基本情報技術者試験の過去問と解説
[TOP] [午前分野別] [午後分野別] [キーワード索引] [令和元年秋午前] [令和元年秋午後]

令和元年 秋期 基本情報技術者 午後 問01
問01   必須問題

 テレワークの導入に関する次の記述を読んで,設問1〜3に答えよ。

 

 ソフトウェア開発会社であるA社では,従業員が働き方を柔軟に選択できるように, 場所や時間の制約を受けずに働く勤務形態であるテレワークを導入することにした。

 A社には,事務業務だけが行える PC(以下,事務 PC という)と,事務業務及び ソフトウェア開発業務が行える PC(以下,開発 PC という)がある。開発部の従業員は 開発 PC を使用し,開発部以外の従業員は事務 PC を使用している。

 A社には事務室,開発室及びサーバ室があり,各部屋のネットワークはファイアウォール(以下,A 社 FW という)を 介して接続されている。A社のネットワーク構成を,図1に示す。

 

図1 A社のネットワーク構成

 事務室には,事務 PC だけが設置されている。開発室には開発 PC だけが設置されており, 開発部の従業員だけが入退室できる。サーバ室には,プロキシサーバ1台と, ソフトウェア開発業務に必要なソースコード管理,バグ管理,テストなどに利用する サーバ(以下,開発サーバという)が複数台設置されている。

 A 社 FW では,開発室のネットワークだけから開発サーバに HTTP over TLS(以下,HTTPS という) 又は SSH でアクセスできるように通信を制限している。また, A社ネットワークからのインターネットの Web サイト閲覧は,事務 PC 及び開発 PC だけから プロキシサーバを経由してできるように通信を制限している。

 

 テレワークで働く従業員は,データを保存できないシンクライアント端末をA社から支給され, 遠隔からインターネットを経由してA社のネットワークに接続し,業務を行う。 そのために,安全にA社のネットワークに接続する VPN,及び仮想マシンの画面を 転送して遠隔から操作できるようにする画面転送型の仮想デスクトップ環境(以下,VDI という)の 導入を検討した。テレワーク導入後のA社のネットワーク構成案を,図2に示す。

 

図2 テレワーク導入後のA社のネットワーク構成案

〔A社が検討したテレワークによる業務の開始までの流れ〕

(1) 利用者は,シンクライアント端末の VPN クライアントを起動して,VPN サーバに接続する。

(2) VPN サーバは,VPN クライアントが提示するクライアント証明書を検証する。 検証に成功した場合,処理を継続する。

(3) VPN サーバは,利用者を認証する。認証が成功した場合,VPN クライアントに対して, 192.168.16.0/24 の範囲で使用されていない IP アドレスを一つ選択して割り当てる。

(4) VPN クライアントは,(3) で割り当てられた IP アドレスを使用して,VPN サーバ経由で A社のネットワークに接続する。

(5) 利用者は,シンクライアント端末の VDI クライアントを起動して,VDI サーバに接続する。

(6) VDI サーバは,VPN サーバで認証された利用者が開発部以外の従業員であれば 事務業務だけが行える仮想マシン(以下,事務 VM という)を,開発部の従業員であれば事務業務及び ソフトウェア開発業務が行える仮想マシン(以下,開発 VM という)を割り当てる。 また,VDI サーバは,事務 VM には 192.168.64.0/24,開発 VM には 192.168.65.0/24 の範囲で 使用されていない IP アドレスを一つ選択して割り当てる。

(7) 利用者は,仮想マシンにログインして業務を開始する。VDI クライアントと仮想マシンとの間では, 画面データ,並びにキーボード及びマウスの操作データだけが送受信される。

 

 テレワーク導入後の A 社 FW に設定するパケットフィルタリングのルール案を表1に示す。

 

表1 A 社 FW に設定するパケットフィルタリングのルール案

 

 ところが,表1のルール案ではルール番号 7 の条件に誤りがあり,a ことが分かった。 そこで,開発サーバに対するアクセスを正しく制限するために,ルール番号 7 の条件について, 送信元を b に変更した。

 

設問1  本文中の    に入れる適切な答えを,解答群の中から選べ。

 

a に関する解答群 ア 開発 PC から開発サーバにアクセスできない

イ 開発 VM から開発サーバにアクセスできない

ウ 事務 PC から開発サーバにアクセスできる

エ 事務 VM から開発サーバにアクセスできる

 

b に関する解答群 ア 192.168.0.0/24      イ 192.168.1.0/24     ウ 192.168.16.0/24

エ 192.168.64.0/24      オ 192.168.65.0/24     カ 192.168.128.0/20

キ 192.168.128.0/24     ク 203.0.113.0/24     ケ インターネット

解答 a ←クリックすると正解が表示されます

解答 b ←クリックすると正解が表示されます

 

基本情報技術者試験


設問2  シンクライアント端末から開発サーバにアクセスするときの接続経路として適切な答えを,解答群の中から選べ。

 

解答群 ア シンクライアント端末 → VDI サーバ → VPN サーバ → 開発 PC → 開発サーバ

イ シンクライアント端末 → VDI サーバ → VPN サーバ → 開発 VM → 開発サーバ

ウ シンクライアント端末 → VDI サーバ → 開発 VM → 開発 PC → 開発サーバ

エ シンクライアント端末 → VPN サーバ → VDI サーバ → 開発 PC → 開発サーバ

オ シンクライアント端末 → VPN サーバ → VDI サーバ → 開発 VM → 開発サーバ

カ シンクライアント端末 → VPN サーバ → 開発 PC → 開発 VM → 開発サーバ

解答 ←クリックすると正解が表示されます

 

基本情報技術者試験


設問3  A社がテレワークの検討を進める過程で,“常に同一の業務環境を使用できるように, テレワークで働くときだけでなく,事務 PC 及び開発 PC からも仮想マシンを使用したい”との要望が挙がった。 検討した結果,この要望に応えてもセキュリティ上のリスクは変わらないと判断した。 また,A社のネットワーク内からアクセスするので VPN で接続する必要はなく, 利用者認証を VPN サーバではなく VDI サーバで行えばよいことを確認した。

 この要望に応えるとき,表1のルール案に必要な変更として適切な答えを, 解答群の中から選べ。ここで,表1のルール番号 7 の送信元には,設問1で選択した適切な答えが 設定されているものとする。

 

解答群 ア 変更する必要はない。

イ ルール番号 3 と 4 の間に,送信元を 192.168.0.0/23,宛先を 192.168.64.0/20,
  サービスを VDI,及び動作を許可とするルールを新たに挿入する必要がある。

ウ ルール番号 3 と 4 の間に,送信元を 192.168.64.0/23,宛先を 192.168.0.0/23,
  サービスを VDI,及び動作を許可とするルールを新たに挿入する必要がある。

エ ルール番号 3 と 4 の間に,送信元をインターネット,宛先を 192.168.64.0/20,
  サービスを VDI,及び動作を許可とするルールを新たに挿入する必要がある。

解答 ←クリックすると正解が表示されます

[←前の問題] [次の問題→] [問題一覧表] [分野別] [基本情報技術者試験TOP ]