ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問2 No.2
【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1(一部、加工あり)】
【VDIの事前調査】
Uさんは、PC単位のプログラム実行環境(以下、仮想PCという)をソフトウェアで実現するVDIと、従業員が仮想PCを操作するために使うシンクライアント(以下、TCという)について調査した。調査結果は次のとおりである。
- VDIを実現する装置とその関連装置
- VDIサーバ:VDIを組み込んだサーバ
- TC:ハードディスクなどの情報蓄積機能がないPC
- VDIの動作概要
- VDIは、VDIサーバ上に仮想PCをTCと1対1で生成する。そのとき、VDIは仮想PCに対してIPアドレスを動的に割り当てる。
- VDIは、VDIサーバ上に仮想スイッチ(以下、仮想SWという)を生成する。仮想PCは仮想SWとの接続によって、外部との通信が可能になる。
- 仮想SWは、外部接続用のポートにVDIサーバの物理NIC(Network Interface Card)を使用する。
- 仮想PCから行われる通信
- 画面転送通信:仮想PCの画面をTCに転送する。TC1台が使用する帯域は、最大200kビット/秒である。
- ファイル転送通信、プリント通信及びインターネット通信:使用帯域は、現行と同じである。
【SSL可視化装置・標的型攻撃対策装置の導入】
Uさんは、T社のサイバーセキュリティ対策の一環として、VDIとともにSSL可視化装置と標的型攻撃対策装置を導入して情報セキュリティ強化を図ることにした。そのためにUさんが選定した装置は、次のとおりである。
- SSL可視化装置:平文で行われる通信だけでなく、SSL/TLSによる暗号化通信も監視するために、暗号化通信の復号、復号した通信データを標的型攻撃対策装置に転送、復号した通信データを再度暗号化する装置
- 標的型攻撃対策装置:マルウェアに感染した仮想PCがインターネット上のC&C(Command & Control)サーバと行う不正通信を検知し、C&CサーバのIPアドレスを特定する装置
【ネットワーク構成の検討】
- VDI導入後のネットワーク構成案
Uさんは、これらの事前調査の結果から、VDIサーバなどの装置を本社に設置することにした。Uさんが考えたVDI導入後のネットワーク構成案を、図2に示す。
VDI導入後は、②支店のインターネット接続回線を廃止し、本社のインターネット接続回線の契約帯域を1Gビット/秒に変更する。 - VDI導入後の広域イーサ網
③本社と支店間の広域イーサ網を経由する通信は、VDIの導入で変化する。Uさんは、広域イーサ網のアクセス回線の契約帯域について、次のとおり整理した。- 現行のアクセス回線の安全率は、”アクセス回線の契約帯域÷ピーク時に必要な帯域=(a:1.25)”である。VDI導入後も現行の安全率を確保する。
- 全従業員が同時に仮想PCを利用しても、TCの操作に遅れが発生しないようにするためには、画面転送通信の帯域を確保する必要がある。
- 印刷量を把握できないプリント通信の帯域は確保しない。
- VDIの導入でアクセス回線の契約帯域を下げることができる。契約帯域は現行の安全率を考慮した最低限必要な帯域とし、本社は(b:100)Mビット/秒、各支店は(c:10)Mビット/秒に変更する。
- プリント通信も広域イーサ網を経由するので、本社から広域イーサ網方向の通信に対して、帯域制御が必要になる。
②について、インターネット接続回線を廃止する理由を、インターネット通信に着目して30字以内で述べよ。また、現行ネットワーク構成と比べたときの情報セキュリティ対策上の利点を30字以内で述べよ。:(理由)インターネット通信は本社の仮想PCから行われるから。、(利点)情報セキュリティ対策を本社で集中的に行うことができる。
VDI導入後のインターネット通信は仮想PCとインターネット間で行われ、仮想PCでの画面表示内容をTCに転送することになるため、支店のインターネット回線は不要になります。
インターネット通信の接続箇所においては、UTMやSSL可視化装置、標的型攻撃対策装置などのセキュリティ機器を配置して、モニタリングを行う必要があります。
本社と支店の双方でインターネット接続を行うのに比べ、本社のみとした場合は、情報セキュリティ対策を集中的に行うことができるメリットがあります。
③について、VDI導入前に広域イーサ網を経由する通信を一つ、VDI導入後に経由する通信を二つ、本文中の通信名を用いてそれぞれ答えよ。:(VDI導入前)ファイル転送通信、(VDI導入後)画面転送通信/プリント通信
本文中に記載されている通信名は、ファイル転送通信、プリント通信、インターネット通信、画面転送通信の4つです。
- ファイル転送通信:VDI導入前は、支店のPCと本社のファイルサーバ間で通信するため広域イーサ網を経由します。VDI導入後は、本社の仮想PCとファイルサーバ間で通信するため広域イーサ網を経由しなくなります。
- プリント通信:VDI導入前は、支店のPCと自拠点のプリントサーバ間で通信するため広域イーサ網を経由しません。VDI導入後は、本社の仮想PCとプリントサーバ間で通信するため広域イーサ網を経由するようになります。
- インターネット通信:VDI導入前は、支店のPCから直接インターネット通信するため広域イーサ網を経由しません。VDI導入後も、本社の仮想PCからインターネット通信するため広域イーサ網を経由しません。
- 画面転送通信:VDI導入後、支店のPCと本社の仮想PC間で通信するため広域イーサ網を経由します。
a:1.25
広域イーサ網のアクセス回線の契約帯域は、本文に「アクセス回線の契約帯域は、本社が1Gビット/秒、各支店が100Mビット/秒」とあります。
また、ピーク時に必要な帯域は、本文のファイル転送通信に「本社従業員向けに200Mビット/秒、全ての支店従業員向けの合計が800Mビット/秒」とあります。
ここで、広域イーサ網を経由するファイル転送通信は支店従業員PCに関するものであるため、800Mビット/秒が該当します。
そして、支店については「全国10か所に支店」とあり、契約帯域の合計は100Mビット/秒×10支店で、1Gビット/秒になります。
したがって、安全率は、1Gビット/秒÷800Mビット/秒=1.25になります。
b:100、c:10
画面転送通信の帯域については、本文に「TC1台が使用する帯域は、最大200kビット/秒」とあります。
支店の従業員は40人のため、支店で必要な帯域は200kビット/秒×40=8Mビット/秒となり、安全率1.25を考慮すると、8Mビット/秒×1.25=10Mビット/秒となります。
本社では、10支店分のアクセス回線の帯域のため、10Mビット/秒×10=100Mビット/秒となります。