応用情報技術者 2018年 春期 午後 問05
Webシステムの構成変更に関する次の記述を読んで、設問1〜3に答えよ。
A社は、従業員が300名の情報機器卸売会社であり、250社の販売会社と販売代理店契約を結んでいる。A社では、DMZに設置したWebサーバで代理店向けの Webサイトを運営している。Webサイトでは、商品情報の閲覧、見積書作成、問合せ対応などを行う代理店支援システムを稼働させている。インターネット接続には、ISP の B社のサービスを利用している。A社の現在のネットワーク構成を図1に示す。
Webサイトは開設から3年が経過し、アクセス数が初年度の5倍に増加した。Webサイトの利用拡大に伴い、システム停止が商品販売に大きな影響を及ぼすようになった。そこで、A社では、Webシステムの処理能力、可用性及びセキュリティを高める目的で、Webシステムの構成変更を行うことを決めた。
情報システム部の M 課長は、まず、Webシステムの処理能力と可用性の向上策の立案を、部下の N主任に指示した。
〔Webシステムの処理能力と可用性の向上策の検討〕
N主任は、Webサーバ及び DNSサーバそれぞれの処理能力と可用性を向上させる冗長化構成を検討した。
Webサーバの冗長化には、Webサーバを2台構成にし、DNSの機能である DNSa によって負荷分散する方式があるが、可用性向上策としては十分でない。そこで、負荷分散装置を利用してWebサーバを冗長化することにした。負荷分散装置自体は、アクティブ/スタンバイ方式で冗長化する。
A社のドメイン(example.co.jp)の情報(以下、ゾーン情報という)を管理するDNSサーバの冗長化は、B社が提供するDNSサービスを利用して実現する。A社のDNSサーバ(ns.example.co.jp)をマスタDNSサーバとし、B社のDNSサーバ(以下、B社DNSサーバという)(ns-asha.example1.ne.jp)をスレーブDNSサーバにする場合、A社又はB社が実施する作業を次に示す。
・A社のドメインを管理するDNSサーバとして、B社DNSサーバのFQDNと b を、JPドメイン名の登録管理事業者に登録申請する。
・A社のDNSサーバのゾーン情報にNSレコードを追加して、スレーブDNSサーバのFQDNを設定する。
・ゾーン情報の設定・変更作業を一度で済ませるために、A社のDNSサーバのゾーン情報を、c DNSサーバへ転送させるのに必要な情報を設定する。
〔Webシステム変更後の構成〕
N主任が考えた、Webシステム変更後の構成を図2に、そのときの、マスタDNSサーバのゾーン情報の内容を図3に示す。
N主任が検討結果をM課長に報告したときの、2人の会話の一部を次に示す。
N主任:Webシステムを図2の構成に変更します。Webシステム変更後のマスタDNSサーバのゾーン情報の内容は、図3のとおりになります。図3の設定によって、Webサイトの利用者は、使用中のURLを変更せずに済みます。
M課長:分かった。この構成なら処理能力と可用性を高めることができそうだろう。ところで、Webシステムのセキュリティを高めるために、WAF(WebApplication Firewall)の導入も必要ではないかと考えているが、当社の体制ではWAFの運用は難しそうなので困っている。良い方法はないだろうか。
N主任:クラウド型WAFサービスが利用できるか調べてみます。
〔クラウド型WAFサービスの利用〕
N主任の調査の結果、B社が提供するクラウド型WAFサービスが利用可能なことが分かった。その際の利用者のWebサイトへのアクセス手順は、次のとおりになる。
・A社のWebサイトの利用者は、始めにWAFサービスのFQDNであるwaf-asha.example1.ne.jpにアクセスする。
・WAFサービスで通信パケットが検査される。
・パケットに問題がないとき、そのパケットがA社のWebサイトに転送される。
B社のWAFサービスを利用する場合、次の対応も必要になる。
・利用者にWAFサービスの存在を意識させることなくWAFサービスを利用するために、①図3の中の4行目の後に、Webサイトのホスト名w3の別名を定義するレコードを追加する。さらに、WAFサービスが、検査後のパケットをA社のWebサイトに転送できるようにするために、②図3中の転送先を示す資源レコードを変更する。
・③ WAFサービスを経由せず、直接Webサイトにアクセスされるのを防止するためのアクセス制御を、A社のFWに設定する。
N主任が調査結果をM課長に報告したときの、2人の会話の一部を次に示す。
N主任:B社のWAFサービスを利用すれば、運用の問題は発生しません。図3の変更、図4の追加設定などによって、WAFサービスが利用できます。
M課長:それは良いな。それでは、N主任の検討結果を基に、Webシステムの構成変更を行うことにしよう。
設問1:
本文中のa~cに入れる適切な字句を答えよ。
模範解答
a:ラウンドロビン
b:IPアドレス
c:スレーブ
解説
解答の論理構成
-
[a] を決める
- 問題文には「DNSの機能である DNSa によって負荷分散する方式」とあります。DNSが持つ代表的な負荷分散機能は複数の A レコードを順番に返す“ラウンドロビン方式”です。したがって
⇒ [a] =「ラウンドロビン」
- 問題文には「DNSの機能である DNSa によって負荷分散する方式」とあります。DNSが持つ代表的な負荷分散機能は複数の A レコードを順番に返す“ラウンドロビン方式”です。したがって
-
[b] を決める
- 「B社DNSサーバのFQDNと b を、JPドメイン名の登録管理事業者に登録申請する」と記載されています。ドメイン登録時にネームサーバを登録する際、FQDNとともに必要なのは名前解決に用いる“IPアドレス”です。
⇒ [b] =「IPアドレス」
- 「B社DNSサーバのFQDNと b を、JPドメイン名の登録管理事業者に登録申請する」と記載されています。ドメイン登録時にネームサーバを登録する際、FQDNとともに必要なのは名前解決に用いる“IPアドレス”です。
-
[c] を決める
- 「A社のDNSサーバのゾーン情報を、c DNSサーバへ転送させる」とあります。マスタからゾーン転送を受け取る側は“スレーブDNSサーバ”です。
⇒ [c] =「スレーブ」
- 「A社のDNSサーバのゾーン情報を、c DNSサーバへ転送させる」とあります。マスタからゾーン転送を受け取る側は“スレーブDNSサーバ”です。
-
以上より解答は
- a:ラウンドロビン
- b:IPアドレス
- c:スレーブ
誤りやすいポイント
- DNSa を「フェイルオーバー」などと誤解するケースが多いですが、問題文は“負荷分散”なのでラウンドロビンを選びます。
- [b] を「ホスト名」としてしまうミス。登録管理事業者はすでに FQDN を把握しているため、追加情報として求められるのは IPアドレスです。
- [c] に「セカンダリ」と書くと減点される可能性があります。用語の揺れに注意し、問題文と同じ「スレーブ」を使います。
FAQ
Q: DNSラウンドロビンはロードバランサより劣るのですか?
A: 可用性は向上しますが、死活監視ができず障害サーバを返す恐れがあります。そこで本問でも「負荷分散装置を利用」し、DNSラウンドロビンだけでは不十分と判断しています。
A: 可用性は向上しますが、死活監視ができず障害サーバを返す恐れがあります。そこで本問でも「負荷分散装置を利用」し、DNSラウンドロビンだけでは不十分と判断しています。
Q: ドメイン登録時に IPアドレスを届け出る理由は?
A: ルートや TLD サーバが権威 DNS へ到達できるようにするためです。FQDN だけでは名前解決の起点が作れず、IPアドレスが必須となります。
A: ルートや TLD サーバが権威 DNS へ到達できるようにするためです。FQDN だけでは名前解決の起点が作れず、IPアドレスが必須となります。
Q: ゾーン転送設定の目的は?
A: マスタ側で 1 回レコードを登録すれば、スレーブが AXFR/IXFR で自動同期し、二重管理を防げます。今回の [c] が「スレーブ」となる所以です。
A: マスタ側で 1 回レコードを登録すれば、スレーブが AXFR/IXFR で自動同期し、二重管理を防げます。今回の [c] が「スレーブ」となる所以です。
関連キーワード: DNSラウンドロビン, ゾーン転送, IPアドレス登録, 負荷分散装置, WAF
設問2:
図3中のd~fに入れる適切なIPアドレス又はFQDNを解答群の中から選び、記号で答えよ。
解答群
ア:200.α.β.1
イ:200.α.β.2
ウ:200.α.β.3
エ:200.α.β.4
オ:example.co.jp
カ:ns-asha.example1.ne.jp
キ:ns.example.co.jp
ク:w3.example.co.jp
ケ:waf-asha.example1.ne.jp
模範解答
d:力
e:ア
f:エ
解説
解答の論理構成
-
NSレコードに設定するスレーブDNSの FQDN
【問題文】には「A社のドメインを管理するDNSサーバとして、B社DNSサーバのFQDNと b を、JPドメイン名の登録管理事業者に登録」とあり、図2で B社DNS サーバは「ns-asha.example1.ne.jp」である。よって d に入るべき owner はスレーブ DNS の 「ns-asha.example1.ne.jp」、すなわち解答群「カ」。 -
Aレコードに設定するマスタDNSサーバの IP アドレス
図2の装置一覧では「マスタDNSサーバ 200.α.β.1」と記載されている。行番号3は owner: ns、type が A であるため、ここにはマスタ DNS の IP 「200.α.β.1」 が入る。解答群「ア」。 -
Web サイト利用者がアクセスする先を変更しないための A レコード
行番号4は owner: w3、type が A。図2で「負荷分散装置 200.α.β.4」は“仮想IPアドレス”と明示されている。【問題文】にも「図3の設定によって、Webサイトの利用者は、使用中のURLを変更せずに済みます」とあり、利用者が入力する w3.example.co.jp を負荷分散装置へ向ける必要がある。したがって record_data は 「200.α.β.4」、解答群「エ」。
以上より
[d]=カ:ns-asha.example1.ne.jp
[e]=ア:200.α.β.1
[f]=エ:200.α.β.4
[d]=カ:ns-asha.example1.ne.jp
[e]=ア:200.α.β.1
[f]=エ:200.α.β.4
誤りやすいポイント
- 行番号2をオーナー example の NS レコードではなく、A レコードと勘違いして IP アドレスを入れてしまう。
- 行番号4に実サーバ(200.α.β.2 または 200.α.β.3)を記載してしまい、負荷分散装置を経由しなくなる。
- スレーブ DNS の FQDN とマスタ DNS の FQDN を取り違える。
FAQ
Q: NS レコードは IP アドレスを指定してはいけないのですか?
A: はい。NS レコードはネームサーバの “名前” を示すレコードなので、FQDN を記述します。対応する IP は別途 A(または AAAA)レコードで解決されます。
A: はい。NS レコードはネームサーバの “名前” を示すレコードなので、FQDN を記述します。対応する IP は別途 A(または AAAA)レコードで解決されます。
Q: 負荷分散装置の仮想 IP を A レコードにするのはなぜ?
A: 利用者は従来の URL「w3.example.co.jp」を入力します。DNS が返す IP を仮想 IP(200.α.β.4)にすれば、背後の Web サーバを意識せずに負荷分散が可能です。
A: 利用者は従来の URL「w3.example.co.jp」を入力します。DNS が返す IP を仮想 IP(200.α.β.4)にすれば、背後の Web サーバを意識せずに負荷分散が可能です。
Q: スレーブ DNS の A レコードが図3にないのは問題ありませんか?
A: 問題ありません。スレーブ側の名前解決は B社側の DNS ゾーンに登録されるため、A社のマスタゾーンに必ずしも記載する必要はありません。
A: 問題ありません。スレーブ側の名前解決は B社側の DNS ゾーンに登録されるため、A社のマスタゾーンに必ずしも記載する必要はありません。
関連キーワード: NSレコード, Aレコード, 負荷分散装置, 仮想IP, DNS冗長化
設問3:〔クラウド型WAFサービスの利用〕について、(1)~(3)に答えよ。
(1)本文中の下線①について、Webサイトの利用者が変更しなくてもよくなるものを、15字以内で答えよ。
模範解答
Webサイト利用時のURL
解説
解答の論理構成
- 【問題文】では、WAF を透過的に導入する手順として
「①図3の中の4行目の後に、Webサイトのホスト名 w3 の別名を定義するレコードを追加」
と指示しています。 - 追加するレコードは図4の例示
w3 IN CNAME waf-asha.example1.ne.jp.
です。CNAME は“別名”を示す資源レコードであり、利用者が入力するホスト名を変更せずに接続先だけを差し替える用途に使われます。 - 目的を N 主任自身が説明しており、
「図3の設定によって、Webサイトの利用者は、使用中のURLを変更せずに済みます。」
と明言されています。 - したがって、下線①の追加作業によって利用者は何を変えずに済むのか――答えるべき対象は「Webサイト利用時のURL」と導けます。
誤りやすいポイント
- 「ホスト名」「FQDN」「IP アドレス」を取り違える
CNAME が隠蔽するのはホスト名‐IP の対応ではなく、“見慣れたホスト名→実際に接続させたいホスト名”の置換です。 - 「ブラウザ設定」や「ブックマーク」を具体的に書いてしまう
設問は“変更しなくてもよくなるもの”の本質を問うため、具体的な利用行動ではなく URL そのものを答える必要があります。 - “ドメイン名”と書いて失点
ドメイン全体ではなく、スキーム・パスを含むアクセス文字列(URL)が問われています。
FAQ
Q: CNAME を使うと SEO が下がるのでは?
A: 本問題では企業内システムへの到達性確保が目的であり、検索エンジン評価は考慮外です。DNS 上の CNAME は転送後も同一コンテンツを返すため検索順位へ直接の悪影響はありません。
A: 本問題では企業内システムへの到達性確保が目的であり、検索エンジン評価は考慮外です。DNS 上の CNAME は転送後も同一コンテンツを返すため検索順位へ直接の悪影響はありません。
Q: A レコードを複数登録して負荷分散すれば URL も変えずに済むのでは?
A: A レコードのラウンドロビンでは WAF を経由しない通信が混在する恐れがあります。WAF を必ず通過させるには、まず CNAME で WAF の FQDN へ誘導し、FW 側で直接アクセスを遮断する方法が安全です。
A: A レコードのラウンドロビンでは WAF を経由しない通信が混在する恐れがあります。WAF を必ず通過させるには、まず CNAME で WAF の FQDN へ誘導し、FW 側で直接アクセスを遮断する方法が安全です。
Q: 既存の w3.example.co.jp へ直接アクセスし続けられる可能性は?
A: 「③ WAFサービスを経由せず、直接Webサイトにアクセスされるのを防止するためのアクセス制御を、A社のFWに設定する」と明記されているため、直接通信は FW で遮断できます。
A: 「③ WAFサービスを経由せず、直接Webサイトにアクセスされるのを防止するためのアクセス制御を、A社のFWに設定する」と明記されているため、直接通信は FW で遮断できます。
関連キーワード: DNS, CNAME, WAF, 負荷分散, アクセス制御
設問3:〔クラウド型WAFサービスの利用〕について、(1)~(3)に答えよ。
(2)本文中の下線②について、変更する行番号及び変更する必要のある資源レコードのフィールド名を、それぞれ答えよ。
模範解答
行番号:4
フィールド名:owner
解説
解答の論理構成
-
変更対象を特定
-
問題文には「②図3中の転送先を示す資源レコードを変更する」とあります。
-
図3で 転送先(実際の Web サーバ群を示す)が書かれているのは、4行目w3 IN A fつまり行番号「4」が対象です。
-
-
どのフィールドを変更するか
- 同じ問題文で「①図3の中の4行目の後に、Webサイトのホスト名 w3 の別名を定義するレコードを追加」とも指示されています。
- DNS では CNAME を追加する場合、同じ owner 名の A レコードと共存できません。よって、既存の A レコードの owner を別名に変更し、w3 という owner を CNAME 用に空ける必要があります。
- 従って、行番号「4」で変更すべきフィールドは owner です。
-
まとめ
- 行番号:4
- フィールド名:owner
誤りやすいポイント
- 「record_data を変更する」と思い込みやすい
IP アドレスを書き換えるのではなく owner 名 を変えて CNAME と衝突しないようにするのが目的です。 - 行番号の取り違え
追加後に行番号がずれると考えてしまう受験者がいますが、問題指示は「追加前」の行番号を基準にしています。 - CNAME 共存ルールの失念
同じ owner に A と CNAME を併記できない点を忘れると、誤って type フィールドを変更しようとするミスにつながります。
FAQ
Q: なぜ A レコードの owner を変更する必要があるのですか?
A: DNS では同じ owner に CNAME と他の資源レコードを併存させてはいけないという仕様があるためです。w3 を CNAME にするなら、既存の A レコードは違う owner に移す必要があります。
A: DNS では同じ owner に CNAME と他の資源レコードを併存させてはいけないという仕様があるためです。w3 を CNAME にするなら、既存の A レコードは違う owner に移す必要があります。
Q: record_data を WAF の IP アドレスに書き換える方法では駄目なのですか?
A: WAF へは FQDN で転送し、WAF 側が実際の IP(負荷分散装置の 200.α.β.4)を引く構成です。A レコードの owner を変えて保持することで、WAF からの名前解決が可能になります。
A: WAF へは FQDN で転送し、WAF 側が実際の IP(負荷分散装置の 200.α.β.4)を引く構成です。A レコードの owner を変えて保持することで、WAF からの名前解決が可能になります。
Q: CNAME 追加後に NS や MX レコードも調整が必要ですか?
A: 今回の設問範囲では不要です。CNAME と対応する A レコードの整合性を取れば、メールや権威 DNS の設定は影響を受けません。
A: 今回の設問範囲では不要です。CNAME と対応する A レコードの整合性を取れば、メールや権威 DNS の設定は影響を受けません。
関連キーワード: DNS冗長化, CNAME, Aレコード, クラウド型WAF, 負荷分散
設問3:〔クラウド型WAFサービスの利用〕について、(1)~(3)に答えよ。
(3)本文中の下線③について、アクセス制御の内容を、35字以内で述べよ。
模範解答
WebサイトへのアクセスをWAFサービスだけから許可する。
解説
解答の論理構成
- 【問題文】には、次の指示があります。
- 「③ WAFサービスを経由せず、直接Webサイトにアクセスされるのを防止するためのアクセス制御を、A社のFWに設定する」
ここから、ファイアウォール(FW)で“誰を通すか”を制御せよという意図が読み取れます。
- 「③ WAFサービスを経由せず、直接Webサイトにアクセスされるのを防止するためのアクセス制御を、A社のFWに設定する」
- 利用者は最初に「waf-asha.example1.ne.jp」にアクセスし、検査後にパケットが Web サイトへ転送される手順が示されています。よって、正しい経路は
利用者 → WAFサービス → A社Webサイト
のみです。 - 直接経路(利用者 → A社Webサイト)を遮断し、正規経路だけを開放することで「防止」が達成できます。
- したがって FW で許可すべき通信元は WAFサービスだけ、目的は Webサイトへのアクセス です。
- 以上より、解答は「WebサイトへのアクセスをWAFサービスだけから許可する。」となります。
誤りやすいポイント
- 「FWでWAFサービスの通信を許可する」だけを書き、直接アクセスを遮断することを明示しない。
- 負荷分散装置やDNSも一緒に制限対象と誤解し、余計な IP を許可・遮断してしまう。
- “WAF からの応答”ではなく“利用者からの要求”を許可すると解釈してしまい、設定方向を取り違える。
FAQ
Q: WAFサービスの IP アドレスを複数指定する場合は?
A: サービス側が示すアドレスレンジを FW の許可リストに登録し、その他の送信元は拒否します。要点は「WAFサービスだけ」に限定することです。
A: サービス側が示すアドレスレンジを FW の許可リストに登録し、その他の送信元は拒否します。要点は「WAFサービスだけ」に限定することです。
Q: DNSラウンドロビンや負荷分散装置の IP は FW で許可しますか?
A: いずれも DMZ 内部通信なので外部からの直接アクセス制御とは別件です。外部向けポリシーでは WAF サービス由来の通信元以外は遮断します。
A: いずれも DMZ 内部通信なので外部からの直接アクセス制御とは別件です。外部向けポリシーでは WAF サービス由来の通信元以外は遮断します。
Q: HTTPS を使用している場合、FW ではポート 443 だけ許可すれば良いですか?
A: ポートは 443 を許可するのが一般的ですが、通信元アドレスを WAF サービスに限定することが必須です。
A: ポートは 443 を許可するのが一般的ですが、通信元アドレスを WAF サービスに限定することが必須です。
関連キーワード: WAF, ファイアウォール, アクセス制御, DMZ
