個人的に午前、午後1の大問1、午後2(大問2を選択)はかなり解きやすかったですが、
午後1の大問2，3が参考書に名前は載っていたもののほぼノーマークだった用語が複数出てきて焦りました。

また全体的に暗号化関連が多くセキュリティの試験かな？と思ったり。
過去の問題と比べて少し異色な感じがしました。

午後2は最初10年前くらいのメール全盛期のセキスペかなにかか？と思いました。

セキュリティの割合だいぶ多くなりましたね。
自分も同じ印象です。

自分は
午後I：問1(CDN)、問2(IPsec)
午後II：問2(DNS)
選択しました。

今回初NWですが、支援士持ってるので何とかそのアドバンテージ活かせられたかな。。(と思いたい)

選択したのは午後1が問1、問3
午後2は問2

問3は問3で一日一回くらいソースが読めて気分がよかったです

午後Ⅰ(1)、午後Ⅱ(2)は、解きやすかった分、間違えてる気がして不安になってる。。と思ってる時点で理解してなかったんだろうなーと

午後2、終了5分前に、問選択に丸つけてないことに気づいた。冷や汗をかいた、、気づいてよかった。全体的には、満足いく結果でした。合格しているといいなぁ、、

選択は、午後1は、1と2
午後2は、2

です。

午前2
うあいいえ
いええええ
ういいいい
あえいええ
ああああえ

午前1、免除。
午前2、よく見る問題、いくつか。まいど、IPAらしさがにじみ出てる。
午後1、問3のVPNにJavaScriptが出てきて、ちょーあせる。が、問1のゲームサーバはさくさく進む。
午後2、DNSとメール。実務でも、あんましやってるとこ、ないですよね。spfやDKIMにS/MIMEと、オーソドックスな内容だが、ひたすら字数制限と格闘。

この投稿は投稿者により削除されました。(2024.04.21 17:07)

>> No.3

あ、午後I
問2ではなく問3でした。
※問2は途中まで解いて絶望してやめました
IPsecは入念に準備しておいたので、多分いけてるハズ...

セキスペの様な問題でびっくりしました。

午後IIで問1見た時は吐き気が…。問2選びましたがこれで合格してもメールスペシャリスト感

午前2 ○
午後1 問１と２選択（問3はWPADの穴埋めみて回避）
午後2 問1選択（問2は設問1だけ取り掛かかった結果不安になって回避）

午後１も２も、体感ボーダーでした。

ともあれ、皆お疲れ様です。
こんな試験、申し込んで勉強してしっかり最後までいたこと自体誇っていいよ。

SCの勉強プラスアルファだけで解けるようなものばかりでしたね。ちょっと拍子抜けです。
もしかしたら調整入りますかね

モチベが出ずほぼ投げやりノー勉で挑んだんですが
午前で足ぎりをくらってる感があり
前回まで支援士の勉強をしてたため午後が中途半端に解けてしまい本腰入れてやっておけば良かったと後悔しています。
こんなセキュリティに寄った回は向こう5年はなさそう....。
解いてる途中で支援士の問題文と間違えたかと表紙を見たぐらいです。

午後1は1と3選択しました。午後1に関してはぎりボーダーくらいかなって感じですが、、、午後2で問1を選択してしまいました。この問題が分からなければ問2にしよう、を繰り返してるうちに後にひけなくなりました…
バカでかい得点調整されたりしないかな…

午後1は1,3、午後2は2を選択しました
今までネスペの過去問解いてきたけど、ネスペらしさがあんま感じられなかった。
感触6割いけたか...？なので、みなさん合格してるといいですね。

支援士の合格者は無勉でもワンチャン受かるんちゃうかと思うくらいに、セキュリティ寄りでしたねぇ

解答速報っていつもいつ頃出ますっけ

前回の支援士を合格した者です。
午後Ⅰは１と３を選択しましたが、結構絶望的でした。特に、３のイ～オは適当に埋めてますし、記述も微妙な表現が雰囲気です。
午後Ⅱは絶対今回は出ると思っていたため本気で学習したSPF、DKIM、DMARCだったので、8割は行っている感覚なため、午後Ⅰが何かの拍子で60に乗ってくれれば受かってそうな感じです。

今回は免除を受けれず、午前１から受験したので疲れた。
大丈夫だと思うが、これで午前1で足切りされてたらショック。

午前1 免除
午前2 過去問道場以外の対策をしていなかったので初見問題にビビるも、体感6~7割。大丈夫と信じたい。
午後1
ルーティングプロトコル系は苦手意識があったのでパッと見渡して解きやすそうだった3から着手。PACの中でSaasのcdnサーバーのルールまであって中々面白いなと思ったけど解答に使うことはなく拍子抜け。
続いて1へ。
全体を通してひねりが効いた問題はなく、いい感触。
午後2
ルーティングプロトコル系を避けて2へ。NWらしさがなくSCの時の知識だけでサクサク進む。
あれ？という感じ。
もう少し歯応えのある問題にして欲しかった。

自信のある方、午後I問2の解答教えて欲しいです。。

午前Ⅰ，Ⅱの解答って、いつごろ出るんですかね？

午後Ⅰは問1問2の人が多いんすね
自分は問1と問3でした
というか1〜3全部やって1と3に◯した
午後Ⅰ次第だなあ、、

解答はやくほしいなぁ

https://www.ipa.go.jp/shiken/mondai-kaiotu/m42obm000000afqx-att/2024r06h_nw_am2_ans.pdf

20/25でした  よかったよかった

午後1の回答って出てますか？

試験終わった後の部屋整理が一番楽しい

この投稿は投稿者により削除されました。(2024.04.21 21:06)

あ、、、1点差で落ちてた、、、
来年頑張ります

安全確保支援士みたいに盛り上がっていないのはなぜでしょうか？
ネスペは東大の理3みたいな問題という印象です。
努力して取れるものなのですかね。

午後1の1と3解いた方いたら、回答出し合いませんか？

午前Iぎりぎりでした。あぶなっ！

午前Ⅰ、午前Ⅱ共に公式解答を確認しボーダーは超えてました。
午後は午後Ⅰ問1、問2、午後Ⅱは問2解きましたけど、厳しそう。。。。
どなたか午後の勉強方法を教えていただけませんか。

午後1は午前2の延長なので、知識をつけます。
午後2は、問題文に答えが書いてあるので、読んで解きます。
以上です。

午後1の問い3の回答速報が出てるところありますか？

午前１  免除
午前２  21/25  PCIeの話が出るとは。。。

午後１  問２、３選択  CDNは個人的に不得意だったので逃げ
午後２  問２選択  心の叫び「セキュリティやんけ！」

すでに確保士合格しているのでセキュリティ寄りの問題はありがたいのですが、ここまで寄ると受かっても実感が湧かないです。。。

午前Ⅰ免除
午前Ⅱは８割正解できました
午後Ⅰは問１と問３選択
午後Ⅱは問２選択

午後Ⅱの問２は大体埋めたけど、ほかの方の感想にあった通り、これで受かってもメールスペシャリストだなあ…

関係ないけど気になってＳＣの掲示板見たらちょっと荒れてましたね…
ＮＷは易化した？ＳＣは難化？

午後Ⅱ問２は神奈川県教育委員会のやらかしがあったからSC受けるときに勉強しよって放置してたら、NWで来るんかい！っていう感想になったわ。

なんか、ネットワークスペシャリストてゆうより、情報処理安全確保支援士の延長みたいな試験に感じました。
半期前に情報処理安全確保支援士取ったばかりですので、普段のネスペより簡単だったのかなと思ってます。
これで落ちてたら、なにごあかんかったん？てくらい受かってると思います

同じく半年前に支援士取ったんですけど、ほぼ無勉で午後結構解けてしまった。
VXLANもSD-WANもしまいにはISP側が使うルーティングプロトコルすら全然知らないのにこれで受かってもネスペ名乗るの怖いです。

IPsecのトランスポートモードって、IPヘッダも暗号化するんだっけ？って思いました
トランスポートモードは元あるパケットのIPヘッダとTCPヘッダの間にESPヘッダを挿入するから、暗号化範囲は「元のIPペイロードとESPトレーラ」では？と気になりました。

手元に冊子が無いのであれですが、IPsecの前にIP-IPでカプセル化されているので、本来のIPヘッダはカプセル化されたIPペイロードに含まれている、と当時は考えていた気がします。

焦ってその辺り読み飛ばしていました。。。
IP-IPに対してって思いっきり書いてありますね、腑に落ちました。
ありがとうございます。

午後1問2の設問2(3)、出題者の意図が掴めない。isInNetはネットワークアドレスとブロードキャストアドレス両方とも許容するので、最初が0、最後が255の方が正しそうだが…

>nemunemu さん

問2ではなく3ですかね。
自分は出題意図を「ホスト部が全て0と255は使えないこと知ってるか？」と思い、それを除いた範囲を書いたんですが…違ってましたか…。

ただ単純に
そういえばこのアドレス範囲ってどこまでだっけ？
くらいのノリで出題されたと思ってました笑

単純なサブネットの計算問題でいいんじゃないでしょうか。
アドレス空間を答えなさい、なので、ホストに使えるかまでは聞かれていないと思いました。

確かに冷静に考えたら、条件式の範囲としてはそうですね。(実際にホスト部が全0,255なのかは別の話)

あー。なんか午後Iダメそうな気がしてきました…。

支援士受けた人とかでネスペ受けとけばって後悔してる人いるかもだけど、逆にVXLANやSDWANのような高度な技術を試験という強制力のあるイベントでキャッチアップできる機会が得られたと思うようにしましょう。ベンダー資格のように更新がないのだから尚更ね。

自信ないですが、、、、、

■問１
設問１
（１）L3のIP疎通しか確認できず、L7の配信サービスの動作状況までは確認できないから。
（２）ア：最小接続数、イ：172.22.1.0/24
（３）LB

設問２
（１）ウ：大きい、エ：小さい
（２）IX
（３）BGP接続の盗聴
（４）不正な経路を受け取ることで、正規の端末が配信を受けられず、不正な端末が配信を受ける。

設問３
（１）FW１まで到達しないので、侵入されても影響範囲が狭い。
（２）送信元IPなどを含んだ細かいフィルタリングができる点。

■問３
設問１
（１）ホブアンドスポーク
（２）共通鍵
（３）一つの鍵が流出しても、他の支社に影響がない。
（４）元のIPパケット、ESPトレーラ
（５）IPアドレスの割り振りを、数字の順序どおりにしない。
（６）再度配信する。

設問２
（１）利用しない
（２）本社のプロキシサーバ
（３）172.16.0.0~172.31.255.255
（４）プロキシサーバへの負荷が小さくなる。
（５）UTMプロキシサーバは支社ごとに異なるから。

設問３
（１）イ：DNS、ウ：DHCP、エ：http、オ：URL
（２）誤った場所の悪意あるPACファイルを使ってしまう。

同じく自信がないです。。。

■問３
設問１
（１）ホブアンドスポーク
（２）共通鍵
（３）鍵の更新が必要になった場合、対象支社の分だけ更新すれば良い
（４）IPヘッダー、元のIPパケット、ESPトレーラ 
         ※tunnel over tunnel になる（問３はdockerや6to4構成ではないのであまり意味がないかも）
（５）IPアドレスの割り振りの順序を保持しない
（６）処理効率が低下する

設問２
（１）利用しない
（２）proxy.a-sha.jp:8080
（３）172.16.0.0~172.31.255.255
（４）プロキシサーバの負荷が低減出来る
（５）pac内の引数やロジックが異なるから。

設問３
（１）イ：DNS ウ：DHCP エ：HTTP オ：URL
（２）不正なPACファイルを取得するリスクがある

例年より易化してる感じはしますよね。

例年より高得点取らないといけないような得点調整入るのかな？

情報処理安全確保の問題はすごかったようですね。

この投稿は投稿者により削除されました。(2024.04.23 11:30)

午後2は問1選択しました。
問2の方が取り組みやすい分、ケアレスミスや読解ミスするとリカバリーできず危なさそうと直感で判断しました。

あげている方いなさそうでしたので、ご参考になればと思います。
その場で問題文見て解答考えたのですが、余裕がなく後になってもっと適切な表現があったと後悔しています。
午後1、2共にそこまで自信はないという感想です。

設問1
(1)a24    b3    c UDP/TCP
(2)①イーサネットフレーム  ②VXLANヘッダー  ③IPv4ヘッダー
(3)ARPテーブルに登録がない場合に、学習させて通信させる必要があるため

設問2
(1)エ LSDB    オ ルート
(2)同一ネットワーク内のOSPFのルータ
※代表ルータのこと書きたかったのですが、プライオリティやDR/BDRのことが問題文内に記載されてないので、記載を避けました。吉と出ない気がします。
(3)複数経路が選択できるように経路に対してOSPFのコスト値を同じ値に設計する
(4)物理インタフェースのリンクダウンの影響を受けず、通信が継続して可能だから
(5) ア：×、イ：×、ウ：×、エ：×、オ：○、カ：×

設問3
(2)MACアドレスとIPアドレスの組み合わせ情報をARPテーブルに学習する
(3)キ：10010  ク：10.0.0.31  ケ：10010  コ：10.0.0.11

設問4
(1) iBGPの経路情報を利用しルーティングループが発生しない、VNI
(2) f：Unknown Unicast、g：ESI
(3)ケーブルの本数分利用できる帯域を増やすことができる
(4)VNI単位で、VALNに対応して学習する
(5)あらかじめ学習したVNIに対応するリモートVTEPのIPアドレスから転送する

あまりあげているいなさそうで、私も自信ないの多いですが、ご参考までに。
午後1です。

■問１
設問１
（１）アプリケーション層の障害時に検知できずに継続してサーバへ振り分けされてしまう問題
（２）ア：最小接続数、イ：172.22.1.0/24
（３）LB

設問２
（１）ウ：大きい、エ：小さい
（２）IX
（３）BGPピアの不正接続
（４）攻撃者が用意した不正な経路に誘導されて、通信をしてしまう

設問３
（１）検知したDDoS攻撃の宛先IPアドレスを利用しフィルタできる
（２）NetFlowパケットで利用できるフィルタの組み合わせが多くなる

■問３
設問１
（１）ハブアンドスポーク
（２）事前共有鍵
（３）設定変更する際にペア間のみの変更で済む
（４）ESPヘッダー、元のIPパケット、ESPトレーラ
（５）IPアドレスの割り当てを新規で行わずにVPNを構成する
（６）リアンブル処理が発生
※10字なので負荷増大かリアセンブルかどちらにしようか悩んで後者を記載

設問２
（１）利用しない
（２）本社のプロキシサーバ
（３）172.16.0.1～172.31.255.254
※IP範囲のことなのか、有効なIPアドレスの範囲のことなのか悩み後者を選択
（４）プロキシサーバの負荷軽減が行える
※「負荷軽減」という字句の使い方に悩まされました。
（５）各支社のPCからC社SaaS宛て通信を制御したいから

設問３
（１）イ：DNS、ウ：DHCP、エ：TLS、オ：Webサーバ
※知らなかったのでネットワーク構成図のサーバをそのまま選んで記載
（２）攻撃者の用意したサーバへ通信が向けられる

インターネット通信をブレイクアウトさせちまった
リモートじゃないし私用のweb閲覧はないからセキュリティ面でweb通信を本社集約すんのかいw
まあ問題見れば書いてるけど条件反射で書いちまった、これをまた受け直すのは厳しいねw

個人的に午後II問1をみたときはすごく嬉しくなりましたね、やっとこれを題材にしてくれたか…！と。選択した人はおそらく少数派でしょうけれど

10字で最初リアセンブルを書きたかったですが、10字じゃ無理だと思って言い換えをどうするか？で負荷増大に切り替えました。

問3 設問２（４）は、問題文にネットワークの負荷軽減って書いてあるから、これが答えかもしれないですね
私は書けませんでした

初挑戦でした。
解答速報で午前は通過見込み、午後1：問1と3、午後2：問2  に挑戦し
感触はそれなりかなぁと思います。
見た目以上に時間に余裕がない試験なんだなぁというのが正直な感想です。
掲示板・過去問道場には大変お世話になりました。皆様お疲れさまでした。

この投稿は投稿者により削除されました。(2024.04.23 22:12)

この投稿は投稿者により削除されました。(2024.04.23 22:17)

午後の答案です

午後1
問1
設問1
（1）
配信サーバのアプリケーション層の応答で障害が発生している場合に検知できない。
（2）
ア
最小接続数
イ
172.22.1.0/24
（3）
LB

設問2
（1）
ウ
小さい
エ
大きい
（2）
IX
（3）
BGPの直接接続
（4）
不正な経路上にゲームファイルが流れ、正規の利用者に配信を限定できなくなる。

設問3
（1）
経路上であるルータへの通信負荷を抑止することができる点

（2）
正規の通信を許可できるようにフィルタリングを行うことができる点

問3
設問1
（1）
ア
ハブアンドスポーク

（2）
事前共有鍵

（3）
鍵が漏えいしても影響が1ペアのみで済むこと

（4）
IPヘッダ、ESPヘッダ、元のIPパケット、ESPトレーラ

（5）
IPアドレスの割当てを固定のIPアドレスにする設定

（6）
処理の負荷がかかる

設問2
（1）
利用しない

（2）
proxy.a-sha.jp

（3）
172.16.0.1～172.31.255.254
※アドレスとして使える範囲かと思った。

（4）
プロキシサーバの負荷軽減が行える

（5）
C社SaaSへは支社毎にプロキシサーバが異なるから

設問3
（1）
イ
コンテンツDNS
ウ
キャッシュDNS
エ
DNS
オ
パス
※正直何を答えたらいいのかわからなかった。

（2）
攻撃者が用意したプロキシサーバに誘導される。

午後2
問2
設問1
（1）
mail.y-sha.lan.

（2）
接続中の件数か一番少ないサーバに振り分ける
※正直何を答えたらいいのかわからなかった。午後1と変わらねえだろうがと思いながら埋めてしまった。

（3）
a
プリファレンス
b
y-mail2
c
逆引き

（4）
ア
200.a.b.1
イ
192.168.0.1

（5）
ホストのFQDNを送信元メールアドレスのドメインの値で設定する。

設問2
（1）
ウ
200.a.b.1
エ
200.a.b.2
（2）
d
SMTP
e
MAIL FROM
f
FQDN
※よくわからなかった。
（3）
※なぜかメモが見つからないが、SPFの理屈は書いた。

設問3
（1）
g
エンベロープ情報
h
UDP
※最初TCPフォールバックの話かと思ってTCPを書こうとしたが、そもそも制約があるからTCPにシフトするんだろ、と思って書き直した。
i
256
※2048/8＝256
で書いちゃったが、TCPフォールバックなら512バイトなので、512な気がしてきた。でも、RSA4096は512バイトなんだが。

（2）
アルゴリズム名
RSA
オ
公開鍵

（3）
電子署名を暗号化した際に用いた公開鍵に対する秘密鍵は、送信者本人しか保持していないため。

設問4
（1）
DNSサーバ名
外部DNSサーバZ
登録する情報
メール中継サーバZのIPアドレス

（2）
j
y-sha.com

（3）
Z社に対しY社において使用している鍵を公開する必要がなく、鍵の漏えいの影響を限定的にできる。

（4）
顧客のメールサーバに届く際に、メール中継サーバを中継して届くから

設問5
（1）
ハッシュ値aを送信者の秘密鍵で暗号化する。

（2）
送信者の公開鍵で電子署名データを復号する。

（3）
ハッシュ値aとハッシュ値bが同一の値である状態。

この投稿は投稿者により削除されました。(2024.04.24 06:10)

午後II-2、設問1(2)のところはTTLを短くする方策みたいなことを書きました。
※レコード表の対象箇所だけ60の値となっていた為

TTLが60と短くすれば、PCのDNSキャッシュの効果が小さくなり、うまくラウンドロビンしてくれます。

あと午後1問1設問3は、
DNS、DHCP、HTTP、URLですね。

FQDNの最後の「.」は必須かどうか悩みましたが、RFC見ると、必須じゃないですね。
設問はゾーンファイルの穴埋めではないので、私は敢えて書きませんでした。

RFC 4703

FQDN, or Fully Qualified Domain Name, is the full name of a system, rather than just its hostname. For example, "venera" is a hostname, and "venera.isi.edu" is an FQDN

孫悟空さん(No.68)
そういうことだったんですね。ありがとうございます。

トンネルモードの場合、カプセル化するのは下記ですね。
IPヘッダ、元のIPパケット、ESPトレーラ

あとDKIMの署名対象は「ヘッダ」およびボディです。

孫悟空さん(No.71)
補足ありがとうございます。そうか、なかなかうまくいかないもんですね・・・。

今回は合格率が高めじゃないでしょうか。
ラッキー回だと思われます。

itecの解答速報
1、2両方出てますね

配点どうなりますかね、

午後1はギリギリかも、

午後2問2の(1)~.lan.←最後の点あれば減点されますか？
ITECの解答には無いようです。

>>No.76
No.69を見てね

午後２問１に果敢に挑んだ人に加点ください。。。

TACも解答速報だしたわね。

午後1問1設問2(2)の答えはIXなのか、、、
IXとAS-Gかと思ったのに、、、
httpsリクエストはゲーム端末からしか送信されないから

問題がAS-GからのHTTPSリクエストパケットだからね。

午後1-2設問3(2)のLSATypeは3ですかね…
再配布するルータ3からなので5かと思ってます。

実際のパケットの送信元はゲーム端末(ISPは末端でないので)で、どの経路を途中経過してリターンされるのかって話だから、AS-Gがあってもいいと思うんだけどな

午後1 問3 設問2(2)のプロキシサーバ名を答える問題について、
iTECもTACも解答速報では"proxy.a-sha.jp"としていましたが、本社のプロキシサーバではダメなんでしょうか？点数もらえないんですかね、、、？

・設問には"プロキシサーバ名"を答えよ、と書いてある
・p.19の図4には proxy.a-sha.jp:本社のプロキシサーバの"FQDN" と記述している
ことより"proxy.a-sha.jp"という解答はよろしくないように思えるのですが、皆さんのご意見いただけないでしょうか？

(公式の解答でもないのに気にしすぎですかね？笑)

私は本社のプロキシサーバにしました。
ニュアンスは間違っていないので得点になりそう。

午後1の問2はtacとitecで違う所が多いですね。
設問5(2)とかどっちなんだろう

この投稿は投稿者により削除されました。(2024.04.28 00:21)

午後1  問2  設問5（2）はTACの回答
(TE121,TE112,TE113,TE131)が正しいですね。

なぜ本社と支店Vで直接通信しないかというと、
P.9に「各拠点のPCとサーバは、データセンターのプロキシサーバを経由してインターネットへアクセスする」とあり、
P.12のSD-WAN導入の条件に、「PCからインターネットへのアクセスは現行のままデータセンターのプロキシサーバ経由とし、各拠点から直接インターネットアクセスできるようにすることは次フェーズで検討する」とあるため、
SD-WAN導入時点である設問5では、直接本社と支店Vが通信する手段を持たないから
(=データセンターを経由しなければならないから)です。

私もこの点に気づかず、iTEC解答と同じもの(TE123,TE132)を書いてしまいました。

>>No.88
わざわざ"支店Vの"L社VPN回線に障害とあったので
本社⇔データセンタ間はL社VPNで
データセンタ⇔支店Vのみインターネット
にしちゃいました。（TE021,012,113,131）

L社VPN回線に障害…だけにしといてくれればいいのにわざわざ支店Ｖだけ障害。。。

L2looperさんありがとうございます。私もitecと同様の回答をしてしまいました…

ちなみに設問3のlsaタイプについてはどのように回答されましたか？
これもtacとitecで異なっていたので

設問3（2)はiTEC解答（LSAタイプ5  ルータ3が生成）が正しいです。
P.10に
「・拠点内は、OSPFによって経路制御を行っている。
  ・拠点間は、BGP4によって経路制御を行っている」とあり、
ルータ1～4はBGPスピーカかつASBRであることがわかります。
ASBRが非OSPFネットワークの情報を再配布する際は、LSAタイプ5で広報するため、
支店VのL3SW3ではルータ3から広報されたタイプ5のLSAを受信します。

おかずなしごはんさん、ときさん
改めて考えてみたのですが、ごはんさんの回答も誤りとは言えない気がします。
また、iTEC（TE123,TE132）の回答が正しい気がしてきました。

というのも、問題文には「L社VPNを優先的に利用し、L社VPNが使えないときはインターネットを経由する。」としか書いておらず、正常状態の本社⇔データセンタまでわざわざリスクのあるインターネット通信にする必要はありません。本文中の記載をそのまま適用するならごはんさんの回答も正解になります。
ただし、これを正解とする場合は、既存FWポリシーであったFW-L3SW1セグメント→DMZ、DMZ→インターネットの通信に加えて、インターネット→DMZ、DMZ→FW-L3SW1セグメントの通信を許可する必要があります。
P.9に「WANの冗長化も行う」と記載があるので、この設定変更も含んでいる、と読めなくはないです。少なくとも明確に誤りであるとは言えないと思います。

もう一つの仮説ですが、問題文中のインターネットはいわゆる「The Internet」を指しているもので、インターネット経由の拠点間通信には適用されないと考えてます。
（理由は、フォワードプロキシは不特定サイトへのアクセス時のセキュリティリスクを抑えるためのもので、拠点間はIPsecトンネルで通信するため、フォワードプロキシを経由する必要がないから、となります）

つまり、今回の問題文は「L社VPNを優先的に利用し、L社VPNが使えないときはインターネットを経由する。（ただし、拠点間はIPsecトンネルで通信するためインターネット経由での直接通信を許可する）」というものと考えられます。
これであれば、本文中の「インターネットアクセスはプロキシサーバを経由する」という記載にも矛盾せず、既存FWポリシーの変更が発生しません。

上記2点から、iTEC又はごはんさんの回答が正しいのでは、という見解となります。

午後１問２のカ
ポリシーベースって書いたけど
アプリケーションアウェアが正解っぽい・・
皆さんなんて書きました？

午後1問3
ハブアンドスポーク  が解答の所
ハブ・スポーク  と記述しましたが点数0ですかね。。

>>No.93
私もポリシーベースにしました。
ネットで調べるとアプリケーションに基づいて〜〜
のような記載があるので正解かなと思ってたのですが、アプリケーションアウェアが正解なんですかね。
初耳用語でした笑