らい・ぶらり

【基本情報技術者試験】第15回：ネットワーク・セキュリティ問題の攻略！OSI参照モデルからファイアウォール、脅威と対策まで

前回（第14回）は、データベース分野の午後問題を取り上げ、正規化やSQLクエリ、トランザクション管理などを詳しく解説しました。今回は、基本情報技術者試験の午後試験でもよく出題されるネットワーク・セキュリティ問題に焦点を当てます。

ネットワークやセキュリティは企業のITインフラを支える重要領域であり、OSI参照モデルやTCP/IP、ファイアウォール、不正アクセス対策など、多岐にわたる知識が必要です。本記事では、午後試験特有の長文問題を念頭に、どのように読解し、設問に答えるかを体系的にまとめます。午前試験の知識を応用しながら、午後で得点源にできるよう理解を深めていきましょう。

1. 午後試験におけるネットワーク・セキュリティ問題の特徴

1-1. 出題の傾向と形式

ネットワーク・セキュリティ問題は、午後試験で以下のような形式が多いです。

長文+ネットワーク構成図が提示され、通信トラブルやアクセス制御についての設問が出される。
OSI参照モデルやTCP/IPの各層に対応するプロトコルや装置（ルータ、スイッチ等）の役割を問う問題。
ファイアウォールやVPN、IDS/IPSなどセキュリティ機器の設定例が示され、アクセス制御ルールやポート番号の設定ミスを見つける。
不正アクセスやマルウェア感染の事例を示し、原因究明や対策を記述させる。

長文を読み込んで、ネットワーク構成やセキュリティ要件を把握し、設問ごとに短い計算問題や設定の不備指摘、最適な対策の提案などを行うパターンが多いのが特徴です。

1-2. 午前知識と午後応用の関係

午前試験で学ぶOSI参照モデルやTCP/IPの各層、プロトコルの仕組み（HTTP, FTP, SMTP, DNSなど）は午後試験での基礎的な土台となります。午後試験では、これらの技術を使って「実際にどう通信が流れるか」や「どのポートを開放する必要があるか」、「不正アクセスを防ぐための設定」など具体的に考えられるかが問われます。

2. OSI参照モデルとTCP/IPモデルの復習

2-1. OSI参照モデルの7階層

ネットワークの概念モデルであるOSI参照モデルは、以下の7階層に分かれています。

物理層（Physical）: ケーブルや電気信号を定義
データリンク層（Data Link）: 同一ネットワーク内のフレーム転送、MACアドレスの扱い
ネットワーク層（Network）: IPなどのルーティングプロトコル、異なるネットワーク間接続
トランスポート層（Transport）: TCP/UDPによるエンドツーエンド通信
セッション層（Session）: 通信セッションの確立と管理
プレゼンテーション層（Presentation）: データ形式の変換や暗号化
アプリケーション層（Application）: HTTP, FTP, SMTPなど実際のアプリケーションプロトコル

午後試験では「ある通信で生じた不具合がトランスポート層かアプリケーション層か」といった視点で誤設定を突き止めるケースが見られます。各層が何を担当しているかをしっかり把握しておきましょう。

2-2. TCP/IPモデルとの対応

TCP/IPモデルは4階層（あるいは5階層）構造として整理されることが多く、OSIモデルの7階層と対応づけて学びます。

アプリケーション層: HTTP, SMTP, FTP, DNSなど
トランスポート層: TCP, UDP
インターネット層: IP, ICMP, ARPなど
ネットワークインターフェース層: Ethernet, PPPなど

午後試験では、OSI第3層＝ネットワーク層やOSI第4層＝トランスポート層といった言及が出てくる可能性が高いので、用語の混同を防ぎましょう。

3. ネットワーク構成図の読み取り方

3-1. 構成要素と役割を把握する

午後問題では、ネットワーク構成図に「インターネット」「ルータ」「スイッチ」「ファイアウォール」「DMZ」「内部LAN」「サーバ群（Webサーバ、DBサーバなど）」が描かれることがあります。読み取りのポイント：

ルータ: 異なるネットワーク間をつなぐ（OSI第3層）。IPアドレスで経路選択。
スイッチ: 同一ネットワーク内のデータリンク層（OSI第2層）でフレーム転送。MACアドレスを学習。
ファイアウォール: パケットフィルタやアプリケーションゲートウェイなどで不要な通信を遮断。
DMZ（DeMilitarized Zone）: 外部公開サーバを置く中間領域。内部LANとインターネットを隔離。

問題文に「どの機器がどのサブネットに属しているか」「どのプロトコルを通すルール」などが記載されていれば、どこに設定ミスがあるか推定しながら読むのが効果的です。

3-2. IPアドレス計算やサブネットマスク

ネットワーク問題では、IPアドレスやサブネットマスクの計算問題が出題されることもあります。例：「192.168.10.0/24を4つのサブネットに分割するとしたら、サブネットマスクはどのようになるか」など。

CIDR表記（/24, /26 など）の理解
サブネットマスクを2進数で考えて、どれくらいビットを借りるか
ネットワークアドレスとブロードキャストアドレスを求める際の計算

午後試験でこれが出たら、紙に2進数のビットを割り振りながら計算すると安心です。暗算でミスしないように注意しましょう。

4. セキュリティ対策と脅威の例

4-1. ファイアウォールの仕組みと設定

ファイアウォールに関する設問では、アクセス制御ルール（ソースIPや宛先IP、ポート番号、プロトコルなど）を設定した例が出ることが多いです。問題文に以下のような表が示される場合も：

No.   源IP       宛先IP       ポート   プロトコル  アクション
1   ANY       192.168.1.10  80        TCP       ALLOW
2   ANY       192.168.1.10  443       TCP       ALLOW
3   192.168.0.0/16  ANY    ANY       ANY       DENY
...

設問例：「HTTPS通信が通らない原因はどのルールが原因か」「外部からSSHで接続できないようにするにはどう設定すべきか」など。アクセス順序や最優先ルールに気を付けつつ、どのパケットが通過/遮断されるかを頭の中でシミュレートするのが鍵です。

4-2. VPNやIDS/IPSの概要

近年の試験では、VPN（仮想プライベートネットワーク）やIDS/IPS（侵入検知/侵入防止システム）が登場することもあります。主な知識ポイント：

VPN: インターネット上に暗号化されたトンネルを作り、あたかも専用線のように通信する。IPsec VPN、SSL-VPNなど。
IDS（侵入検知）: 不正アクセスや怪しいトラフィックを検知して管理者に通知。
IPS（侵入防止）: IDSの機能に加え、実際に不正通信をブロックする機能を持つ。

午後試験では、VPNの設定例が示され、「なぜ暗号化により盗聴が防げるか」を説明したり、「IDSがアラートを出す仕組み」を述べさせたりする問題が出る可能性があります。

4-3. 不正アクセス・マルウェアの典型事例

セキュリティ問題でよく見かける脅威の例：

SQLインジェクション: 入力フォームに不正なSQL文を埋め込む攻撃。
クロスサイトスクリプティング（XSS）: 悪意のあるスクリプトをWebページに注入し、ユーザブラウザで実行。
フィッシング: 偽サイトやメールで個人情報を盗み取る。
パスワードリスト攻撃: 流出したID/パスワードの組み合わせを他のサービスでも使う。
ランサムウェア: データを暗号化し、身代金を要求。

午後問題ではこれらの攻撃例が書かれ、「被害を防ぐにはどのような対策が必要か」を問う記述問題がよくあります。WAF（Web Application Firewall）の導入やパラメータエスケープなど具体的な対策をイメージできると得点しやすいです。

5. 問題の解き方：段階的アプローチ

5-1. 長文をざっと把握し、設問を確認

ネットワーク・セキュリティ問題は長文と図表がセットになっていることがほとんどです。まずは全体構成（ネットワーク図やセキュリティ要件など）をざっくり読み、「どんなシステムか」「どの機器が配置されているか」「セキュリティポリシーはどうなっているか」を掴みます。その後、設問を先にチェックして、必要な箇所に焦点を当てながら再度本文を読むと効率的です。

5-2. 特定の箇所を掘り下げてメモする

たとえば、ファイアウォールのルール表があるなら、紙に転記しながらルールを順に見て不備を探す。ネットワークアドレスやサブネットを計算する問題なら、IPアドレスを2進数で書き出すなど、部分的な問題に着目してメモを作る習慣が重要です。頭の中だけで処理するとミスが増えがちです。

5-3. セキュリティ脅威・対策の設問は具体例を踏まえて解答

「不正アクセスを防ぐために何が必要か」など記述問題の場合、試験対策として以下のように答えるとわかりやすいです。

脅威の具体名を挙げる（例：「パスワードリスト攻撃に対して…」）
対策の技術名や設定方法を具体的に説明（例：「アカウントロックを実装する」「WAFを導入しSQLインジェクションを防ぐ」など）

字数制限がある場合は、結論→根拠→具体例の順で簡潔にまとめると高評価が期待できます。

6. 効率的な学習・演習法

6-1. 過去問でネットワーク図の分析練習

他の分野と同様、過去問演習が何よりも効果的です。少なくとも直近3〜5年分を解き、以下を重点的に確認しましょう。

どんなネットワーク構成図が出たか
ファイアウォールルールやACL（Access Control List）の例
暗号通信（VPN, SSL/TLSなど）の設定例
攻撃手法の事例と対策を問う記述形式

解答解説を読み、「なぜそうなるのか」を理解することが大切です。単なる丸暗記ではなく、構成図を読んで設定や通信経路を想像する力を養いましょう。

6-2. 午前知識の再確認

OSIモデルやTCP/UDP、IPアドレス、ルーティング、ポート番号などの基本的な午前知識を復習しておくと、午後の読解が非常にスムーズになります。例えば、

Port番号: HTTP(80), HTTPS(443), SMTP(25), SSH(22), DNS(53)など主要ポート
プロトコルの働き: ARP、ICMP、DHCP、DNSなど
暗号化や認証: 共通鍵暗号、公開鍵暗号、PKIなど

「午前対策をひと通りやったからOK」と思わず、午後問題に絡む部分を意識して再整理すると効果的です。

6-3. 実機やシミュレータで簡単に試す

もし余裕があれば、ルータやファイアウォールの設定を試すソフトウェア（Packet TracerやVirtualBoxでのLinuxルータなど）を使い、簡易的なネットワークを構築してみるのも理解が深まります。

実務経験がある方は、自社や学内ネットワークの例をイメージするだけでも、「ここで外部からのSSHを遮断する設定は…?」など具体的に考えるきっかけになります。

7. まとめと次回予告

午後試験ネットワーク・セキュリティ問題の特徴:
- 長文＋ネットワーク図やファイアウォールルールが提示され、設定や通信トラブル、対策を問われる。
- OSI参照モデルやTCP/IP、サブネット計算など午前知識の応用が必須。
主要ポイント:
- OSI参照モデルの各層機能、TCP/UDPなどトランスポート層の理解
- ファイアウォール（パケットフィルタ、アプリゲートウェイ）、DMZ、VPN、IDS/IPSなどセキュリティ機器の動き
- 不正アクセスやマルウェアの代表例と具体的な対策
解き方の手順:
- 問題文と構成図を俯瞰 → 設問を先にチェック → 必要箇所の情報を抜き出しメモ化
- 設定ルールやIP割り当て、ポート番号の整合性を一つずつ検証
- セキュリティ対策の問題は脅威に応じた具体的手法を挙げる
学習方法:
- 過去問でネットワーク構成図や設定例を分析する
- 午前試験のプロトコル・ポート・暗号化の知識を再確認
- 可能なら実機やシミュレータでネットワーク構築を試す