【FE科目B対策】基本情報技術者R01秋セキュリティの解説

基本情報技術者試験の科目Bは、大きく変わって、セキュリティとアルゴリズムだけになりました。

問題は小問形式になり正直易しくなりましたが、問題は、科目Bの過去問は非公開なこと。

まずは無料公開されている昔の午後問題（現：科目B）で無料で対策を始める方が多いでしょう。

私が勤めているIT専門学校でも、資格対策授業に大きな変化はありません。まずは、午後問題を解いて力を付けます。

どうせ応用情報技術者では午後問題に直面しますから、無駄になりませんからね。

このNoteでは、授業での解説をベースに書きました。書籍の解説とは違って、一緒に読んで解いていきますし、解くためのコツや学ぶべき追加知識も書いています。

「短い解説では良く分からなかった」「正解だけでなく、どう解いていくかが知りたい」方には、特に学習効果が期待できます。

ぜひ少しでも参考にして頂ければ、嬉しいです。

過去問は自分で持っておいてくださいね。
＞＞公式の問題pdfへのリンク＜＜
＞＞公式の解答pdfへのリンク＜＜

---

長文問題を読むコツ

基本情報技術者の旧午後問題・応用情報技術者の午後問題あたりから、「文章よりも先に図を見る」を意識すると良いですよ。

以下3点あたりから、癖をつけてみてください。

• ネットワークの構成図は必ず先に見る

• 一覧表は表名・項目だけ読んで、詳細は見ない

• 最初の下線や穴埋め箇所まで読む

図で「こんな意図かな」とイメージを持って、文章を読むとすんなりです。

一覧表には多くの言葉が書いてあり、どうせ覚えきれません。また全てが解法に関わるわけでもありません。よって、問題を解く時に読めば良いです。

最初の問題を解けるところまで読むのがベスト。

私は上位資格のときは、1問目の設問文を読んで「これが問題を解くために文章を読むんだな」と目的意識を明確にします。

目的意識なしに何となく問題文を読むと、設問文を読んだ後に問題文の「読み直し」が発生して時間を浪費するだけ。問題文も設問文もなるべく読み直しを少なくしたいです。

---

読み

今回の問題では、全部読んでから解きました。

問題の構成によっては、読みと解きを交互に進めながらになりますね。

---

5ページ目 | 図でイメージして文章で確認する

5頁目は、まず図1を見た方が良いですね。

ネットワークの構成を見ると、どんな設計意図か・どんな機器が出てくるかを把握できます。頭に予想がある状態で文章を読むと、すんなり入り、読む速度も速くなります。

5頁の図→文章から読み取るのは以下。

• 事務PC・開発PCは社内LANでガッチリ守りたい

• プロキシは、社内LANとインターネットの通信間に入るのでDMZ （203.0.113.0/24）

• 開発サーバは、役割は分からないけどきっと大事なものを共有してるかな？

---

6ページ目の前半 | 5ページ目のナゾの解決

6頁前半の文章を読みます。

まずナゾだった開発サーバの用途。「ソースコード管理」から社内LANと同様に守りたいので、プロキシ（DMZ）とは別のネットワークになっていると理解します。

次に

• 開発室PCだけは、開発サーバーにアクセスする（HTTPSかSSH）

• 事務PCと開発PCは、プロキシ経由でインターネットにアクセスする

文章に書いている設定を忠実に理解します。上記2点から以下2点も分かります。

• 事務PCなどは開発サーバにアクセスできない（開発者以外だから）

• 開発サーバはインターネットアクセスできない（設計図の漏えい防止）

このあたりの設定間違いが問題に出るかもしれません。読んで理解しつつ、どんな意図があるか、どんなリスクを持っているかまで、少し想像や推測をしています。

私は、ペーパーテストのときは、文章横に印をつけるなどします。予想通り、問題に出た時に「あそこだったな」と探しに行けますから。

このテクニックは、情報安全確保支援士（セキュスペ）で特に有効です。最後の問題は、「全文を読み返すほど頭をひねる問題」ですから。

---

6ページ目の後半 | 図でイメージして文章で確認する2

6頁後半の図と文章にいきます。

• VPNの暗号化通信で、インターネットからアクセスする（どこかに）

• VDI技術によって、インターネットからアクセスする（どこかに）

慣れると「まずVPNで暗号通信路を作って、VDIにアクセスするんだろうなぁ」と分かります。

VPNは単純に暗号通信を確立するだけ。VPN通信路内にHTTPやSMTPなどのプロトコルを使って通信します。VPNだけを使うだけでは何もできません。

---

7ページ目 | 手順は図解や箇条書きにして書き出す

まだ下線や穴埋めも出てこないですし、読む分量もまだ2頁なので、読み進めます。

7頁は「手順」ですね。

紙面で解く場合は図に通信路を書きこむか、余白に通信路を書き出しましょう。基本情報技術者なら図に直接書いても大丈夫ですが、上位になるほどゴチャゴチャするので、余白に書き出しが良いですね。

1. 外部PC　→　VPNサーバ

2. 外部PCから送られるクライアント証明書を、VPNサーバが検証

3. 外部PCから送られる認証情報（ID, PWD）を、VPNサーバが確認して認証。認証すれば、IPアドレスを割り当てる

4. 外部PC　→　VPNサーバ　の接続完了。以降VPN暗号通信が行われる

5. 外部PC　→　VPNサーバ　→　VDIサーバに接続する

6. VDIサーバは利用者によって、事務VMか開発VMを立ち上げる。IPアドレスも割り当てる

7. 外部PC　→　VPNサーバ　→　VDIサーバ（事務VMか開発VM）と接続して仮想マシンを外部から操作できるようになる

ここでは、外部PC　→　VPNサーバ　→　VDIサーバ（事務VMか開発VM）が理解できるのが最優先です。問題用紙やメモ用紙に書き出しておくんです。

なお、IPアドレスの設定は覚えないでOK。後で問題を解く時に見返せば良いですから。

---

8ページ目 | 表はスキップ、解く時に見れば良い

8頁の表。「FWのルールだ」と認識すればOK。表の内容は覚えきれませんから。詳細は問題を解く時に見直します。

8頁の文章。穴埋めがあり、設問1でもあるので、問題解きに入ります。

---

解き

では解いていきましょう。

問題解説もしますが、どのように正解を見つけていくか、選択肢をどう絞るかなどの「思考の流れ」も書いています。

---

設問1 | 糸口を見つける

表1のルール番号7で、許可している通信を考えます。

IPアドレスから見ても良いですが、正直面倒なので簡単なプロトコルから見ます。

HTTPS, SSHなので、宛先が開発サーバ。宛先IPアドレス192.168.128.0/20も開発サーバのネットワークなので正しい。

よって送信元の設定が間違っている可能性があります。

プロトコルがHTTPS, SSHなのが、ルール番号7と6であるのが鍵になりそう。6の送信元は192.168.1.0/24なので、開発PCのあるネットワーク。よってルール番号6は、開発PCから開発サーバにアクセスを許可するルールと分かります。

では「ルール番号7の送信元は？」と考えます。

選択肢から見るか、今までの文章から思いつけば良いです。「開発者が外部PCから開発サーバにアクセスしたいな」と。

よって「VDI（開発VM）から開発サーバへのアクセスを許可」する必要に気づきます。

現在の送信元設定は、192.168.64.0/23。192.168.64,0～255, 192.168.65,0～255に許可を出しています。

7頁のVDI及び開発VM・事務VMを確認すると。

• 事務VM：192.168.64.0/24

• 開発VM：192.168.65.0/24

現設定では両VMが開発サーバにアクセスできます。

設問1aの正解はエ。「事務VMが開発サーバにアクセスできる」のは困るので。

次は設問1b。

許可する送信元を開発VMのみ、192.168.65.0～192.168.65.255にしたいので、192.168.65.0/24にします。

よって設問1bの正解はオ。

---

設問2 | 読み解けば、すでに解けていた

設問2の正解はオ。

7頁の手順7の時点で理解できています。外部PC→VPNサーバ→VDIサーバ（開発VM）→開発サーバ。

メモに書き出したのが、ここで効きます。私は「はいはい、さっきまとめたやつね」と一瞬で解けました。

なお、開発VMはVDIサーバ内に仮想的に作られるコンピュータですが、IPアドレスが割り当てられているので、選択肢で「VDIサーバ→開発VM」と表現されています。

---

設問3 | 選択肢から絞り込んでみる

設問3。設定変更や機能追加はよくある出題パターンです。

設問文から、

• 事務PC→VDI（事務VM）

• 開発PC→VDI（開発VM）→開発サーバ

を許可するルールが必要と分かります。

まともに考えると、

• 事務PC（192.168.0.0/24）→VDI（192.168.64.0/20）

• 開発PC（192.168.1.0/24）→VDI（192.168.64.0/20）

の2行で許可すれば良いです（正解は1行追加ですが、この2行でも間違いではありません。しっかり動きます）。

先に選択肢を見ます。むしろお薦め。ゼロから考えるのは大変なので。
（ただし、全く分からない状態で選択肢を見ると、揺さぶられるので、ある程度方針を決めてからが、個人的にはお薦め）

まず、ルール変更は必要なのでアは削除。「ルール番号3と4」はイ～エで共通してるので考えません。

送信元IPアドレスが、事務PC（192.168.0.0/24）開発PC（192.168.1.0/24）ではなく、192.168.0.0/23や192.168.64.0/23となってるので保留して、宛先を見てみます。

• イ：192.168.64.0/20は、VDIサーバがあるネットワーク。正しい。

• ウ：192.168.0.0/23は、事務PCに似てるけど「/24」じゃない

• エ：192.168.64.0/20は、VDIサーバがあるネットワーク。正しい。

ウのIPアドレスの意味は分からなくても、イかエに絞れます。

次に送信元。

• イ：192.168.0.0/23

• エ：インターネット。誤り

よって正解はイ。選択肢絞りでうまくいきました。

192.168.0.0/23は、開発PCと事務PCを指すので、1行で設定しているのがウマイですね。

---

設問3の補強 | 「ただし書き」の解釈

さて192.168.0.0/23は、開発PCと事務PCを指しています。

また、設問3の設問文最後「表1のルール番号7の送信元には、設問1で選択した適切な答えが設定されている」は、触れませんでしたが問題ありません。

設問文や問題文の「ただし」「なお」は、問題を解くヒントにはならないです。2つの意味があります。

• 書かないと問題間違いが指摘されるから

• ひっかけ問題として機能させるため

1番目は受験者から「～という考えもあるが？」って指摘を潰すために、論理補強のために書きます。「重箱の隅対策」なので、正解には関係ありません。

注意すべきは2番目のパターン。問題を解いた後に「最終確認をしないと」誤答になります。ただし、セキュリティスペシャリストレベルであればの話。

基本情報技術者・応用情報技術者「ていど」であれば、1番目の「重箱の隅対策」なので、「ただし書きを考えてないけど」と疑わなくても大丈夫です。時間も短いですからね。そんなにひねってはきません。

---

まとめ

今回の問題で習得したい「解くコツ」は、

• 図は文章より先に読む。図でイメージを持てるので文章を読む時間を短縮し、確認程度の労力で済む。

• 一覧表は題名程度は読んで、スキップ。問題を解く時に必要な個所だけ読めば良い。

• 通信経路は、余白に書き出す。図に描き込んでもOK。

• 「ただし書き」は上位資格では「引っ掛け問題」に使われるが、基本情報技術者では「重箱の隅対策」なので気にしなくて良い。

• 問題文の最初の下線・穴埋めまで読む。上位資格なら1問目の設問文を読んで、目的意識を持って問題文を読む。

192.168.0.0/23で、開発PCと事務PCを指しているのだけ、解説をしてないのが若干心残りですが。サブネットマスクの理解なので、ひとまず ＞＞IPアドレスの計算2×3パターン＜＜ と ＞＞IPアドレスの問題9個集めてみた＜＜ に替えさせてください。

（どうしてもって場合はコメント頂ければ、気が向いたらになりますが、書き加えようとは思います。別Noteにするぐらい丁寧に書かないといけませんので。）

それでは、＞＞基本情報技術者H31年春セキュリティ＜＜ でお会いしましょう。

p.s. 普段は >> 専門学校とIT就職のブログ << をやってます。

でわでわ（・ω・▼）ノシ