応用情報技術者 2014年 春期 午後 問05

解答の論理構成

1. 制作一課の PC が所属するサブネット
   • 【問題文】に「制作一課の PCは 192.168.1.0/24」とあるので、ネットワークアドレスは 192.168.1.0、サブネットマスクは 255.255.255.0 です。
2. DHCP で割り当てるレンジ
   • 【問題文】に「各 PCには L3SW の DHCPサーバ機能によって、192.168.n.64～192.168.n.254 の IP アドレスを割り当てる」とあります。制作一課の場合、n = 1 なのでレンジは 192.168.1.64～192.168.1.254 です。
3. 割り当て可能なアドレス数を計算
   • 端点を含めて計算します。
   • 数式：$254-64+1=191$
4. よって、制作一課の PC に DHCP から割り当て可能な IP アドレスの総数は 191 となります。

誤りやすいポイント

• 192.168.1.0/24 の全アドレスを数えてしまい、254 と誤答する。DHCP で使う範囲は【問題文】が指定する「64～254」に限られます。
• 端点を含め忘れて $254-64=190$ としてしまう。両端を含むときは $+1$ が必要です。
• ブロードキャストアドレス 192.168.1.255 を含めて計算し、192 と誤答する。レンジ外なので含めません。

FAQ

解答の論理構成

1. 目的の読み取り
   【問題文】には、保護対策の柱として
   「・各課に配置された PCから FS へのアクセスについては、所属する課の FS だけにアクセスできるように制限する。」
   と明記されています。
2. 技術的な実装確認
   同じ段落で「既存のL2SWを有効に活用しながら、新たにレイヤ3スイッチ（以下、L3SWという）を導入することによって、M社のネットワークを複数のサブネットに分割する。」とし、表1のフィルタリングルールでは
   ・制作一課 (192.168.1.0/24) ⇔ 192.168.0.11
   ・制作二課 (192.168.2.0/24) ⇔ 192.168.0.12
   ・制作三課 (192.168.3.0/24) ⇔ 192.168.0.13
   の通信だけを TCPポート445 で許可しています。
3. 効果の整理
   よって新ネットワークでは「別の課のPCがFS上のファイルにアクセス」するパケットはサブネット／ポートで遮断されます。
4. 解答群との照合
   ア：社員限定は 802.1X の話でこの小問の対象外
   イ：マルウェア対策は言及なし
   ウ：暗号化は設計されていない
   エ：「別の課のPCがFS上のファイルにアクセスすることを防ぐ」──上記対策と一致

誤りやすいポイント

• 802.1X に気を取られて「ア」を選ぶケース
  → 802.1X は後段の“保護対策の強化”で登場。小問はあくまでサブネット分割とフィルタリングの効果を問うています。
• 「ファイルを社外に持ち出されても暗号化」というキーワードで「ウ」を選ぶケース
  → 暗号化の導入は本文にありません。
• マルウェア感染＝自動的に FS 防御と短絡し「イ」を選ぶケース
  → CIFS 越しの編集なので PC には残りませんが、感染した PC からの改ざん・削除は依然可能です。
• 表1のルールを読み飛ばし、どの課の PC も全 FS にアクセスできると誤認するケース

FAQ

解答の論理構成

• 【問題文】の表1には、すでに制作一課用FSと制作三課用FSへのルールが記載されています。
  例) 「192.168.1.0/24 → 192.168.0.11」, 「192.168.3.0/24 → 192.168.0.13」。
  したがって、制作二課用FSの宛先 IP はこの間を埋める「制作二課用FS　192.168.0.12」であると分かり、a＝「192.168.0.12」になります。
• 図2の alt テキストには「e2 → 広域イーサネット回線 → 192.168.10.31 → N社のBS」とあり、BS へ接続しているインタフェースは e2 であると特定できます。よって b＝「e2」です。
• 「各課の FS から N 社の BS へのファイル転送には、セキュアシェルの SCP〔Secure Copy〕コマンド〔TCP ポート 22 を使用〕を利用する。」と明記されています。
  ① FS から BS へのパケットは L3SW から見て外向きに出て行くため c＝「OUT」。
  ② 送信元ポートは OS が動的に選ぶので d＝「ANY」、宛先ポートは固定の「22」、したがって e＝「22」。
• BS から FS への戻り通信は上記の逆向きトラフィックです。よって f＝「IN」。
  以上より、空欄は
  a：192.168.0.12／b：e2／c：OUT／d：ANY／e：22／f：IN となります。

誤りやすいポイント

• 送信元ポートと宛先ポートを逆に書く
  SCP は「宛先ポート 22」が固定、送信元は動的 (ANY) です。
• IN/OUT の方向判定ミス
  ルータや L3SW のポート方向は「パケットがインタフェースを出るか入るか」で決まることを忘れがちです。
• インタフェースの勘違い
  e1 は FW への接続、e2 は BS への接続という図2の紐付けを取り違えると全体がずれてしまいます。

FAQ

解答の論理構成

1. 問題文では、既存ネットワークに「IEEE 802.1X」に対応した「L3SW 及び L2SW」を導入し、PC側に「クライアント証明書」を入れると記述されています。
   引用：
   「そこで、L3SW 及び L2SW に IEEE 802.1X 対応機種を選定し、PCにクライアント証明書を導入することによって、不正な PCの社内 LAN への接続を拒否することにした。」
2. IEEE 802.1X は「サプリカント（PC）」「オーセンティケータ（スイッチ）」「オーセンティケーションサーバ」の三者で動作します。スイッチだけでは認可判定ができず、利用者認証を実施するサーバが必須です。
3. スイッチを「オーセンティケータ」にするためには、ユーザ情報（ID／証明書）を照合する「認証サーバ」（RADIUS など）をネットワークに追加する必要があります。
4. したがって、下線①「図2のネットワーク構成に必要な構成要素を追加した」で求められる名称は「認証サーバ」となります。

誤りやすいポイント

• IEEE 802.1X 対応スイッチだけで認証が完結すると勘違いし、追加要素を見落とす。
• クライアント証明書というキーワードから証明書発行装置（CA）を連想し、回答を「証明書サーバ」などと誤記する。
• 「認証装置」「RADIUS」など曖昧・英略語で書き、正式名称とみなされず減点される。

FAQ

解答の論理構成

1. 転送対象となるデータ量の確認
   表2によれば、毎日のバックアップが必要な最大量は
   ・「10 Gバイト」(制作一課用FS)
   ・「5 Gバイト」(制作二課用FS)
   ・「15 Gバイト」(制作三課用FS)
   合計で「30 Gバイト」となります。
2. バイトをビットへ換算
   問題文には「1Gバイトは1,000Mバイトとする」とあります。
   30 Gバイト ＝ 30 × 1,000 Mバイト ＝ 30,000 Mバイト
   1 バイトは8 ビットなので
   30,000 Mバイト × 8 ＝ 240,000 Mビット
3. 転送時間による必要帯域の算出
   バッチ処理は「90分以内」に終了させたいので
   90 分 ＝ 90 × 60 ＝ 5,400 秒
   理想的に必要な帯域は
   $$\frac{240,000\text{Mビット}}{5,400\text{秒}}=44.44\text{Mビット/秒}$$
4. 転送効率を考慮
   「転送効率は80％とする」ため、実際に確保すべき帯域は
   $$\frac{44.44}{0.80}=55.55\text{Mビット/秒}$$
5. 解答群との照合
   55.55 Mビット/秒を満たす最小の選択肢は
   「ウ：60Mビット／秒」
   したがって答えはウとなります。

誤りやすいポイント

• 3台のFSのバックアップ量を合計せず、最大の「15 Gバイト」だけで計算してしまう。
• バイトとビットの換算を忘れて 8 倍せずに計算し、帯域を過小評価する。
• 「転送効率は80％」を掛けるのではなく割ってしまい、逆に小さい値を出してしまう。
• 90分を1.5時間に直してから秒へ再変換する際に60×ではなく100×をして誤差を出す。

FAQ