令和5年度 春 午後Ⅰ 問3 設問3 (2)
広告
たくさん
(No.1)
標記の設問について解説していただきたいです。
営業所のPCからの通信の流れは、
PC→L2SW→Pコネクタ→Pサービス
となると理解しましたので、私は、
送信元制限機能で、営業所のPコネクタのIPアドレスを設定する。
と回答しましたが、IPAの解答は、
送信元制限機能で、営業所のUTMのグローバルIPアドレスを設定する。
でした。
この解答となる理由をご教示いただきたいです。
営業所のPCからの通信の流れは、
PC→L2SW→Pコネクタ→Pサービス
となると理解しましたので、私は、
送信元制限機能で、営業所のPコネクタのIPアドレスを設定する。
と回答しましたが、IPAの解答は、
送信元制限機能で、営業所のUTMのグローバルIPアドレスを設定する。
でした。
この解答となる理由をご教示いただきたいです。
2025.09.24 20:26
ななしさん
(No.2)
私も勉強中の身ですが、解いた所感を共有させていただきます。
結論から言うと、設問中の表1において営業所UTMのNAT機能があり、それを使用しているためUTMのグローバルIPが模範回答となっていると思います。
以下、その理由です。
まず通信経路についてですが、たくさんと異なり、PコネクタからUTMを通ってPサービス、そしてLサービスへ通信されると考えました。
その際にグローバルIPアドレスの割り当てについて、特に記述がなく、UTMにNAT変換があるため、NAT変換されたと考え、Lサービスに渡される接続元IPアドレスはUTMで変換されたグローバルIPアドレスであると考えました。
たくさんのおっしゃるようにPコネクタのIPアドレスを登録する場合は、Pコネクタなどの機器ごとにグローバルIPアドレスを固定で設定する場合に限られると考えています。
今回そういった記述はなく、また表1の注2)に本社UTMのグローバルIPアドレスを設定しているという記述があるので、新たに設置する機器にのみグローバルIPアドレスを割り当てるとは考えづらいので、UTMのIPアドレスの登録が妥当かと考えます。
結論から言うと、設問中の表1において営業所UTMのNAT機能があり、それを使用しているためUTMのグローバルIPが模範回答となっていると思います。
以下、その理由です。
まず通信経路についてですが、たくさんと異なり、PコネクタからUTMを通ってPサービス、そしてLサービスへ通信されると考えました。
その際にグローバルIPアドレスの割り当てについて、特に記述がなく、UTMにNAT変換があるため、NAT変換されたと考え、Lサービスに渡される接続元IPアドレスはUTMで変換されたグローバルIPアドレスであると考えました。
たくさんのおっしゃるようにPコネクタのIPアドレスを登録する場合は、Pコネクタなどの機器ごとにグローバルIPアドレスを固定で設定する場合に限られると考えています。
今回そういった記述はなく、また表1の注2)に本社UTMのグローバルIPアドレスを設定しているという記述があるので、新たに設置する機器にのみグローバルIPアドレスを割り当てるとは考えづらいので、UTMのIPアドレスの登録が妥当かと考えます。
2025.09.25 13:16
塩焼きそばさん
(No.3)
この投稿は投稿者により削除されました。(2025.09.25 13:18)
2025.09.25 13:18
たくさん
(No.4)
ななしさん、ご説明ありがとうございます。
通信経路が、PコネクタからUTMを通ってPサービス、そしてLサービスへ通信されるのであれば、IPAの模範回答のとおりになることは理解できました。
ただ、この通信経路で通信されると判断できる理由がよくわかりません。
表3の注2)に「PコネクタとPサービスの通信は、PコネクタからPサービスに通信を開始する。」と記載されていることから、
PC→L2SW→Pコネクタ→Pサービス
と通信されるのではないかと考えました。
UTMを経由するというのは、「UTMにNAT機能があること」、「UTMにグローバルIPアドレスが設定されていること」の2点から類推するしかないということでしょうか。
通信経路が、PコネクタからUTMを通ってPサービス、そしてLサービスへ通信されるのであれば、IPAの模範回答のとおりになることは理解できました。
ただ、この通信経路で通信されると判断できる理由がよくわかりません。
表3の注2)に「PコネクタとPサービスの通信は、PコネクタからPサービスに通信を開始する。」と記載されていることから、
PC→L2SW→Pコネクタ→Pサービス
と通信されるのではないかと考えました。
UTMを経由するというのは、「UTMにNAT機能があること」、「UTMにグローバルIPアドレスが設定されていること」の2点から類推するしかないということでしょうか。
2025.09.25 18:38
ななしさん
(No.5)
返信ありがとうございます。恥ずかしながら指摘いただいてようやく、PコネクタがIPSecで接続されている機器であることや、それに関連する記述の本質を見逃していたことに気づかされました。
この一日、いろいろ考えてみた結果、結局結論としては変わらずにIPアドレスに関してはUTMのグローバルIPアドレスが使われるという考えに至りました。たくさんの指摘に対する更に見つけてきました。以下にその答えを書きますが、前回同様、理解不足や誤解があるかもしれませんので、ご容赦いただければ幸いです。
また、たくさんの仰る通り最終的には類推していますが、ある程度は類推する試験だと思うので、納得いただければ幸いです。
PコネクタからPサービスへの通信についてですが、PコネクタがIPSecで通信する機器だと考えました。(P14の最後の2行の箇条書きより、PコネクタはR-PCではなく、エージェントでもないため)また、トンネルで接続されていると考えました。
トンネルで接続されているとなると、たくさんの仰るようにPコネクタのIPアドレスで接続されているのではと、私は最初考えました。
しかしネットワーク構成図では、UTMの後にL2SWがあり、その配下にPCとPコネクタが接続されています。このセグメントは以前からPCがあったセグメントで、L2SWではセグメント間の分離ができないため、内部セグメント内にPコネクタもあると考えました。
もしPコネクタがグローバルIPアドレスを持っている場合、その機器はDMZに配置するのが最適です。ここが最大の類推ですが、本来グローバルIPアドレスが設定されてはいけない領域にPコネクタがグローバルIPアドレスが設定された状態で配置されたと仮定した場合、この問題がテストである限りは何かしらの記述があるはずです。
ですので、この場合PコネクタはグローバルIPアドレスを持っていないと推測しました。そうなると、トンネルの通信だとしてもNATのグローバルIPアドレスを使用して通信が行われることが予想されるため、結果的にUTMのIPアドレスが使用され、PコネクタのIPアドレスは設定できないのではないかと思います。
また、たくさんの仰る通信経路の認識と私の認識にはまだ齟齬があります。
Pコネクタからの通信はIPsecである可能性が高いですが、その場合でも通信内容は暗号化されUTMでも見れないようにしつつ、UTMを中継する通信になるはずです。
この一日、いろいろ考えてみた結果、結局結論としては変わらずにIPアドレスに関してはUTMのグローバルIPアドレスが使われるという考えに至りました。たくさんの指摘に対する更に見つけてきました。以下にその答えを書きますが、前回同様、理解不足や誤解があるかもしれませんので、ご容赦いただければ幸いです。
また、たくさんの仰る通り最終的には類推していますが、ある程度は類推する試験だと思うので、納得いただければ幸いです。
PコネクタからPサービスへの通信についてですが、PコネクタがIPSecで通信する機器だと考えました。(P14の最後の2行の箇条書きより、PコネクタはR-PCではなく、エージェントでもないため)また、トンネルで接続されていると考えました。
トンネルで接続されているとなると、たくさんの仰るようにPコネクタのIPアドレスで接続されているのではと、私は最初考えました。
しかしネットワーク構成図では、UTMの後にL2SWがあり、その配下にPCとPコネクタが接続されています。このセグメントは以前からPCがあったセグメントで、L2SWではセグメント間の分離ができないため、内部セグメント内にPコネクタもあると考えました。
もしPコネクタがグローバルIPアドレスを持っている場合、その機器はDMZに配置するのが最適です。ここが最大の類推ですが、本来グローバルIPアドレスが設定されてはいけない領域にPコネクタがグローバルIPアドレスが設定された状態で配置されたと仮定した場合、この問題がテストである限りは何かしらの記述があるはずです。
ですので、この場合PコネクタはグローバルIPアドレスを持っていないと推測しました。そうなると、トンネルの通信だとしてもNATのグローバルIPアドレスを使用して通信が行われることが予想されるため、結果的にUTMのIPアドレスが使用され、PコネクタのIPアドレスは設定できないのではないかと思います。
また、たくさんの仰る通信経路の認識と私の認識にはまだ齟齬があります。
Pコネクタからの通信はIPsecである可能性が高いですが、その場合でも通信内容は暗号化されUTMでも見れないようにしつつ、UTMを中継する通信になるはずです。
2025.09.27 00:05
GinSanaさん
★SC シルバーマイスター
(No.6)
>表3の注2)に「PコネクタとPサービスの通信は、PコネクタからPサービスに通信を開始する。」と記載されていることから、
>PC→L2SW→Pコネクタ→Pサービス
>と通信されるのではないかと考えました。
「PコネクタとPサービスの通信は、PコネクタからPサービスに通信を開始する。」は、あくまで「通信を開始する」であって、そのPコネクタとPサービスの間にネットワークの線が引かれているわけではない、ということです。まあ、直に出て行こうとすればUTM(だいたいここはFWになっていることが多いが)でパケットが破棄されるでしょう。
仮に出て行くとして、DMZのセグメントはプライベートIPアドレスのセグメントなので(まあ、全部グローバルIPアドレスかもしれないじゃん、と言えば「書いていないので」そうですが、そうなればセグメント分けなんか大変です)、外には出て行けません。だから、VPNでトンネリングしてグローバルIPアドレスをIPsecのトンネルの間だけ追加してやって通信できるようにしている、ということになります
2025.09.27 11:53
たくさん
(No.7)
ななしさん、GinSanaさん、ご丁寧なご説明ありがとうございます。
「PコネクタとPサービスの通信は、PコネクタからPサービスに通信を開始する。」の記載から、Pコネクタが無線LANアクセスポイント機能や5G等の独自のインターネット接続機能を有していて、そこから直でインターネットに抜けているのかと思ってしまっていました。
ただ、問題文の中ではそこまでの記載はないですし、お二人のおっしゃるとおり、通常であれば、IPsecによりUTMを経由してインターネットに抜けると考えるほうが自然だということが理解できました。
余計な部分まで考えすぎていたところがありましたので、改めて基礎的な知識も含めて復習したいと思います。
ありがとうございました。
「PコネクタとPサービスの通信は、PコネクタからPサービスに通信を開始する。」の記載から、Pコネクタが無線LANアクセスポイント機能や5G等の独自のインターネット接続機能を有していて、そこから直でインターネットに抜けているのかと思ってしまっていました。
ただ、問題文の中ではそこまでの記載はないですし、お二人のおっしゃるとおり、通常であれば、IPsecによりUTMを経由してインターネットに抜けると考えるほうが自然だということが理解できました。
余計な部分まで考えすぎていたところがありましたので、改めて基礎的な知識も含めて復習したいと思います。
ありがとうございました。
2025.09.27 16:03
広告
返信投稿用フォーム
投稿記事削除用フォーム
広告
その他のスレッド
- 令和7年秋 午後問題予想
2025.09.25 15:15|
5 - 過去問道場におけるTLSの解説について 2025.09.23 17:31| 4
- 令和7年春 午後問4 設問2(1) 2025.09.21 12:48| 3