【ネットワークスペシャリスト試験 令和6年度 春期 午後1 問3 設問1】ローカルブレイクアウト-IPsec VPN

ネットワークスペシャリスト試験 令和6年度 春期 午後1 問3

【出典:ネットワークスペシャリスト試験 令和6年度 春期 午後1 問3(一部、加工あり)】

問3 ローカルブレイクアウトによる負荷軽減に関する次の記述を読んで、設問に答えよ。

 A社は、従業員300人の建築デザイン会社である。東京本社のほか、大阪、名古屋、仙台、福岡の4か所の支社を構えている。本社には100名、各支社には50名の従業員が勤務している。
 A社は、インターネット上のC社のSaaS(以下、C社SaaSという)を積極的に利用する方針にしている。A社情報システム部ネットワーク担当のBさんは、C社SaaS宛ての通信がHTTPSであることから、ネットワークの負荷軽減を目的に、各支社のPCからC社SaaS宛ての通信を、本社のプロキシサーバを利用せず直接インターネット経由で接続して利用できるようにする、ローカルブレイクアウトについて検討することにした。

[現在のA社のネットワーク構成]
 現在のA社のネットワーク構成を図1に示す。


 現在のA社のネットワーク構成の概要を次に示す。

  • 本社及び各支社はIPsec VPN機能をもつUTMでインターネットに接続している。
  • プロキシサーバは、従業員が利用するPCのHTTP通信、HTTPS通信をそれぞれ中継する。プロキシサーバではセキュリティ対策として各種ログを取得している。
  • DMZや内部ネットワークではプライベートIPアドレスを利用している。
  • PCには、DHCPを利用してIPアドレスの割当てを行っている。
  • PCが利用するサーバは、全て本社のDMZに設置されている。
  • A社からインターネット向けの通信については、本社のUTMでNAPTによるIPアドレスとポート番号の変換をしている。


[現在のA社のVPN構成]
 A社は、UTMのIPsec VPN機能を利用して、本社をハブ、各支社をスポークとする()型のVPNを構成している。本社と各支社との間のVPNは、IP in IPトンネリング(以下、IP-IPという)でカプセル化し、さらにIPsecを利用して暗号化することでIP-IP over IPsecインタフェースを構成し、2拠点間をトンネル接続している。①本社のUTMと支社のUTMのペアではIPsecで暗号化するために同じ鍵を共有している。②この鍵はペアごとに異なる値が設定されている。
③IPsecの通信モードには、トランスポートモードとトンネルモードがあるが、A社のVPNではトランスポートモードを利用している
 A社のVPNを構成するIPパケット構造を図2に示す。


 VPNを構成するために、本社と各支社のUTMには固定のグローバルIPアドレスを割り当てている。④IP-IP over IPsecインタフェースでは、IP Unnumbered設定が行われている。また、⑤IP-IP over IPsecインタフェースでは、中継するTCPパケットのIPフラグメントを防止するための設定が行われている。

[プロキシサーバを利用した制御]
 BさんがUTMについて調べたところ、追加ライセンスを購入することでプロキシサーバ(以下、UTMプロキシサーバという)として利用できることが分かった。
 Bさんは、ネットワークの負荷軽減のために、各支社のPCからC社SaaS宛ての通信は、各支社のUTMプロキシサーバをプロキシサーバとして指定することで直接インターネットに向けることを考えた。また、各支社のPCからその他インターネット宛ての通信は、通信相手を特定できないことから、各種ログを取得するために、これまでどおり本社のプロキシサーバをプロキシサーバとして指定することを考えた。各社のPCから、C社SaaS宛てとその他インターネット宛ての通信の流れを図3に示す。


 Bさんは、各支社のPCが利用するプロキシサーバを制御するためにプロキシ自動設定(以下、PACという)ファイルとWebプロキシ自動検出(以下、WPADという)の導入を検討することにした。

[PACファイル導入検討]
 BさんはPACファイルの作成方法について調査した。PACファイルはJavaScriptで記述する。PACファイルに記述するFindProxyForURL関数の第1引数であるurlにはアクセス先のURLが、第2引数であるhostにはアクセス先のURLから取得したホスト名が渡される。これらの引数に渡された値を様々な関数を用いて条件分けし、利用するプロキシサーバを決定する。FindProxyForURL関数の戻り値が”DIRECT”ならば、プロキシサーバを利用せず直接通信を行う。戻り値が”PROXY host:port”ならば、指定されたプロキシサーバ(host)のポート番号(port)を利用する。
 テスト用に大阪支社のUTMを想定したPACファイルを作成した。Bさんが作成した大阪支社のUTMのPACファイルを図4に示す。


 Bさんは、テスト用のPCとテスト用のUTMプロキシサーバを用意し、作成したPACファイルを利用することで、テスト用のPCからC社SaaS宛ての通信が、期待どおりに本社のプロキシサーバを利用せずに、テスト用のUTMプロキシサーバを利用することを確認した。⑥Bさんは各支社のPACファイルを作成した

[WPAD導入検討]
 WPADは、()や()の機能を利用して、PACファイルの場所を配布するプロトコルである。PCやWebブラウザのWebプロキシ自動検出が有効になっていると、()サーバや()サーバと通信を行い、アプリケーションレイヤープロトコルの一つである()を利用して()サーバからPACファイルのダウンロードを試みる。
 WPADの利用には、PCやWebブラウザのWebプロキシ自動検出を有効にするだけでよく、簡便である一方、悪意のある()サーバや()サーバがあると⑦PCやWebブラウザが脅威にさらされる可能性も指摘されている。Bさんは、WPADは利用しないことにし、PCやWebブラウザのWebプロキシ自動検出を無効にすることにした。PCやWebブラウザにはPACファイルの()を直接設定する。

 Bさんが検討した対応案が承認され、情報システム部はプロジェクトを開始した。

今回は、令和6年度 春期 ネットワークスペシャリスト試験 午後1 問3で出題された「ローカルブレイクアウトによる負荷軽減」をテーマに、特に【設問1】で問われたIPsec VPNの知識について、どこよりも分かりやすく解説していきます!

クラウドサービスの利用が当たり前になった今、今回のような構成は多くの企業で採用されています。出題趣旨にも「HTTPSを中心とした通信制御、トラフィックコントロールを求められることが増えてきた」とあるように、まさに”今”求められる実践的な知識です。

採点講評を見ると、基本的な用語や暗号化の範囲で失点してしまった方が多かったようです。 この記事を読んで、「なぜその答えになるのか」をしっかり理解し、ライバルに差をつけましょう!

問題の概要をサクッと整理

まずは、問題文の舞台となるA社のネットワーク構成と課題を簡単に整理しておきましょう。

  • 登場人物: A社(建築デザイン会社)、Bさん(ネットワーク担当者)
  • ネットワーク構成: 東京本社をハブ拠点とし、大阪などの支社とIPsec VPNで接続している。
  • 通信の流れ:
    • 通常、支社からインターネットへの通信は、本社のプロキシサーバを経由する。
    • PCが利用するサーバ(DNS、Webなど)は、すべて本社のDMZに設置されている。
  • 課題: C社のSaaS利用が増え、本社のネットワーク機器や回線の負荷が高まっている。
  • 対策: 各支社からC社SaaS宛ての通信だけ、本社のプロキシサーバを通さず、直接インターネットに接続させる「ローカルブレイクアウト」を検討している。

この課題解決策の検討過程で、現在のVPN構成に関する深い知識が問われたのが【設問1】です。それでは、一問ずつ見ていきましょう!


【設問1】現在のA社のVPN構成

(1) VPNの接続形態 – (ア)に入るのは?

【解答】 ハブアンドスポーク

まず問われたのは、VPNのトポロジ(接続形態)です。問題文には「本社をハブ、各支社をスポークとする(ア)型のVPNを構成している」とあります。

これは、まさに「ハブアンドスポーク型」構成そのものを説明した文章ですね。

  • ハブ (Hub): 中心的役割を果たす拠点。今回の問題では「東京本社」です。
  • スポーク (Spoke): ハブに接続される拠点。今回の問題では「大阪、名古屋、仙台、福岡の4支社」です。

図1のネットワーク構成図を見ても、各支社が東京本社に集約される形になっており、車輪のハブからスポークが伸びるような形になっているのが分かります。

ちなみに、拠点間を網の目のように相互接続する形態は「フルメッシュ型」と呼ばれます。ハブアンドスポーク型は、構成がシンプルで管理しやすいメリットがある一方、スポーク間の通信(例:大阪支社から名古屋支社)も一度ハブ(本社)を経由する必要がある、という特徴も押さえておきましょう。

(2) IPsecで使う共有鍵の名前は?

【解答】 事前共有鍵

「本社のUTMと支社のUTMのペアではIPsecで暗号化するために同じ鍵を共有している」 この鍵の名前を答える問題です。

IPsec VPNの接続で、通信相手を認証する方法はいくつかありますが、最も代表的なのが「事前共有鍵(PSK: Pre-Shared Key)」を使う方式です。

その名の通り、通信を行う拠点同士で「事前に」「共有して」「設定しておく」「鍵(パスワードのようなもの)」です。IKE(Internet Key Exchange)という鍵交換プロトコルの中で、この事前共有鍵がお互いに一致することを確認して、認証を行います。

採点講評では「正答率がやや低かった」と指摘されています。 IPsecを学ぶ上での最重要キーワードの一つなので、初めて聞いたという方は必ず覚えてくださいね!

(3) 鍵をペアごとに変えるメリットは?

【解答】 鍵が漏えいした際の影響範囲を小さくできる。

問題文には「この鍵はペアごとに異なる値が設定されている」とあります。 なぜ本社-大阪支社、本社-名古屋支社で、それぞれ違う事前共有鍵を設定するのでしょうか?

これはセキュリティの基本原則である「影響範囲の限定(極小化)」のためです。

もし、すべての拠点で同じ事前共有鍵を使いまわしていた場合を想像してみてください。万が一、大阪支社の鍵情報が何らかの原因で漏えいしてしまったらどうなるでしょう?

攻撃者はその鍵を使って、名古屋支社や福岡支社など、他のすべての拠点とのVPN通信も盗聴・改ざんできてしまうかもしれません。

しかし、ペアごとに異なる鍵を設定しておけば、仮に大阪支社の鍵が漏えいしても、影響を受けるのは「本社-大阪支社間」の通信のみに限定されます。他の支社との通信は別の鍵で守られているため安全です。

このように、手間は少しかかりますが、セキュリティレベルを格段に向上させることができるのです。「鍵の管理」という観点から、このメリットを簡潔に説明できるかがポイントでした。

(4) トンネルモードの暗号化範囲はどこ?

【解答】 IPヘッダー、元のIPパケット、ESPトレーラ

ここが今回の最重要ポイントであり、多くの受験者が悩んだであろう問題です!

まず、IPsecの動作モードには2種類あります。

  • トランスポートモード(A社が利用): 元のIPパケットのペイロード(データ部分)のみを暗号化するモード。IPヘッダーは暗号化されない。主にホスト間(PCとサーバなど)の通信で使われる。
  • トンネルモード(設問で問われた方): 元のIPパケット全体(IPヘッダー+ペイロード)を丸ごと暗号化し、新しいIPヘッダーを付与するモード。主に拠点間VPNなどゲートウェイ間で使われる。

問題では、A社が利用している「トランスポートモード」の場合、暗号化範囲が「元のIPパケットとESPトレーラ」であると説明されています。 これをヒントに、「トンネルモード」の場合の暗号化範囲を考えます。

図2の(2)のパケット構造を見てみましょう。

(新しい) IPヘッダーESP ヘッダー元の IP ヘッダー元の IP ペイロードESP トレーラESP 認証データ
暗号化されない暗号化されない暗号化される暗号化される暗号化される暗号化されない

トンネルモードでは、”元のIPパケット”をカプセル化して保護します。したがって、暗号化の対象は「元のIPヘッダー」と「元のIPペイロード(これらを合わせて”元のIPパケット” )」、そして暗号化に必要な情報を補う「ESPトレーラ」の3つになります。

採点講評で「ESPヘッダーを含めた誤った解答が多かった」とありました。 なぜESPヘッダーは暗号化されないのでしょうか?

ESPヘッダーには、受信側がパケットを正しく復号するためのインデックス情報(SPI)などが含まれています。この部分まで暗号化してしまうと、受信側のUTMはどの鍵を使って復号すればよいか分からなくなってしまいます。そのため、ESPヘッダーは暗号化の対象外となるのです。この理屈まで理解しておくと、もう間違えませんね!

(5) IP Unnumbered ってどんな設定?

【解答】 インタフェースにIPアドレスの割当てを行わない設定

「IP-IP over IPsec インタフェースでは、IP Unnumbered 設定が行われている」 とあります。

通常、ルータの物理インタフェースやVLANインタフェースには、必ずIPアドレスを割り当てますよね。しかし、「IP Unnumbered」は、その名の通り「番号(IPアドレス)を割り当てない」設定です。

主に、2点間を接続するだけのポイント・ツー・ポイントのインタフェースで利用されます。この設定を使うことで、接続のためだけにIPアドレスを消費するのを防ぎ、貴重なIPアドレスリソースを節約できるというメリットがあります。

今回のケースでは、本社と支社のUTM間を接続する仮想的な「トンネルインタフェース」に対して、この設定が適用されています。

(6) IPフラグメントが発生するとUTMはどうなる?

【解答】 転送負荷の増大

問題文の下線⑤には「中継するTCPパケットのIPフラグメントを防止するための設定が行われている」とあります。 もし、この設定がなかったらどうなるか、という問題です。

  • なぜフラグメントが起きる? 元のIPパケットに、IP-IPのヘッダーやIPsec(ESP)のヘッダーが付与されると、全体のパケットサイズが大きくなります。 このサイズが、インターネット経路上のMTU(Maximum Transmission Unit: 一度に送信できる最大データサイズ)を超えてしまうことがあります。
  • フラグメントの影響は? MTUを超えたパケットを受け取ったUTM(ルータ)は、パケットをMTU以下のサイズに分割する処理(IPフラグメント)を行わなければなりません。この分割処理は、UTMのCPUに大きな負荷をかけます。パケットが細切れになることで、パケット数も増え、ネットワーク全体のスループット低下にも繋がります。

つまり、IPフラグメントが発生すると、UTMの「転送負荷の増大」につながる、というわけです。

これを防ぐための設定が、下線⑤の正体である「MSSクランピング(MSS Clamp)」です。TCPのコネクション確立時に、UTMがSYNパケット内のMSS(Maximum Segment Size)を書き換えることで、送信元PCが作るパケットのサイズを意図的に小さくさせ、ヘッダー付与後もMTUを超えないように調整する賢い技術です。


まとめ

いかがでしたでしょうか?【設問1】だけでも、VPNを構築・運用する上で欠かせない重要な知識が詰まっていましたね。

  • VPNトポロジ: ハブアンドスポーク
  • 認証方式: 事前共有鍵(PSK)
  • セキュリティ: 鍵の分離による影響範囲の限定
  • IPsecモード: トランスポートとトンネルの違い、特に暗号化範囲
  • 効率化: IP UnnumberedによるIPアドレス節約
  • パフォーマンス: フラグメンテーションと、その対策(MSSクランプ)

これらのキーワードは、どれも実務で頻繁に出会うものばかりです。一つ一つの意味と、なぜそうするのかという「理由」をセットで理解しておくことが、合格への一番の近道です。

次回は、【設問2】で問われたPACファイルとプロキシの制御について解説していきます。そちらもぜひお楽しみに!