HOME»情報処理安全確保支援士掲示板»H30秋 午後2 問2 設問2について
投稿する
»[1698] 令和3年秋午後Ⅱ [問1]設問5(3) 投稿数:3
»[1697] 最近のLinux出題傾向 投稿数:3
H30秋 午後2 問2 設問2について [1700]
ゆーぼさん(No.1)
お世話になっております。
下記2点の設問について納得がいかなかったため、質問させていただきます。
同2点以外は自身を持って正答出来た物の、この2点についてはいまいちピンと来ません。
---------------
@設問2 (2)について
「生産関連サーバのバックアップを他の工場又はデータセンタに配置する。」が解答に挙がる理由が判りません。
あくまで本体をIaaSCに移したとしても、バックアップの配置自体は特に禁じられていないはずです。
「日本国内ではシステムを東日本地区と西日本地区に分け~」 の解答が他2公式解答に並んで正しい論点ではないでしょうか。
(同一の国または地域内の2箇所~の公式解答と重複部分はありますが...)
---------------
@設問2 (3)について
「X社のシステムの機器に割り当てているIPアドレスが、IaaS Cで予約されているプライベートアドレスと重複する可能性があるという問題を回避するため」の解答がいまいち理解できません。
X社NWとIaaSCの間はインターネットで隔てられており、
通信を行う上でVPNを利用したとしても、一度グローバルIPに変換された上で、
外部からの通信として処理されるはずです。X社内側の機器のプライベートIPアドレスと、
IaaSC側で予約済みのプライベートIPアドレスが重複しようとも、何も問題ないのではないでしょうか。
問題文中に根拠がない設問(知識解答)として、
「IaaSC側で接続可能なIPを制限しており、都度異なるグローバルIPにより接続すると正常に接続できない可能性が有り、FWによりNATを咬ませて許可されたIPに変える為」等が正しい気がします。
※公式が正しいと言えば正しいのは分かりますが...
下記2点の設問について納得がいかなかったため、質問させていただきます。
同2点以外は自身を持って正答出来た物の、この2点についてはいまいちピンと来ません。
---------------
@設問2 (2)について
「生産関連サーバのバックアップを他の工場又はデータセンタに配置する。」が解答に挙がる理由が判りません。
あくまで本体をIaaSCに移したとしても、バックアップの配置自体は特に禁じられていないはずです。
「日本国内ではシステムを東日本地区と西日本地区に分け~」 の解答が他2公式解答に並んで正しい論点ではないでしょうか。
(同一の国または地域内の2箇所~の公式解答と重複部分はありますが...)
---------------
@設問2 (3)について
「X社のシステムの機器に割り当てているIPアドレスが、IaaS Cで予約されているプライベートアドレスと重複する可能性があるという問題を回避するため」の解答がいまいち理解できません。
X社NWとIaaSCの間はインターネットで隔てられており、
通信を行う上でVPNを利用したとしても、一度グローバルIPに変換された上で、
外部からの通信として処理されるはずです。X社内側の機器のプライベートIPアドレスと、
IaaSC側で予約済みのプライベートIPアドレスが重複しようとも、何も問題ないのではないでしょうか。
問題文中に根拠がない設問(知識解答)として、
「IaaSC側で接続可能なIPを制限しており、都度異なるグローバルIPにより接続すると正常に接続できない可能性が有り、FWによりNATを咬ませて許可されたIPに変える為」等が正しい気がします。
※公式が正しいと言えば正しいのは分かりますが...
2024.09.06 21:56
pixさん(No.2)
★SC ダイヤモンドマイスター
質問は「H30秋 午後2 【問1】 設問2」ではないでしょうか。
ここはBCP(事業継続計画)についての考慮事項です。
IaaS Cのサービスで災害対策として、
「日本国内のデータセンタが被災した場合はシンガポールのデータセンタで
サービスが継続される。」とあります。
設問2-(2)には「生産管理サーバをクラウドに移行し、かつIaaS Cの本文中に
示したサービスを全て利用した場合に満たせなくなる基本要件」とあります。
【サービスを全て利用する】とありますので、生産管理サーバでも
『災害対策サービス』を利用する前提となります。
このIaaS Cの災害対策サービスは災害時にシンガポールでサービスが継続されます。
これでは基本要件である「生産関連サーバのバックアップを他の工場又は
データセンタに配置する。」を満たしていない事になります。
もし独自にバックアップを配置するというのであれば、【サービスを全て利用する】と
いう趣旨を無視しています。
また、クラウド環境ではなくオンプレ環境に別システムを用意することにという
点でもクラウド以外を利用しているため、趣旨から外れています。
申し訳ありませんが、VPNに対して誤解があるようです。
X社とIaaS Cはサイト間VPNで接続されると想定されます。
サイト間VPNは拠点間にセキュアなトンネルを作成し、外側のVPNは
グローバルIPアドレスですが、内側のトンネルは完全にプライベートIPアドレスでの
通信となります。
IaaS Cへ移行する際に、元のプライベートIPアドレスをそのまま移行する
計画です。しかし、IaaS Cで予約されているプライベートアドレスがあるため
いくつかのプライベートIPアドレスは重複してしまい、利用できないです。
これは一般の商用クラウドで起こりうる事象です。
クラウド上に仮想ネットワークを作成するとします。
その仮想ネットワークに割り当てられたIPアドレスのうち、2,3のIPアドレスは
仮想ネットワーク管理用に予約されています。
例として、
192.168.100.0の仮想ネットワークを作成したとします。
通常であれば、このネットワーク内で
192.168.100.1~192.168.100.254までは利用できます。
しかし、クラウドの制約で最初のいくつか(例として3つ)が予約されている
場合があります。その場合に利用できるのは
192.168.100.4~192.168.100.254となります。
もし移行前の環境で192.168.100.1~192.168.100.3を利用していた場合は、
そのままクラウドに移行できません。一旦別のIPアドレスを割り当て、
社内からは192.168.100.1~192.168.100.3をNAT変換してアクセスする
必要があります。
>@設問2 (2)について
>「生産関連サーバのバックアップを他の工場又はデータセンタに配置する。」が
>解答に挙がる理由が判りません。
> あくまで本体をIaaSCに移したとしても、バックアップの配置自体は特に
>禁じられていないはずです。
> 「日本国内ではシステムを東日本地区と西日本地区に分け~」 の解答が
>他2公式解答に並んで正しい論点ではないでしょうか。
> (同一の国または地域内の2箇所~の公式解答と重複部分はありますが...)
ここはBCP(事業継続計画)についての考慮事項です。
IaaS Cのサービスで災害対策として、
「日本国内のデータセンタが被災した場合はシンガポールのデータセンタで
サービスが継続される。」とあります。
設問2-(2)には「生産管理サーバをクラウドに移行し、かつIaaS Cの本文中に
示したサービスを全て利用した場合に満たせなくなる基本要件」とあります。
【サービスを全て利用する】とありますので、生産管理サーバでも
『災害対策サービス』を利用する前提となります。
このIaaS Cの災害対策サービスは災害時にシンガポールでサービスが継続されます。
これでは基本要件である「生産関連サーバのバックアップを他の工場又は
データセンタに配置する。」を満たしていない事になります。
もし独自にバックアップを配置するというのであれば、【サービスを全て利用する】と
いう趣旨を無視しています。
また、クラウド環境ではなくオンプレ環境に別システムを用意することにという
点でもクラウド以外を利用しているため、趣旨から外れています。
>@設問2 (3)について
>「X社のシステムの機器に割り当てているIPアドレスが、IaaS Cで予約されている
>プライベートアドレスと重複する可能性があるという問題を回避するため」の解答が
>いまいち理解できません。
>X社NWとIaaSCの間はインターネットで隔てられており、
>通信を行う上でVPNを利用したとしても、一度グローバルIPに変換された上で、
>外部からの通信として処理されるはずです。X社内側の機器のプライベート
>IPアドレスと、IaaSC側で予約済みのプライベートIPアドレスが重複しようとも、
>何も問題ないのではないでしょうか。
申し訳ありませんが、VPNに対して誤解があるようです。
X社とIaaS Cはサイト間VPNで接続されると想定されます。
サイト間VPNは拠点間にセキュアなトンネルを作成し、外側のVPNは
グローバルIPアドレスですが、内側のトンネルは完全にプライベートIPアドレスでの
通信となります。
IaaS Cへ移行する際に、元のプライベートIPアドレスをそのまま移行する
計画です。しかし、IaaS Cで予約されているプライベートアドレスがあるため
いくつかのプライベートIPアドレスは重複してしまい、利用できないです。
これは一般の商用クラウドで起こりうる事象です。
クラウド上に仮想ネットワークを作成するとします。
その仮想ネットワークに割り当てられたIPアドレスのうち、2,3のIPアドレスは
仮想ネットワーク管理用に予約されています。
例として、
192.168.100.0の仮想ネットワークを作成したとします。
通常であれば、このネットワーク内で
192.168.100.1~192.168.100.254までは利用できます。
しかし、クラウドの制約で最初のいくつか(例として3つ)が予約されている
場合があります。その場合に利用できるのは
192.168.100.4~192.168.100.254となります。
もし移行前の環境で192.168.100.1~192.168.100.3を利用していた場合は、
そのままクラウドに移行できません。一旦別のIPアドレスを割り当て、
社内からは192.168.100.1~192.168.100.3をNAT変換してアクセスする
必要があります。
2024.09.06 23:37
ゆーぼさん(No.3)
pix様、いつもお世話になっております。
長々とした質問にご丁寧にご回答いただきありがとうございます。
@設問2 (2)について
サービスを全て利用する=それ以外の環境(オンプレ)での利用は想定しない、
と読み解く必要があったという事ですね。承知いたしました。
---------------
@設問2 (3)について
サイト間VPNの場合同一のLANのように利用する事が出来るのですね。
VPNに対する理解に誤りがありました。ありがとうございます。
NATについても、プライベートIP→グローバルIPの変換のためだけに使う機能と認識しておりましたが、
今回の例のようにプライベートIP→別のプライベートIPに変換する用途でも、
使う事が有るのですね。勉強になりました。
ご回答いただきありがとうございました。
長々とした質問にご丁寧にご回答いただきありがとうございます。
@設問2 (2)について
サービスを全て利用する=それ以外の環境(オンプレ)での利用は想定しない、
と読み解く必要があったという事ですね。承知いたしました。
---------------
@設問2 (3)について
サイト間VPNの場合同一のLANのように利用する事が出来るのですね。
VPNに対する理解に誤りがありました。ありがとうございます。
NATについても、プライベートIP→グローバルIPの変換のためだけに使う機能と認識しておりましたが、
今回の例のようにプライベートIP→別のプライベートIPに変換する用途でも、
使う事が有るのですね。勉強になりました。
ご回答いただきありがとうございました。
2024.09.07 11:59
その他のスレッド
»[1699] H27秋 午後Ⅰ 問2 設問2(2)c 投稿数:3»[1698] 令和3年秋午後Ⅱ [問1]設問5(3) 投稿数:3
»[1697] 最近のLinux出題傾向 投稿数:3