テクニカルエンジニア（ネットワーク）過去出題問題

平成13年　午後2　問2

最終更新日　2006/02/28
webmaster@tomnetwork.net

Tomのネットワーク勉強ノート

　過去問（午後）

テクニカルエンジニア（ネットワーク）過去問（午後）

テクニカルエンジニア（ネットワーク）過去問平成13年　午後2　問2

問2

インターネット接続システムの安全対策に関する次の記述を読んで、設問1～5に
答えよ｡

Y社は、東京に本社を置き全国に10か所の営業所をもつ、大手のオフィス用品販
売会社である｡Y社では、インターネットの急速な普及に合わせ、1年前にWebサ
ーバによる契約企業向けのインターネット通信販売（以下、ネット通販という）シス
テムを試験稼動させた｡ネット通販での売上は急激な増加を示し、現在では月間1
億円の売上を達成するようになった｡その結果、ネット通販が事業として有望な分野
であると判断し、専任組織を作り本格的に取り組むことに決定した｡
ネット通販事業の責任者になったH部長は、事業計画作りに取り掛かった｡インタ
ーネット利用料金の低下やインターネット利用人口の急増から、Y社の顧客層におい
てもインターネット利用の障壁は低くなり、利用環境は早期に整備されることが予想
できた｡また、ネット通販の利便性と、価格面でのメリットなどを訴求することによ
って、新規の顧客獲得も十分に可能であると考え、3年後の月間売上を現在の10倍
に拡大させる目標を設定し、事業計画を策定した｡H部長は策定した事業計画を基に、
月間売上10億円の電子商取引（以下、ECという）に耐えられるシステムの検討を
情報システム部に依頼した｡情報システム部のG課長は、インターネットインフラ担
当のF君に検討を指示した｡

現在、Y社の本社LANは、図1の構成になっている。

図1本社LANの構成

ECシステムは、WebサーバとDBサーバから構成されている｡EC システムの
webサーバは、電子メール（以下、メールという）サーバ、DNSサーバ、企業Web
サーバなど、Y社が社外に公開しているサーバと同じくDMZに設置してある（以下、
これらのサーバをまとめて公開サーバという）｡DBサーバには、顧客データ、受注
データ、商品データなどが蓄積されている｡試験システムのため、負荷対策や障害対
策は施していない｡

Y社では、この半年間にインターネットに関連する次の四つの問題を経験した｡

（1）ISPが原因でインターネット接続が中断した｡
（2）ECシステムのWebサーバ障害によって、サービスが停止した｡
（3）メールサービスの停止とメールの紛失事故が発生した｡
（4）メールを原因とするウイルスによる被害が発生した｡

F君は、上記の（1）～（4）の問題対策も併せて実施することにし、システムの高信頼
化、高性能化などの安全対策として、次の4点を骨子とした改善案をまとめ、G課
長に報告した｡

〔システムの改善案〕

（1）二つのISPと接続（以下、ISPの二重化という）する｡
（2）ECシステムのサーバやメールサーバなど、主要なサーバに安全対策を施す｡
（3）ECシステムは、負荷の急増に耐えられる構成にする。
（4）メールのウイルスチェックを行う｡
改善案の説明を受けたG課長は、F君の提案の必要性を理解し、具体的なシステム
構成の設計を指示した｡F君は、システム構築を委託しているSI業者のB氏に、シ
ステム改善案を説明し、その具体的な提案を求めた｡

〔B氏の提案〕

（1）ISPの二重化
B氏：ISPをニ重化する方法はニつあります｡それらは、自律システムを運営する方
　　法と、今までどおりの静的経路制御によってニつのISPと接続する方法です｡
　　しかし、前者の運営は技術的に難しい上に、社会的責任も発生しますので、避
　　けたいですね｡
F君：それでは、後者はどんな方法ですか｡
B氏：公開サーバごとに、送受信されるパケットが経由する【ア】を分ける方
　　法です｡インターネットから転送されてくるパケットは、アクセス先の公開サ
　　ーバのIPアドレスによって配送ルートが決まります｡一方、【イ】から
　　ISPに向けて発信するパケットは、負荷分散装置（以下、LBという）によっ
　　て振り分けることができます｡LBは、送信元のIPアドレスなどトランスポー
　　ト層以下の情報を基に振分け先を制御します｡負荷分散処理は、振分け先を均　
　　等にするなどの振分けアルゴリズムに基づいて行われます｡LBは、Pingによ
　　る定期的な応答チェックを行い、転送先の障害を検出して転送先を切り替える
　　ことができます｡LBのこの機能を利用すれば、ISPを二重化することもでき
　　ます｡この方法では、図2の構成になります｡
F君：図2で、ISPからのパケットはどのように転送されてくるのか、具体的に説明
　　してください｡
B氏：DMZ-1で公開するIPアドレスを【ウ】から貸与されたものとし、DMZ-
　　2で公開するIPアドレスを【エ】から貸与されたものとします。そうし
　　ますと、社外からDMZ上の公開サーバヘのアクセスは、サーバごとにISP-1
　　かISP-2のどちらかの経路に固定されますので、トラフィックをニつのISPに　
　　分散させることができます｡

図2　ISPの二重化構成

F君：社内からISPへのパケットは、どのように転送されますか｡
B氏：LBの設定によって、ISP-1とISP-2へ均等に分散させることや、通常はISP-1
　　に転送し、ISP-1へのルートに障害が発生した場合だけ、ISP-2に転送させるこ
　　ともできます｡このとき、NATをファイアウォールで行えば、（a）リプライパ
　　ケットは同一のISP経由で同一のファイアウォールに戻ってきます｡
F君：分かりました｡図2の方法でよさそうですね｡

（2）ECシステムとDNSサーバの安全対策
B氏：ECシステムは、今後の負荷増大に対応させるため、アプリケーションサーバ
　　（以下、APサーバという）を追加して3層構造とします。セション管理、画
　　面制御、業務選択などを行うWebサーバは2台構成とし、LBがもつ負荷分散
　　機能を利用して拡張性と可用性を高めます｡業務処理を実行するAPサーバも
　　2台構成とし、振分けサーバを利用して負荷分散を行います｡振分けサーバは、
　　CPU性能と稼働状況を基にCPUの負荷率を検出し、最も負荷の低いサーバを
　　選んで処理を実行させる機能をもちます｡DBサーバは、クラスタリング構成
　　とします｡ディスク装置はRAID0+1の構成として、高速化と可用性を高めま
　　す｡RAID0は、記録データを複数の磁気ディスク装置に分散させる方式で、
　　RAID1は、磁気ディスク装置の【オ】を行う方式です｡RAID0+1とは、
　　この両方を行う方式です｡
F君：そのほかのサーバに対してはどのような対策を考えていますか｡
B氏：DNSサーバは、社外向けと社内向けに分けます｡（b）社外向けDNSサーバは、
　　ISPの障害を考慮して、ISPごとに分けて設置します｡社内向けDNSサーバ
　　は、プライマリ、セカンダリの2台構成を考えています｡

（3）メールサーバの安全対策とウイルス対策
F君：メールサーバは、どのような対策になりますか｡
B氏：メールシステムは、安全対策のために複数のサーバで構成します｡サーバ上で
　　のメール配送定義と、DNSサーバのMXレコード設定情報によってサーバの
　　二重化を図ります｡また、併せてウイルスのチェックと駆除も行います｡具体
　　的には、図3の構成になります｡

図3 メールシステムの二重化構成

F君：社外からのメールは、どのように転送されてきますか。
B氏：社外からのメールは、いったん中継用SMTPサーバに転送されます｡2台の中
　　継用SMTPサーバのホスト名は、社外向けDNSサーバに【 a 】値を変
　　えて登録します｡そうすると、通常ではISP-1経由でメールが転送されますが、
　　ISP-1又は中継用SMTPサーバなどに障害が発生したときには、ISP-2経由で
　　もう一方の中継用SMTPサーバに転送されるようにします｡中継用SMTPサ
　　ーバでは、受信したメールをメール配送定義に従って【 b 】に転送する
　　ようにします｡このメール配送定義には、バックアップ用サーバの設定を含め
　　ます。【 b 】では、社内向けのDNSサーバを参照して【 c 】に転
　　送するようにします｡社内向けDNSサーバには、MXレコードとして
　　【 c 】と【 d 】の2台のサーバのホスト名を登録し、それらには
　　異なる【 a 】値を与えることによって、【 c 】の障害時にバック
　　アップが行われるようにします｡一方、パソコンからのメール送信は、LBに
　　設定した仮想IPアドレスあてに行うようにします｡LBでは、仮想IPアドレ
　　スあてのメールを正常時の転送ルートに転送するよう設定します。パソコンか
　　らのメール送信では、LBを利用してウイルス対策サーバの障害対策を行いま
　　す｡
F君：メールの不正中継対策も行えますか｡
B氏：社内に転送されてくるメールは、必ず中継用SMTPサーバを経由しますから、
　　中継用SMTPサーバで容易に対策を実施することができます｡
F君：十分な対策ですね｡これなら安心です｡

（4）システム全体構成
B氏：これらすべてをまとめると、図4の構成になります｡要求条件に従い、主要な
　　サーバには安全対策を施します｡LB、スイッチングハブ、ルータなどのネッ
　　トワーク機器と振分けサーバ及びファイアウォールは、比校的速やかに交換作
　　業が実施できますので、二重化はコールドスタンバイ方式としています｡
F君：分かりました｡この構成で課長に提案してみます｡

図4 本社新LANの構成

B氏の提案を基に、F君がG課長にインターネットに関連するシステムの安全対策
の提案を行ったところ、ECシステムの運用に関して、次の五つの課題を検討するよ
う指示があった｡

〔ECシステムの運用に関する課題〕

①ISP－2に障害が発生した場合も停止させないための対策
②停電時や電気設備の法定点検による電源断のときも停止させないための対策
③システムを24時間365日稼働させるための運用体制
④ トラフィックの急増に柔軟に対応するための対策
⑤ 夜間バックアップ作業のための運用体制

F君は、これらの課題を解決するには、社内のシステム運用では困難なので、イン
ターネットデータセンタ（以下、IDCという）のハウジングサービスを利用するのが
よいと考えた｡そこで、F君は、IDC業者のC氏に、ECシステムのハウジングサー
ビス利用について相談することにした｡

〔IDCのハウジングサービス〕

F君：インターネットに関連するシステムの安全対策のために、図4のシステムを考
　　えていますが、運用面で幾つかの課題があり、ハウジングサービスの利用を検
　　討することにしました｡ECシステムのDBとアプリケーションプログラムの
　　メンテナンスや、受注データ処理などのサービスの運用は、今までどおり社内
　　で実施します｡しかし、夜間や休祭日に対応できる体制はとても作れません。
　　ハウジングサービスを利用すると、どの課題が解決できそうですか｡
C氏：ECシステム全体及びDMZ-2に関連する機器をハウジング（以下、案1とい
　　う）すれば、すべての課題の解決が期待できます｡ただ、DMZ－2に関連する
　　機器だけをハウジング（以下、案2という）する場合は、幾つかの問題が残り
　　ます｡
F君：しかし、案1の場合は、図4のシステム構成を変更する必要がありますね｡
C氏：そうですね｡図5のように多少の構成変更が伴います｡

図5　IDCのハウジングサービス利用におけるECシステムの構成（案1）

F君：案2では、G課長が指摘したECシステムの運用に関する課題の④、⑤が残り
　　ますね｡そのほか、どんな問題がありますか｡
C氏：②と③に関連する課題も残ります｡
F君：それでは、案1で進める必要がありますね｡この場合の①の対策を具体的に説
　　明してください｡
C氏：弊社のIDCの設備とサービス概要は、表のとおりになっています｡弊社の
　　IDCは、10社のISP（ISP-Q～ISP-Z）と直接接続（以下、ピアリングという）
　　していますので、ISPの障害によるECシステムの停止は避けられます｡

表　IDCの設備とサービスの概要

設備及びサービス	概要
耐震	耐震強度を考慮して設計された建物、フロアは免震構造
消火	消火ガスを利用した消火設備
電源	商用電源2系統、自家発電設備、UPS設備
ISPとのピアリング	10社
標準サービス	pingによる監視
オプションサービス	SNMPによる監視、障害対応、運用管理など

F君：自家発電設備があるのに、UPS設備をもつ理由は何ですか｡
C氏：商用電源の瞬断からコンピュータシステムを守るためです｡また、停電時には
　　自家発電装置が稼働しますが、自家発電に切り替わるときの対策も兼ねていま
　　す｡
F君：すごい設備ですね｡システムの障害対応や運用管理は、どのような方法で実施
　　していただけるのですか｡
C氏：24時間365 日のシステムの監視と障害対応及び運用管理などを行います｡監
　　視によって障害を発見した場合には、オプションサービスとして障害対応を実
　　施します｡実施する作業は、障害対応マニュアルに従って行います｡また、運
　　用管理マニュアルに従って行う運用管理も、オプションサービスとして用意し
　　ております｡
F君：障害対応マニュアルや運用管理マニュアルは、だれが作成することになります
　　か｡
C氏：それらはシステムの構成や内容、運用方法に関係しますので、お客様に作成し
　　ていただきます｡

G課長から指摘された課題は、C氏の説明からIDCのハウジングサービスを利用
することで解決できることが分かった｡そこで、F君はIDCのハウジングサービス
利用も盛り込んだ新システムヘの移行計画をまとめることにした｡

設問1

本文中の【ア】～【エ】に入れる適切な字句を答えよ｡

設問2

図2のISPの二重化に関する次の問いに答えよ｡

（1）本文中の下線（a）となる理由は何か｡75字以内で述べよ｡

（2）LBでISPまでのルート障害を検出するためには、どの機器に対してpingチ
　　ェックを行えばよいか｡20字以内で述べよ｡

設問3

図3のメールシステムに関する次の問いに答えよ｡

（1）【 a 】～【 d 】に入れる適切な字句を答えよ。

（2）中継用SMTPサーバでは、なぜ不正中継防止処理を容易に実施できるか｡
　　その理由を40字以内で述べよ｡

設問4

ECシステムの安全対策に関する次の問いに答えよ｡

（1）【オ】に入れる適切な字句を答えよ。

（2）APサーバヘの処理の振分けのために、LBを利用しない理由は何か｡55字
　　以内で述べよ｡

（3）本文中の下線（b）に従ってDNSサーバを設定するが、図4のDNSサーバ2
　　が管理するゾーン情報は何か。20字以内で述べよ。

設問5

IDCのハウジングサービス利用に関する次の問いに答えよ｡

（1）図5中の【 e 】、【 f 】に入れる適切な機器の名称を答えよ。
　　また、解答欄に本文中の表記に従って必要な機器及び接続関係を図示し、図5
　　を完成させよ｡

（2）自家発電に切り替わるときのUPSの役割は何か｡40字以内で述べよ｡

（3）〔ECシステムの運用に関する課題〕の④、⑤に対応するために、運用管理
　　マニュアルで指示すべき具体的な作業内容を二つ挙げ、それぞれ40字以内で
　　述べよ｡