec通信、NPCも同じかな。プロキシ経由でQ社SaaS使うのかなと予測。図2もただの経路図。なんとかいけそう。

次は設問を見ます。

• 選択肢問題が多いか（完全解答は少ない方が良い）

• 記述で問われていることは（設定や理由など）

機器名を答える問題がほとんど。作文が1問あります（設問3-1）。仕組みさえ理解が正しければ得点はできそうです。

結論。私は解きますね。私は「セキュリティ・ネットワーク・データベースはなるべく解こう」と決めて対策してきたので。

図1を少し詳しく見て理解もできましたから。

• 営業所から本社にIPsecを使った暗号通信でアクセス

• 社内DNSサーバとDMZプロキシを経由してインターネット

• Q社のサービスを利用してる

• 外出先NPC（ノートPC）でもIPsecを使って本社にアクセスかなぁ

図1がさっぱり分からない方は、解かない勇気を持っても良いかもしれません。ただしデータベースを解くか解かないかに依ります。「両方を解かない」だとさすがに得点源がキビシイですから。

---

設問1 | 

全て、図1や2の用語をそのまま使います。実質、選択肢問題でした。

---

事前読み：

残念ながら今回は違いましたが、

「問題文を穴埋めまで頑張って読んで設問文を見たら、穴埋めより前に解けるのがあった。。。」なんて経験ないですか？

よって、1つめの設問文はチェックした方が良いです。この工夫は、文章が長くなる高度資格ほど有効になってきますよ。

問題文を読む目的を設定するために、設問文を読みます。

• (1)：パケットの送信先/送信元IPアドレスの件。ゴール/スタートそのままのことが多いので、素直に解けそう。

• (2)：外出先NPCから外部のWebサーバにアクセスする経路。IPsecで本社に暗号接続して、本社DMZのプロキシ経由じゃないかなぁと。

• (3)：FWのフィルタリングルール。オーソドックス。必要な通信を丁寧に把握すれば正解できそう。

---

読み：24ページ～

1パラグラフを見つつ、図1で機器の配置を確認します。

• A：本社と営業所をVPN（IPsec）接続。良いですね。

• B：情報共有ISサーバ。社内LANにあるのでOK。

• C：メールは外部のMシステムを使う。悪くないです。

• D：NPCからISサーバ・MシステムへはHTTPS暗号通信。良いですね。（経路は不明ですが）

特にISサーバは社内LANにありますが、HTTPS暗号通信で社内盗聴の対策にもなるので強固で良いです。

図1を見ます。

• DNSサーバを内部/外部に分けてるの良い。

• 社内LANからインターネットへはプロキシ経由だろう。

• 営業所から本社にVPNした後、プロキシ経由だろう。

• 外出先NPCからはどんなアクセスなんだろう。VPN（IPsec）接続なんだろうか。

ネットワーク構成は予想の範囲内に収まります。

24頁後半。【P社のネットワーク機器の設定内容と動作】。

• 外部DNSにわざわざ「キャッシュサーバ機能」と書いてます。ポイズニングされるということでしょうか。怪しいなとマーキング。

• プロキシサーバにわざわざ「利用者認証・URLフィルタリング・ログ」と書いてます。解答で使うかもなのでマーキング。

• ISサーバには社内NPCのみ。外出先NPCはどうなのか不明。

• 外出先NPCもプロキシ経由でインターネットへ。プロキシまでの経路が不明。

図2。不明点が明らかになって欲しいですね。

外出先NPC→ルータ→FW→プロキシです。

• 外出先NPCからの通信プロトコルは何なのか

• FWはインターネットからプロキシへのアクセスにどう許可を出しているのか

• プロキシは外出先NPCを利用者認証しているのか（24頁後半、利用者認証が書かれてたのでたぶんOK）。

以上の疑問。1と2点目はまだ解決しません。

図２の時点で、（あ）に到達したので設問1(1)は解けますが、穴埋めa～cも次なので続けます。

26頁の表1。オーソドックスなFWルールでした。穴埋めa, b, cに到達したので、解きに入ります。

---

解き：設問1(1) | 

正解は「送信先はプロキシサーバ、送信元は営業所NPC」。

ヘッダは荷物でいう伝票。伝票では、送り主と宛先の氏名・住所、全4個が記載されますよね。

データ通信も似てます。送信元と送信先（宛先）のIPアドレス・MACアドレス・ポート番号、全6個が記載されています。

送信元/送信先のMACアドレスはバシバシ変わります。「前の機器」と「次の機器」が記載されるので。

送信元/送信先IPアドレスは、あまり変わりません。特に送信先IPアドレスが変わるのは極稀です。送信先IPアドレスは通信のゴールなので、変わるとゴールが分からなくなりますからね。

さて、送信先IPアドレスはゴールなので「Mサービス」かなと思うのですが、少し難しい問題です。

プロキシサーバを経由したインターネットアクセスの場合は、ちょっと違います。

1. 送信先IPアドレスはプロキシサーバで送る

2. プロキシサーバが改めてパケットを作り、Mサービスへ送る（送信元IP：プロキシ、送信先：Mサービス）

なお、NPCのゴール（MサービスのIPアドレス）は、プロキシへ送ったデータの内に記述されています。

送信先（宛先）IPアドレスが変わる珍しい例でした。不正解もやむなしです。

---

補強 | 通信経路での送信元と送信先の変化

送信元/送信先IPアドレス、MACアドレスを少し補強しますね。

通信パケットは、ネットワーク機器をバケツリレーします。

MACアドレスはバケツリレーの度にちょこちょこ変わります。IPアドレスは伝票の送り主と宛先（ゴール）なので、早々変わりません。

送信先IPアドレスが変わると、最終的に届けたい場所が分からなくなりますからね。

送信元IPアドレスが変わることはあります。

代表的なのは、プライベートIPアドレスとグローバルIPアドレスの変換が行われる場合。つまり、社内からインターネットへのアクセスです。

インターネットでの通信ではグローバルIPアドレス（申請が必要）を使います。ここではFWのIPアドレスとします。

送信元IPアドレスをグローバルIPアドレス（FW）に替えて、送信します。

しかしこのままだと、Webサーバからの返事を受けた時に、FWは「どのPCかな？」と分かりません。

そこで、送信元ポートも変えます。ここでは「ポート番号B」しますね。