HOME»ネットワークスペシャリスト掲示板»令和7年春期試験『午後Ⅰ問3』
投稿する
なるほど、そういう見方もありますね。
問題文の読点の位置が絶妙。
たぶん皆さん
という読み方をしてるから以下の考えになっていると思います。
FWの通信ログを確認した後に確認するログなので、対象は他の機器のログ。FWのログでは送信元のIPアドレスまでしかわからないので、DHCPサーバでそのIPアドレスがどのPCに割り当てられているのかを確認する意味で、「L3SWのDHCPリースログ」かな。
ではクライアント証明書はどこにインストールされます?
どういうことでしょうか?本文に
・インターネット上のwebサイトへはプロキシサーバを経由
とありますが・・・
any とは書いてませんでした申し訳ございません
プロキシ側でFDQNやIPのブロックを行っているのでFWでプロキシ->インターネットのブロックリストがあるのか微妙だと思ってます。
">設問1(3)について
">・FWの通信ログということは PC からインターネット宛ての通信である(業務用サーバーへは PAC ファイルにより直接接続)
">・インターネット宛ての通信はプロキシサーバーを経由する
FWの通信ログ=PCからインターネット宛ての通信ではないと思います。
PCからK社SaaS宛ての通信は、FWを通るけどプロキシサーバ通らないですよね。
この設問では、以下を聞いているのかと。
・不正な通信が発生していることまでは判明済。
※不正な通信がどこ宛てかは記載されていない。
・PCを特定する段階まで至っている。
・どのログを見れば、PCを特定できるのか。
→答えはIPを払い出している、DHCPリソースログ になりますね。
設問が以下だったら、プロキシのアクセスログを見る必要ありますね。
”インターネット宛てにPCから不正な接続を行っている可能性があり調査をしたい。どのログを見る必要があるか。”
ルート証明機関や証明書ストアなどにプリインストールされている証明書は、
通常、ルート証明機関や証明書ストアを持つOS・ブラウザ等の開発元ベンダや第三者認証局によって発行された、
所謂、信頼されたルート証明書だけになるかと思います。
問題文を見る限りでは、SWGサービス提供元のL社は、これに該当していないように思われます。
そのため、SWGサービスを利用する上で、「SWGサービスのルート証明書」をPCインストールする必要があるのではないでしょうか。
また、以下の問題文中の「SWG サービスを経由して Webサイトにアクセスする HTTPS 通信を信頼させる」は、
「ルート証明書」を使用したサーバ証明書(Public Key)の検証の事を示唆しているように見えますので、PCにインストールが必要な対象としても「SWGサービスのルート証明書」が該当するのではないでしょうか。
ありがとうございます。
リースログが適切そうなのは理解できましたがここだけ。
PCからK社SaaS宛ての通信は、FWを通るけどプロキシサーバ通らないですよね。
インターネットを通る通信の方が適切だったですかね。
PAC ファイルにK社Saas宛ては直接接続するよう定義されてますので、プロキシサーバーは通りません。
それ以外のインターネット宛てへはPC→FW→プロキシサーバ→FWとなると思います。
ここで、あらかじめ通信したくない宛先へはプロキシサーバーがフィルタリングしているのでブロックします。
不正な通信があったのはそれ以外のインターネット上の宛先への通信と考えるのが妥当であり、これはFWを通る経路だと思いました。
SWGや仮想LB、WAFなどでHTTPSを中継するサービスを導入する時、サーバ証明書はプライベート認証局が署名してるのでPCにはその認証局のルート証明書がいるみたいですね。
ありがとうございました。
「本文中の下線⑦の記述に従って」とわざわざ指定されている以上、原則的には残念ながら得点にはならないかと…
とはいえ正答率によっては合格率調整の下駄があるかもしれません
希望は捨てずに!
»[0580] 令和7年春期試験『午後Ⅱ問2』 投稿数:50
»[0579] 令和3年 午後2 問1 設問3(2) 投稿数:4
令和7年春期試験『午後Ⅰ問3』 [0582]
管理人(No.1)
令和7年春期試験 午後Ⅰ問3についての投稿を受け付けるスレッドです。
2025.4.20 00:02
むっっっすさん(No.2)
頼む!!!BAHIEIKであってくれえええ!!!
2025.04.20 14:07
ねりねりさん(No.3)
ワイも一緒や!
2025.04.20 14:08
むっっっすさん(No.4)
ねりねりさん
やったあああああ!!!!
やったあああああ!!!!
2025.04.20 14:09
認証マンさん(No.5)
残り1分であれこれ認証サーバ通る??と悩んだけど時すでにお寿司
2025.04.20 14:11
NW初心者さん(No.6)
BAHIEIKと迷ったけど、BAHIEKにしました。
DMZは、FW(I)とL3SWの間に位置するものと考えました。
DMZは、FW(I)とL3SWの間に位置するものと考えました。
2025.04.20 14:12
泥舟さん(No.7)
あれ?経路って認証サーバはいらんのか。。
2025.04.20 16:48
sdnさん(No.8)
リバースプロキシが代理応答するからリバースプロキシで止まるように書きましたが間違ってますかね…
FQDNはリバースプロキシのものを指定しますよね?
FQDNはリバースプロキシのものを指定しますよね?
2025.04.20 17:02
まるさんさん(No.9)
業務でSWG扱ってて助かりました😭
8割くらいは堅いと予想!
8割くらいは堅いと予想!
2025.04.20 17:05
クラウドエンジニアさん(No.10)
BAHIEIK
これにしたわ
これにしたわ
2025.04.20 17:07
443さん(No.11)
BAHIEIKにしました
2025.04.20 17:09
クラウドエンジニアさん(No.12)
認証サーバは認証のパケットは行くけど、オリジナルパケットは行かないから経路からは省くべきかなーと思う。過去問でもそうなってた気がする。
2025.04.20 17:10
404さん(No.13)
リバプロ忘れてたわ草
2025.04.20 17:18
ジョンさん(No.14)
そもそもISG使わないのでは?
2025.04.20 17:20
もののけさん(No.15)
え、自分も認証サーバ経由にした。
2025.04.20 17:25
tosi8200さん(No.16)
最終的に直接リストに追加する結論になってたので、自分もSWGは抜きました。
認証サーバは、通信パケット本体は通らないので確実に不要だと思ってます。
認証サーバは、通信パケット本体は通らないので確実に不要だと思ってます。
2025.04.20 17:35
sdnさん(No.17)
直接リストに追加してもプライベートIPアドレスだからインターネットからは通信不可ですよね?
内部からだけは直接通信させるために直接リストにプライベートIPアドレスを指定。インターネットからは直接リストに追加しても最終的なアクセス先はリバースプロキシだと思うんですがとうでしょうか?
内部からだけは直接通信させるために直接リストにプライベートIPアドレスを指定。インターネットからは直接リストに追加しても最終的なアクセス先はリバースプロキシだと思うんですがとうでしょうか?
2025.04.20 17:38
にゆさん(No.18)
直接リストに入れたのプライベートだけだから、外からの通信の場合は通るんじゃないかなーと思ってswg通した
2025.04.20 17:38
takaさん(No.19)
自分も素直にBAHIEIKって回答したものの、
最初の前提条件で「業務用サーバへはプロキシを経由しない」と言っておきながら
「R-PCから業務用サーバに接続するためにプロキシを設定変更する」
という内容に
は?どゆこと?
って思いました。(考えすぎかもしれませんが)
最初の前提条件で「業務用サーバへはプロキシを経由しない」と言っておきながら
「R-PCから業務用サーバに接続するためにプロキシを設定変更する」
という内容に
は?どゆこと?
って思いました。(考えすぎかもしれませんが)
2025.04.20 17:42
にゃむさん(No.20)
1(1)複数機器で発生した事象の時系列を把握するため。
(2)登録したFQDNやIPアドレス宛ての通信をブロックするため。
認証サーバにより、RADIUSプロトコルを用いた利用者認証を行うため。
(3)L3SWのDHCPリースログ
(4)asyslogサーバ b認証サーバ
(5)c10080 d443
2(1)SWGサービスのルート証明書
(2)C&Cサーバ
3(1)2,7
(2)BAHIEIK
(3)内部セグメント、SWGサービス、TCP/443
(4)アクセスを許可する送信元をSWG-IPに変更する。
(5)通信の負荷が減る。
過去問で見た内容が多いような気がする?
それでもぼちぼちミスはしてそう
(2)登録したFQDNやIPアドレス宛ての通信をブロックするため。
認証サーバにより、RADIUSプロトコルを用いた利用者認証を行うため。
(3)L3SWのDHCPリースログ
(4)asyslogサーバ b認証サーバ
(5)c10080 d443
2(1)SWGサービスのルート証明書
(2)C&Cサーバ
3(1)2,7
(2)BAHIEIK
(3)内部セグメント、SWGサービス、TCP/443
(4)アクセスを許可する送信元をSWG-IPに変更する。
(5)通信の負荷が減る。
過去問で見た内容が多いような気がする?
それでもぼちぼちミスはしてそう
2025.04.20 17:42
maryleboneさん(No.21)
アプリ的にはリストに直接接続できてもFWで外部のanyからの通信許可するかと言われると…
2025.04.20 17:43
404さん(No.22)
ああ…
3-(3)ソフトE、SWGサービス、TCP/443
にしちゃった
3-(3)ソフトE、SWGサービス、TCP/443
にしちゃった
2025.04.20 17:55
samzee0930さん(No.23)
何点かなぁ。
設問1
(1)時系列をあわせ複数機器でログ解析をするため
(2)①登録したFQDNやIPアドレス宛ての通信をブロックするため
②Webサイトへのアクセス履歴を確認するため
(3)認証サーバの認証ログ
(4)a : syslogサーバ b : 認証サーバ
(5)c : 10080 d : 443
設問2
(1)SWGサービスのサーバ証明書
(2)C&Cサーバ
設問3
(1)2、3
(2)(B), (A), (H), (I), (E), (I), (K)
(3)送信元 : ソフトE
宛先 : SWGサービス
プロトコル/宛先ポート番号 : TCP/443
(4)J社のグローバルIPアドレスからの許可設定をSWG-GIPへと変更する
(5)外部への通信量低減
設問1
(1)時系列をあわせ複数機器でログ解析をするため
(2)①登録したFQDNやIPアドレス宛ての通信をブロックするため
②Webサイトへのアクセス履歴を確認するため
(3)認証サーバの認証ログ
(4)a : syslogサーバ b : 認証サーバ
(5)c : 10080 d : 443
設問2
(1)SWGサービスのサーバ証明書
(2)C&Cサーバ
設問3
(1)2、3
(2)(B), (A), (H), (I), (E), (I), (K)
(3)送信元 : ソフトE
宛先 : SWGサービス
プロトコル/宛先ポート番号 : TCP/443
(4)J社のグローバルIPアドレスからの許可設定をSWG-GIPへと変更する
(5)外部への通信量低減
2025.04.20 18:07
ちゃっとさん(No.24)
1(1)複合的に解析するために各機器の時刻を同期する
(2)インターネットへの通信をFQDNやIPアドレスでフィルタリングする
インターネット向け通信のアクセスログを取得する (FWでもとれるなぁ)
(3)L3SWのDHCPリースログ
(4)asyslogサーバ b認証サーバ
(5)c10080 d443
2(1)SWGサービスのルート証明書
(2)C&Cサーバ
3(1)2,7
(2)BAHIK (リバースプロキシ考えてませんでした…)
(3)内部セグメント、SWGサービス、TCP/443
(4)アクセスを許可する送信元をSWG-GIPに変更する
(5)LAN内で通信できる (とか書いた気がします。10文字縛りきつすぎないでしょうか。)
6割はなんとか行けたでしょうか。。
(2)インターネットへの通信をFQDNやIPアドレスでフィルタリングする
インターネット向け通信のアクセスログを取得する (FWでもとれるなぁ)
(3)L3SWのDHCPリースログ
(4)asyslogサーバ b認証サーバ
(5)c10080 d443
2(1)SWGサービスのルート証明書
(2)C&Cサーバ
3(1)2,7
(2)BAHIK (リバースプロキシ考えてませんでした…)
(3)内部セグメント、SWGサービス、TCP/443
(4)アクセスを許可する送信元をSWG-GIPに変更する
(5)LAN内で通信できる (とか書いた気がします。10文字縛りきつすぎないでしょうか。)
6割はなんとか行けたでしょうか。。
2025.04.20 18:07
ひよこさん(No.25)
自分もリバースプロキシまでで、とめました。外から見たら内部通信は関係ないかと思って…深読みしすぎですかね。
2025.04.20 18:31
ナインゴランさん(No.26)
殴り書き
〇設問1
(1)
ログ解析のタイプスタンプとして活用するため
(2)
インターネット上への不正なアクセスを遮断するため
インターネットへのアクセスについて、利用者を認証するため
(3)
認証サーバの認証ログ
(4)
a:サーバセグメント
b:認証サーバ
(5)
c:10080
d:0(多分443?)
〇設問2
(1)
PCのクライアント証明書
(2)
SWGサービス
〇設問3
(1)
3と7(多分2と7)
(2)
B、A、I、E、I、K
(3)
送信元:PC(多分内部セグメント?)
宛先:インターネット
プロトコル/ポート番号:TCP/443
(4)
アクセスを許可する送信元IPの設定を変更する
(5)
転送負荷を減らせる
〇設問1
(1)
ログ解析のタイプスタンプとして活用するため
(2)
インターネット上への不正なアクセスを遮断するため
インターネットへのアクセスについて、利用者を認証するため
(3)
認証サーバの認証ログ
(4)
a:サーバセグメント
b:認証サーバ
(5)
c:10080
d:0(多分443?)
〇設問2
(1)
PCのクライアント証明書
(2)
SWGサービス
〇設問3
(1)
3と7(多分2と7)
(2)
B、A、I、E、I、K
(3)
送信元:PC(多分内部セグメント?)
宛先:インターネット
プロトコル/ポート番号:TCP/443
(4)
アクセスを許可する送信元IPの設定を変更する
(5)
転送負荷を減らせる
2025.04.20 19:17
まっつんさん(No.27)
設問1
(1)ログ解析時に複数機器を時系列に調査するため
(2)①PCから登録したFQDNやIPアドレス宛ての通信をブロック
②障害発生時の原因分析
(3)認証サーバの認証ログ
(4)a : syslogサーバ b : 認証サーバ
(5)c : 10080 d : 25
設問2
(1)SWSサービスの公開鍵証明書
(2)インターネット
設問3
(1)2、7
(2)(B), (A), (H), (I), (E), (I), (K)
(3)送信元 : 内部セグメント
宛先 : インターネット
プロトコル/宛先ポート番号 : TCP/443
(4)許可する送信元IPアドレスを変更する
(5)外部からいんぺいする
(1)ログ解析時に複数機器を時系列に調査するため
(2)①PCから登録したFQDNやIPアドレス宛ての通信をブロック
②障害発生時の原因分析
(3)認証サーバの認証ログ
(4)a : syslogサーバ b : 認証サーバ
(5)c : 10080 d : 25
設問2
(1)SWSサービスの公開鍵証明書
(2)インターネット
設問3
(1)2、7
(2)(B), (A), (H), (I), (E), (I), (K)
(3)送信元 : 内部セグメント
宛先 : インターネット
プロトコル/宛先ポート番号 : TCP/443
(4)許可する送信元IPアドレスを変更する
(5)外部からいんぺいする
2025.04.20 19:21
tracert?さん(No.28)
よくよく考えたらSWGってアドレス公開されてるタイプだったかな
設問1
(1)複数のログを同時に分析するときに事象の順番がずれる。
(2)インターネットへのアクセスに対して、登録したFQDNやIPへの通信をブロックする。Webサイトのアクセス履歴の確認、障害発生時の原因分析
(3)L3SWのDHCPリースログ
(4)Syslogサーバ、認証サーバ
(5)10080,443
設問2
(1)SWGの自己署名証明書
(2)C&Cサーバ
設問3
(1)2,7
(2)B A H I E I K
(3)内部アドレス SWG tcp/443
(4)SWG-GIPの許可、J社グローバルアドレスの削除
(5)通信が迂回しない
設問1
(1)複数のログを同時に分析するときに事象の順番がずれる。
(2)インターネットへのアクセスに対して、登録したFQDNやIPへの通信をブロックする。Webサイトのアクセス履歴の確認、障害発生時の原因分析
(3)L3SWのDHCPリースログ
(4)Syslogサーバ、認証サーバ
(5)10080,443
設問2
(1)SWGの自己署名証明書
(2)C&Cサーバ
設問3
(1)2,7
(2)B A H I E I K
(3)内部アドレス SWG tcp/443
(4)SWG-GIPの許可、J社グローバルアドレスの削除
(5)通信が迂回しない
2025.04.20 19:24
ひらりんさん(No.29)
ネットワークスペシャリスト初受験でネットワーク業務未経験ですが、間違えもそのまま解答共有します!
問1
(1)ログ解析の際にそれぞれのログの時刻を明確にするため(何と書いたか曖昧です)
(2)
①登録したFQDNやIPアドレス宛ての通信をブロックするため
②利用者認証を行うため(もう少し長く書いた気がします)
(3)DHCPリースログ
(4)a:syslogサーバ b:認証サーバ
(5)c:10080 d:443
問2
(1)SWGサービスのクライアント証明書(ルート証明書が正答だと思います)
(2)サンドボックス(C&Cサーバが正答だと思います)
問3
(1)2,7
(2)BAHIEIK
(3)
送信元:SWG-GIP(SWGサービスが中継する際に変換するようなので誤りですね)
宛先:SWGサービス
プロトコル/宛先ポート番号:TCP/443
(4)アクセスを許可する送信元をSWG-GIPに変更する
(5)情報ろうえい防止(漢字出てこず。業務情報が外部であるSWGサービスを経由しない方が良いという意味に捉えました)
皆さんの解答と突き合せた感じ6割はいっていそうなもののもう片方選んだ問1が微妙なため、こちらが7割くらいいっていたら良いなと思います……
問1
(1)ログ解析の際にそれぞれのログの時刻を明確にするため(何と書いたか曖昧です)
(2)
①登録したFQDNやIPアドレス宛ての通信をブロックするため
②利用者認証を行うため(もう少し長く書いた気がします)
(3)DHCPリースログ
(4)a:syslogサーバ b:認証サーバ
(5)c:10080 d:443
問2
(1)SWGサービスのクライアント証明書(ルート証明書が正答だと思います)
(2)サンドボックス(C&Cサーバが正答だと思います)
問3
(1)2,7
(2)BAHIEIK
(3)
送信元:SWG-GIP(SWGサービスが中継する際に変換するようなので誤りですね)
宛先:SWGサービス
プロトコル/宛先ポート番号:TCP/443
(4)アクセスを許可する送信元をSWG-GIPに変更する
(5)情報ろうえい防止(漢字出てこず。業務情報が外部であるSWGサービスを経由しない方が良いという意味に捉えました)
皆さんの解答と突き合せた感じ6割はいっていそうなもののもう片方選んだ問1が微妙なため、こちらが7割くらいいっていたら良いなと思います……
2025.04.20 19:35
歯姫さん(No.30)
ああああ!!!設問2(2)C&Cサーバか!!!!
†ダークネット†にしちゃったああああ!!!
†ダークネット†にしちゃったああああ!!!
2025.04.20 19:39
名無しさん(No.31)
設問2(2)はインターネットにした。通信先がC&Cサーバであると判別できるん?
2025.04.20 20:21
さばかんさん(No.32)
1(1)複合的に解析するために各機器の時刻を同期する
(2)
1.インターネットへの通信をFQDNやIPアドレスでフィ
2.時間がなくて空欄
(3) 認証サーバの認証ログ
(4)a syslogサーバ b認証サーバ
(5)c10080 d443
2(1)PCのクライアント証明書
(2)C&Cサーバ
3(1)2,7
(2)BAHIK
(3)内部セグメント、SWGサービス、TCP/443
(4)アクセスを許可する送信元をSWG-GIPに変更する
(5)不正アクセスの防止
全体的に時間なくて、空欄作ってしまった
56%くらいかな?
(2)
1.インターネットへの通信をFQDNやIPアドレスでフィ
2.時間がなくて空欄
(3) 認証サーバの認証ログ
(4)a syslogサーバ b認証サーバ
(5)c10080 d443
2(1)PCのクライアント証明書
(2)C&Cサーバ
3(1)2,7
(2)BAHIK
(3)内部セグメント、SWGサービス、TCP/443
(4)アクセスを許可する送信元をSWG-GIPに変更する
(5)不正アクセスの防止
全体的に時間なくて、空欄作ってしまった
56%くらいかな?
2025.04.20 20:40
あぴさん(No.33)
お疲れさまでした!
時刻同期の解答意味が分からんこと書いてしまった。。
設問1
(1)各機器におけるイベント発生時刻を合わせるため
(2)Webサイトへのアクセス履歴の確認
登録したFQDNとIPアドレス宛ての通信をブロックする
(3)L3SWのDHCPリースログ
(4)a:Syslogサーバ b:認証サーバ
(5)c:10080 d:443
設問2
(1)SWGサービスのルート証明書
(2)C&Cサーバ
(3)送信元:内部セグメント
宛先:SWGサービス
プロトコル/宛先ポート:TCP/443
(4)J社に割り当てられたSWG-GIPからの通信を許可する
(5)通信経路の短縮
時刻同期の解答意味が分からんこと書いてしまった。。
設問1
(1)各機器におけるイベント発生時刻を合わせるため
(2)Webサイトへのアクセス履歴の確認
登録したFQDNとIPアドレス宛ての通信をブロックする
(3)L3SWのDHCPリースログ
(4)a:Syslogサーバ b:認証サーバ
(5)c:10080 d:443
設問2
(1)SWGサービスのルート証明書
(2)C&Cサーバ
(3)送信元:内部セグメント
宛先:SWGサービス
プロトコル/宛先ポート:TCP/443
(4)J社に割り当てられたSWG-GIPからの通信を許可する
(5)通信経路の短縮
2025.04.20 20:43
tracert?さん(No.34)
設問2(2)は問題文にて、遠隔操作可能なマルウェアを含む場合と断言されてしまっているので、遠隔操作をするサーバ名を答えさせたいのかと思ってC&Cにしました。
実際作者の意図をメタ読みしないと、実行時にインターネット通信が発生するアプリの場合に、複数通信が上がってそのすべてがC&Cといえますか?みたいな解釈は存在すると思います。
実際作者の意図をメタ読みしないと、実行時にインターネット通信が発生するアプリの場合に、複数通信が上がってそのすべてがC&Cといえますか?みたいな解釈は存在すると思います。
2025.04.20 20:44
あぴさん(No.35)
途中で投稿してしまったため再投稿します。
設問1
(1)各機器におけるイベント発生時刻を合わせるため
(2)Webサイトへのアクセス履歴の確認
登録したFQDNとIPアドレス宛ての通信をブロックする
(3)L3SWのDHCPリースログ
(4)a:Syslogサーバ b:認証サーバ
(5)c:10080 d:443
設問2
(1)SWGサービスのルート証明書
(2)C&Cサーバ
設問3
(1)2,7
(2)B⇒A⇒I⇒E⇒I⇒K
(3)送信元:内部セグメント
宛先:SWGサービス
プロトコル/宛先ポート:TCP/443
(4)J社に割り当てられたSWG-GIPからの通信を許可する
(5)通信経路の短縮
設問1
(1)各機器におけるイベント発生時刻を合わせるため
(2)Webサイトへのアクセス履歴の確認
登録したFQDNとIPアドレス宛ての通信をブロックする
(3)L3SWのDHCPリースログ
(4)a:Syslogサーバ b:認証サーバ
(5)c:10080 d:443
設問2
(1)SWGサービスのルート証明書
(2)C&Cサーバ
設問3
(1)2,7
(2)B⇒A⇒I⇒E⇒I⇒K
(3)送信元:内部セグメント
宛先:SWGサービス
プロトコル/宛先ポート:TCP/443
(4)J社に割り当てられたSWG-GIPからの通信を許可する
(5)通信経路の短縮
2025.04.20 20:45
TKSさん(No.36)
設問1
(1)各機器間のログの時間の不整合を発生させないため
(2)利用者の認証とその情報を付加したアクセス先のログの生成
登録したFQDNとIPアドレス宛ての通信をブロック【本文の抜き出し】
(3)プロキシサーバのアクセスログ(間違えた)
(4)a:Syslogサーバ b:認証サーバ
(5)c:10080 d:443
設問2
(1)SWGサービスのルート証明書
(2)C&Cサーバ
設問3
(1)2,7
(2)B-A-H-I-E-I-K
(3)送信元:内部セグメント
宛先:SWGサービス (ルールではK社SaaSという書き方もあるため合わせた)
プロトコル/宛先ポート:TCP/443
(4)アクセスを許可する送信元をSWG-GIPだけに制限するする【本文の書き方をアドレスを変えて抜き出し】
(5)最短経路でよくなる(社内で完結するとかの方がスマートかも)
さすがに大丈夫かな
(1)各機器間のログの時間の不整合を発生させないため
(2)利用者の認証とその情報を付加したアクセス先のログの生成
登録したFQDNとIPアドレス宛ての通信をブロック【本文の抜き出し】
(3)プロキシサーバのアクセスログ(間違えた)
(4)a:Syslogサーバ b:認証サーバ
(5)c:10080 d:443
設問2
(1)SWGサービスのルート証明書
(2)C&Cサーバ
設問3
(1)2,7
(2)B-A-H-I-E-I-K
(3)送信元:内部セグメント
宛先:SWGサービス (ルールではK社SaaSという書き方もあるため合わせた)
プロトコル/宛先ポート:TCP/443
(4)アクセスを許可する送信元をSWG-GIPだけに制限するする【本文の書き方をアドレスを変えて抜き出し】
(5)最短経路でよくなる(社内で完結するとかの方がスマートかも)
さすがに大丈夫かな
2025.04.20 21:51
geshyさん(No.37)
皆さんの回答、参考になります!
■問3
●設問1
(1)複数機器のログ出力日時を一致させるため
(2)・認証サーバを用いてPCの利用者認証を行うため
・登録したFQDNやIPアドレス宛ての通信をブロックするため
(3)L3SWのDHCPリソースログ
(4)a:syslogサーバ
b:認証サーバ
(5)c:10080
d:443
●設問2
(1)SWGサービスのルート証明書
(2)C&Cサーバ
●設問3
(1)2、7
(2)(B)、(A)、(H)、(I)、(E)、(K)
(3)送信元:内部セグメント
宛先:SWG-GIP
プロトコル/宛先ポート番号:TCP/443
(4)アクセスを許可する送信元IPアドレスをSWG-GIPに変更する
(5)回線の負荷低減
■問3
●設問1
(1)複数機器のログ出力日時を一致させるため
(2)・認証サーバを用いてPCの利用者認証を行うため
・登録したFQDNやIPアドレス宛ての通信をブロックするため
(3)L3SWのDHCPリソースログ
(4)a:syslogサーバ
b:認証サーバ
(5)c:10080
d:443
●設問2
(1)SWGサービスのルート証明書
(2)C&Cサーバ
●設問3
(1)2、7
(2)(B)、(A)、(H)、(I)、(E)、(K)
(3)送信元:内部セグメント
宛先:SWG-GIP
プロトコル/宛先ポート番号:TCP/443
(4)アクセスを許可する送信元IPアドレスをSWG-GIPに変更する
(5)回線の負荷低減
2025.04.20 21:53
KKK22さん(No.38)
自分のメモを兼ねて、大体のニュアンスだけですが。
1
(1)時刻を同期することで、正確な時系列でログを取るため。
(2)インターネットへのアクセスに対して、特定の宛先への通信をブロックするため。
Webサイトへのアクセス履歴を確認するため。(もっちとちゃんと書いたけど、詳細を忘れました)
(3)認証サーバの認証ログ
(4)a. syslogサーバ b. 認証サーバ
(5)c. 10080 d. 443
2
(1)2,7
(2)BAHIEIK
(3)送信元:内部セグメント 宛先:SWGサービス プロトコル/宛先ポート番号:443
(4)アクセスを許可する送信元アドレスをSWG-GIPだけに変更する。
(5)通信経路を短くする。
1
(1)時刻を同期することで、正確な時系列でログを取るため。
(2)インターネットへのアクセスに対して、特定の宛先への通信をブロックするため。
Webサイトへのアクセス履歴を確認するため。(もっちとちゃんと書いたけど、詳細を忘れました)
(3)認証サーバの認証ログ
(4)a. syslogサーバ b. 認証サーバ
(5)c. 10080 d. 443
2
(1)2,7
(2)BAHIEIK
(3)送信元:内部セグメント 宛先:SWGサービス プロトコル/宛先ポート番号:443
(4)アクセスを許可する送信元アドレスをSWG-GIPだけに変更する。
(5)通信経路を短くする。
2025.04.20 22:00
ぽんたさん(No.39)
1番最後は「FWの負荷軽減」でもいけますかね?
2025.04.20 22:03
KKK22さん(No.40)
ミスりましたのでもう一度。
自分のメモを兼ねて、大体のニュアンスだけですが。
1
(1)時刻を同期することで、正確な時系列でログを取るため。
(2)インターネットへのアクセスに対して、特定の宛先への通信をブロックするため。
Webサイトへのアクセス履歴を確認するため。(もっちとちゃんと書いたけど、詳細を忘れました)
(3)認証サーバの認証ログ
(4)a. syslogサーバ b. 認証サーバ
(5)c. 10080 d. 443
2
(1)SWGサービスが使うCAのルート証明書
(2)C&Cサーバ
3
(1)2,7
(2)BAHIEIK
(3)送信元:内部セグメント 宛先:SWGサービス プロトコル/宛先ポート番号:443
(4)アクセスを許可する送信元アドレスをSWG-GIPだけに変更する。
(5)通信経路を短くする。
自分のメモを兼ねて、大体のニュアンスだけですが。
1
(1)時刻を同期することで、正確な時系列でログを取るため。
(2)インターネットへのアクセスに対して、特定の宛先への通信をブロックするため。
Webサイトへのアクセス履歴を確認するため。(もっちとちゃんと書いたけど、詳細を忘れました)
(3)認証サーバの認証ログ
(4)a. syslogサーバ b. 認証サーバ
(5)c. 10080 d. 443
2
(1)SWGサービスが使うCAのルート証明書
(2)C&Cサーバ
3
(1)2,7
(2)BAHIEIK
(3)送信元:内部セグメント 宛先:SWGサービス プロトコル/宛先ポート番号:443
(4)アクセスを許可する送信元アドレスをSWG-GIPだけに変更する。
(5)通信経路を短くする。
2025.04.20 22:04
Z3xqGimeさん(No.41)
問3(2)復路の(I)と(3)のプロトコルは凡ミス。。。
設問1
(1)ログ解析時の突合が容易になる
(2)①アクセス先のFQDNやIPアドレスのチェックを行うため
②RADIUSプロトコルによる利用者認証を行うため
(3)認証サーバの認証ログ
(4)a : syslogサーバ b : 認証サーバ
(5)c : 10080 d : 443
設問2
(1)SWGサービスのルート証明書
(2)C&Cサーバ
設問3
(1)2、7
(2)(B), (A), (H), (I), (E), (K)
(3)送信元 : 内部セグメント
宛先 : SWGサービス
プロトコル/宛先ポート番号 : https/443
(4)アクセスを許可する送信元IPアドレスを変更する
(5)負荷の軽減
設問1
(1)ログ解析時の突合が容易になる
(2)①アクセス先のFQDNやIPアドレスのチェックを行うため
②RADIUSプロトコルによる利用者認証を行うため
(3)認証サーバの認証ログ
(4)a : syslogサーバ b : 認証サーバ
(5)c : 10080 d : 443
設問2
(1)SWGサービスのルート証明書
(2)C&Cサーバ
設問3
(1)2、7
(2)(B), (A), (H), (I), (E), (K)
(3)送信元 : 内部セグメント
宛先 : SWGサービス
プロトコル/宛先ポート番号 : https/443
(4)アクセスを許可する送信元IPアドレスを変更する
(5)負荷の軽減
2025.04.20 22:12
itmaさん(No.42)
設問2(1) SWGサービスのルート証明書 か、SWGサービスのサーバ証明書 どっちでしょうか...?
2025.04.20 22:28
KKK22さん(No.43)
ルート証明書だと思います(サーバ証明書同士を見比べても検証したことにならないので)
2025.04.20 22:33
ss11さん(No.44)
設問1
(1) 複数機器でログのタイムスタンプの整合性を保つため。
(2) 登録したFQDNやIPアドレス宛ての通信をブロックするため。
インターネットへのアクセスログを収集するため。
(3) L3SWのDHCPリースログ
(4) a:syslogサーバ b:認証サーバ
(5) c:10080 d:443
設問2
(1) SWGサービスの公開鍵証明書
(2) C&Cサーバ
設問3
(1) 2、7
(2) BAHIEIK
(3) 内部セグメント、SWGサービス、TCP/443
(4) アクセスを許可する送信元をSWG-GIPに変更する。
(5) FWの負荷軽減
(1) 複数機器でログのタイムスタンプの整合性を保つため。
(2) 登録したFQDNやIPアドレス宛ての通信をブロックするため。
インターネットへのアクセスログを収集するため。
(3) L3SWのDHCPリースログ
(4) a:syslogサーバ b:認証サーバ
(5) c:10080 d:443
設問2
(1) SWGサービスの公開鍵証明書
(2) C&Cサーバ
設問3
(1) 2、7
(2) BAHIEIK
(3) 内部セグメント、SWGサービス、TCP/443
(4) アクセスを許可する送信元をSWG-GIPに変更する。
(5) FWの負荷軽減
2025.04.20 23:12
hahahaさん(No.45)
aとb
本文何回読んでも、最後の最後まで全然分からんかった。。
ポート番号かあ。。
Syslogサーバ⇒UDP/514
RADIUSサーバ⇒UDP/1812
本文何回読んでも、最後の最後まで全然分からんかった。。
ポート番号かあ。。
Syslogサーバ⇒UDP/514
RADIUSサーバ⇒UDP/1812
2025.04.20 23:16
最後さん(No.46)
最後の答え、回線負荷も軽減されるけど経路も短くなるので、「レスポンスの向上」にしました。
2025.04.20 23:39
SE1さん(No.47)
aとbは問題文読めばわかるようになってましたよ
2025.04.20 23:42
頑張り屋さん(No.48)
設問1
(1)機器のログを見比べるログ解析をやりやすくする
(2)・登録したFQDNやIPアドレス宛の通信をブロックするため
・アクセスログを保存するため
(3)L3SWのDHCPリースログ
(4)a:syslogサーバ、b:認証サーバ
(5)c:10080、d:443
設問2
(1)クライアント証明書
(2)C&Cサーバ
設問3
(1)2,7
(2)B,A,I,E,I,K(カッコ略)
(3)・内部セグメント
・インターネット
・TCP/443
(4)アクセスを許可する送信元IPアドレスをSWG-GIPのみに変更する
(5)FWの負荷軽減
設問1−(4)のa。「syslog」としか書いてないかも…
設問3−(2)はSWGサービスを抜かしちゃった。
設問3−(3)、宛先は「インターネット」じゃダメかな…項番8で「K社SaaS」って書かれ方がされてるし、「SWGサービス」が正解なんだろうね。
(1)機器のログを見比べるログ解析をやりやすくする
(2)・登録したFQDNやIPアドレス宛の通信をブロックするため
・アクセスログを保存するため
(3)L3SWのDHCPリースログ
(4)a:syslogサーバ、b:認証サーバ
(5)c:10080、d:443
設問2
(1)クライアント証明書
(2)C&Cサーバ
設問3
(1)2,7
(2)B,A,I,E,I,K(カッコ略)
(3)・内部セグメント
・インターネット
・TCP/443
(4)アクセスを許可する送信元IPアドレスをSWG-GIPのみに変更する
(5)FWの負荷軽減
設問1−(4)のa。「syslog」としか書いてないかも…
設問3−(2)はSWGサービスを抜かしちゃった。
設問3−(3)、宛先は「インターネット」じゃダメかな…項番8で「K社SaaS」って書かれ方がされてるし、「SWGサービス」が正解なんだろうね。
2025.04.20 23:50
いすやさん(No.49)
試験お疲れ様でした!そこそこ戦えたのかなと思います!
設問1
(1)各サーバのログの時系列を正しくするため
(2)・登録したFQDNやIPアドレス宛の通信をブロックするため
・利用者認証を行ったり、アクセスログを残せるようにするため
(3)プロキシサーバのアクセスログ
(4)a:内部サーバ、b:認証サーバ
(5)c:10080、d:443
設問2
(1)SWGサーバのクライアント証明書
(2)K社SaaS
設問3
(1)2,7
(2)B,A,H,I,E,I,K
(3)・内部セグメント
・SWGサービス
・TCP/443
(4)アクセスを許可する送信元をSWG-GIPに変更する
(5)通信経路が短くなる
設問1
(1)各サーバのログの時系列を正しくするため
(2)・登録したFQDNやIPアドレス宛の通信をブロックするため
・利用者認証を行ったり、アクセスログを残せるようにするため
(3)プロキシサーバのアクセスログ
(4)a:内部サーバ、b:認証サーバ
(5)c:10080、d:443
設問2
(1)SWGサーバのクライアント証明書
(2)K社SaaS
設問3
(1)2,7
(2)B,A,H,I,E,I,K
(3)・内部セグメント
・SWGサービス
・TCP/443
(4)アクセスを許可する送信元をSWG-GIPに変更する
(5)通信経路が短くなる
2025.04.21 00:34
okaits7534さん(No.50)
昨日はお疲れ様でした!2,3選択です。
設問1
(1)ログの時間を正確にすることで保守を簡単にするため。
(2)・登録したFQDNやIPアドレス宛ての通信をブロックするため。
・PCのアクセス履歴の確認、障害発生時の原因分析をしやすくするため。
(3)プロキシサーバのアクセスログ
(4)a:syslogサーバ、b:認証サーバ
(5)c:10080、d:443
設問2
(1)SWGサービスの証明書
(2)攻撃者の指令サーバ
設問3
(1)2,7
(2)B,A,H,I,E,I,K
(3)・内部セグメント
・SWGサービス
・TCP/443
(4)アクセスを許可する送信元をSWG-GIPだけに制限するよう変更する。
(5)経路が短くなる。
設問1
(1)ログの時間を正確にすることで保守を簡単にするため。
(2)・登録したFQDNやIPアドレス宛ての通信をブロックするため。
・PCのアクセス履歴の確認、障害発生時の原因分析をしやすくするため。
(3)プロキシサーバのアクセスログ
(4)a:syslogサーバ、b:認証サーバ
(5)c:10080、d:443
設問2
(1)SWGサービスの証明書
(2)攻撃者の指令サーバ
設問3
(1)2,7
(2)B,A,H,I,E,I,K
(3)・内部セグメント
・SWGサービス
・TCP/443
(4)アクセスを許可する送信元をSWG-GIPだけに制限するよう変更する。
(5)経路が短くなる。
2025.04.21 08:42
ネスペ浪人さん(No.51)
設問3(1)
2と8にしました。
K社SaaSにアクセスできなくなるのだから、
8の内部セグメントからK社saaSへの通信も
いらないと思ったのですけどだめですかね。
みんな2と7って書いてるから、あれと思って。
2と8にしました。
K社SaaSにアクセスできなくなるのだから、
8の内部セグメントからK社saaSへの通信も
いらないと思ったのですけどだめですかね。
みんな2と7って書いてるから、あれと思って。
2025.04.21 13:20
ネスペ浪人さん(No.52)
あっだめかも。失礼しました。
2025.04.21 13:28
2回目さん(No.53)
最後の記述外部との通信不要になって障害発生する可能性ある箇所減るので可用性が高くなるにした
2025.04.21 15:40
舞鶴さん(No.54)
恥ずかしながら自分の回答を晒します!
前の問題に時間かけすぎて問題文よく読まずに急いで書き殴った箇所も多々…😅
■問3
●設問1
(1)各機器の通信の時系列を正確にするため。
(2)・有害Webサイト等のアドレスを登録してそこへの通信をブロックするため
・PCの外部ネットワークへのアクセス履歴をログとして取得するため
(3)プロキシサーバのアクセスログ
(4)a:L3SW
b:L3SW
(5)c:80
d:443
●設問2
(1)SWG構成サーバのサーバ証明書
(2)リバースプロキシサーバ
●設問3
(1)2、7
(2)(B)、(A)、(H)、(I)、(E)、(I)、(K)
(3)送信元:内部セグメント
宛先:SWGサービス
プロトコル/宛先ポート番号:TCP/443
(4)SWGサービスを経由しないアクセスを拒否する。
(5)FWの負荷低減
前の問題に時間かけすぎて問題文よく読まずに急いで書き殴った箇所も多々…😅
■問3
●設問1
(1)各機器の通信の時系列を正確にするため。
(2)・有害Webサイト等のアドレスを登録してそこへの通信をブロックするため
・PCの外部ネットワークへのアクセス履歴をログとして取得するため
(3)プロキシサーバのアクセスログ
(4)a:L3SW
b:L3SW
(5)c:80
d:443
●設問2
(1)SWG構成サーバのサーバ証明書
(2)リバースプロキシサーバ
●設問3
(1)2、7
(2)(B)、(A)、(H)、(I)、(E)、(I)、(K)
(3)送信元:内部セグメント
宛先:SWGサービス
プロトコル/宛先ポート番号:TCP/443
(4)SWGサービスを経由しないアクセスを拒否する。
(5)FWの負荷低減
2025.04.21 17:39
ぼんごさん(No.55)
リバプロだからBAHIEまでじゃない?
2025.04.21 18:59
名無しさんさん(No.56)
設問1(3)はNAPTのログではないでしょうか?
FWのログと指定あったので
DHCPサーバはL3SWの機能だから外しました。
FWのログと指定あったので
DHCPサーバはL3SWの機能だから外しました。
2025.04.21 19:36
名無しさんさん(No.57)
あ、よくよく読むと下線部3からの選択のようですね。
この中だと認証サーバの認証ログです。
紛らわしい所に読点が入っているのもひっかけでしょう。
この中だと認証サーバの認証ログです。
紛らわしい所に読点が入っているのもひっかけでしょう。
2025.04.21 19:40
名無しさんさん(No.58)
利用者ではなくPCの特定だからL3SWのDHCPリースログです。
スレ汚し失礼しました。
スレ汚し失礼しました。
2025.04.21 19:46
ぁぉぃさん(No.59)
この投稿は投稿者により削除されました。(2025.04.21 19:49)
2025.04.21 19:49
2回目さん(No.60)
L7レベルのFWでないならPCのプロキシ経由の不正な通信は検知できない気がする
不正な接続先はプロキシの方でブロックしてるみたいだからPCから直接通信行ってると思ってDHCPにした
不正な接続先はプロキシの方でブロックしてるみたいだからPCから直接通信行ってると思ってDHCPにした
2025.04.21 19:58
ちゃっとさん(No.61)
>設問1(3)はNAPTのログではないでしょうか?
なるほど、そういう見方もありますね。
問題文の読点の位置が絶妙。
たぶん皆さん
>FWの通信ログにおいてPCからの不正な通信が確認された後で、PCを特定するために…
という読み方をしてるから以下の考えになっていると思います。
FWの通信ログを確認した後に確認するログなので、対象は他の機器のログ。FWのログでは送信元のIPアドレスまでしかわからないので、DHCPサーバでそのIPアドレスがどのPCに割り当てられているのかを確認する意味で、「L3SWのDHCPリースログ」かな。
2025.04.21 20:00
GinSanaさん(No.62)
午後1問3の昨日の回答です
間違ってるのもあるはずです
設問1
(1)
複数機器の出力するログの時刻を統一するため
(2)
①
認証サーバによる利用者認証をインターネットへの接続時に行うため
②
syslogサーバにプロキシサーバのアクセス履歴を保存するため
(3)
L3SWのDHCPリースログ
(4)
a
syslogサーバ
b
認証サーバ
(5)
c
10080
d
443
設問2
(1)
SWGサービスのルート証明書
(2)
C&Cサーバ
設問3
(1)
①
2
②
7
(2)
(B)、(A)、(H)、(I)、(E)、(I)、(K)
(3)
送信元
内部セグメント
宛先
SWGサービス
プロトコル/宛先ポート番号
TCP/443
(4)
アクセスを許可する送信元IPアドレスをSWG-GIPに変更する
(5)
FWの負荷が下がる
間違ってるのもあるはずです
設問1
(1)
複数機器の出力するログの時刻を統一するため
(2)
①
認証サーバによる利用者認証をインターネットへの接続時に行うため
②
syslogサーバにプロキシサーバのアクセス履歴を保存するため
(3)
L3SWのDHCPリースログ
(4)
a
syslogサーバ
b
認証サーバ
(5)
c
10080
d
443
設問2
(1)
SWGサービスのルート証明書
(2)
C&Cサーバ
設問3
(1)
①
2
②
7
(2)
(B)、(A)、(H)、(I)、(E)、(I)、(K)
(3)
送信元
内部セグメント
宛先
SWGサービス
プロトコル/宛先ポート番号
TCP/443
(4)
アクセスを許可する送信元IPアドレスをSWG-GIPに変更する
(5)
FWの負荷が下がる
2025.04.21 22:05
maritosさん(No.63)
ここに回答を挙げている方々を見ると、おおよそあってそうな方が多いのってやっぱりできる人ほど投稿するからなんでしょうか
どうみても合格率15%の試験(午後1だけでも4割くらいは脱落する試験)の回答にみえなくて、、
どうみても合格率15%の試験(午後1だけでも4割くらいは脱落する試験)の回答にみえなくて、、
2025.04.21 22:21
コンテナさん(No.64)
L3SWのDHCPサーバ挙げてる方いますが、認証サーバにはどういうものを認証しているかのログが出ていて、その中にIPもあるので、認証サーバかなと・・・
2025.04.22 00:19
あーさん(No.65)
認証ログからIPを特定するのが認証サーバのログで、
IPからPCを特定するのがDHCPのログなのではないでしょうか?
今回問われているのがPCの特定なので、より事実に近いDHCPのような気がします。
IPからPCを特定するのがDHCPのログなのではないでしょうか?
今回問われているのがPCの特定なので、より事実に近いDHCPのような気がします。
2025.04.22 01:52
ショウさん(No.66)
設問3(3) の送信元はソフトEにしてました、皆さんの回答見る限り内部セグメントが正しいんですかね…
2025.04.22 04:58
shienshiさん(No.67)
ソフトEはローカルプロキシとなりって書いてありますので自分も悩みました。ソフトE導入によりL3SWを変更する記述もないし、内部セグメントのサブネットを切ってる記述もないし、戻りの通信考えるとどのみち内部セグメントしかないんだろうと思って内部セグメントにしました。またR-PCにもソフトEが入っていたのでソフトEと限定できなかったというのもありました。
2025.04.22 07:57
ショウさん(No.68)
なるほど確かにそうですね、ありがとうございます!
2025.04.22 11:43
にゃもさん(No.69)
単語問題とか文章記述以外の穴埋めって部分点あるのかなぁ
あってほしいなぁ...
あってほしいなぁ...
2025.04.22 12:14
2回目さん(No.70)
並列/並行どっちでもいいのだろうか
2025.04.23 16:28
2回目さん(No.71)
通信経路が短くなるからこういった利点があるじゃなくて短くなるだけでいい見たいな問題嫌い
2025.04.23 16:42
2回目さん(No.72)
問2(1)サーバの上位の証明書の場合これはPC内にプルインストールされてるルート証明書にチェインしてないか非公開の証明書になる気がするけど合ってるのだろうか?
そうだったとしてもサーバの証明書を直接インストールすれば気がする
そうだったとしてもサーバの証明書を直接インストールすれば気がする
2025.04.23 17:21
fooさん(No.73)
設問1(3)について
・プロキシサーバのアクセスログ
・L3SWのDHCPリースログ
の 2 つ必要ではないでしょうか?
みなさんのお考えをお聞かせください🙇
【こう考えた理由】
・FWの通信ログということは PC からインターネット宛ての通信である(業務用サーバーへは PAC ファイルにより直接接続)
・インターネット宛ての通信はプロキシサーバーを経由する
・プロキシサーバのアクセスログから怪しい宛先への送信元 IP アドレスを特定
・L3SW のDHCP リースログからその IP アドレスを割り当てた PC を特定
・プロキシサーバのアクセスログ
・L3SWのDHCPリースログ
の 2 つ必要ではないでしょうか?
みなさんのお考えをお聞かせください🙇
【こう考えた理由】
・FWの通信ログということは PC からインターネット宛ての通信である(業務用サーバーへは PAC ファイルにより直接接続)
・インターネット宛ての通信はプロキシサーバーを経由する
・プロキシサーバのアクセスログから怪しい宛先への送信元 IP アドレスを特定
・L3SW のDHCP リースログからその IP アドレスを割り当てた PC を特定
2025.04.23 18:50
3日坊主チャレンジ中さん(No.74)
6割乗ったかなぁ…
設問1
(1)ログの原因となった事象が発生した時刻を把握するため
(2)FQDNベースでIPブロックするのとWebアクセスのログ保存、みたいな感じ
(3)L3SWのDHCPリースログ
(4)認証サーバ、syslogサーバ ※何で逆に書いちゃったんだろう…
(5)10080、443
設問2
(1)SWGサービスのサーバ証明書
(2)C&Cサーバ
設問3
(1)2、7
(2)BAIEK ※認証サーバもSWGサービスも通らないと思っちゃった
(3)内部セグメント、SWGサービス、TCP/80、TCP/443 ※HTTP書いた説濃厚…
(4)アクセスを許可する通信をSWGのGIPに変更する、みたいな感じ
(5)同じ経路を通らない
設問1
(1)ログの原因となった事象が発生した時刻を把握するため
(2)FQDNベースでIPブロックするのとWebアクセスのログ保存、みたいな感じ
(3)L3SWのDHCPリースログ
(4)認証サーバ、syslogサーバ ※何で逆に書いちゃったんだろう…
(5)10080、443
設問2
(1)SWGサービスのサーバ証明書
(2)C&Cサーバ
設問3
(1)2、7
(2)BAIEK ※認証サーバもSWGサービスも通らないと思っちゃった
(3)内部セグメント、SWGサービス、TCP/80、TCP/443 ※HTTP書いた説濃厚…
(4)アクセスを許可する通信をSWGのGIPに変更する、みたいな感じ
(5)同じ経路を通らない
2025.04.23 18:53
こんにちはさん(No.75)
設問2(1)は「PC のクライアント証明書」ではないのでしょうか?
SWG サーバ証明書は TCP ハンドシェイクの Server Hello で送られてくるし、サーバ証明書を検証するためのルート証明書は PC にプリインストールされていると思いました
また、SWG は利用者認証機能があるのでクライアント証明書がないといけないのかな?と思いました
SWG サーバ証明書は TCP ハンドシェイクの Server Hello で送られてくるし、サーバ証明書を検証するためのルート証明書は PC にプリインストールされていると思いました
また、SWG は利用者認証機能があるのでクライアント証明書がないといけないのかな?と思いました
2025.04.23 19:00
3日坊主チャレンジ中さん(No.76)
PCにインストールする証明書なので、PC のクライアント証明書ってことはないと思いました…
2025.04.23 19:12
こんにちはさん(No.77)
> 3日坊主チャレンジ中さん
ではクライアント証明書はどこにインストールされます?
2025.04.23 19:17
bpdさん(No.78)
設問1(3) は 許可が any なのでプロキシ経由だと不正な通信を検知できないと思うのでプロキシ経由してない通信だと思います。
2025.04.23 19:19
こんにちはさん(No.79)
> bpdさん
どういうことでしょうか?本文に
・インターネット上のwebサイトへはプロキシサーバを経由
とありますが・・・
2025.04.23 19:30
bpdさん(No.80)
>こんにちはさん
any とは書いてませんでした申し訳ございません
プロキシ側でFDQNやIPのブロックを行っているのでFWでプロキシ->インターネットのブロックリストがあるのか微妙だと思ってます。
2025.04.23 19:40
あぴさん(No.81)
プロキシサーバのログから分かること
→送信元IPアドレス
L3SWのDHCPリースログから分かること
→IPアドレスに紐付くPCのMACアドレス
今回は"PCを特定するために確認するログ"なので、より正解に近いのはL3SWのDHCPリースログと思われます。
→送信元IPアドレス
L3SWのDHCPリースログから分かること
→IPアドレスに紐付くPCのMACアドレス
今回は"PCを特定するために確認するログ"なので、より正解に近いのはL3SWのDHCPリースログと思われます。
2025.04.23 19:45
あぴさん(No.82)
クライアント証明書であれば認証方式の補足でEAP-TLSの記載があっても良いように思います。
2025.04.23 19:49
padoさん(No.83)
この投稿は投稿者により削除されました。(2025.04.23 20:04)
2025.04.23 20:04
ネスペ楽しかったさん(No.84)
>fooさん
">設問1(3)について
">・FWの通信ログということは PC からインターネット宛ての通信である(業務用サーバーへは PAC ファイルにより直接接続)
">・インターネット宛ての通信はプロキシサーバーを経由する
FWの通信ログ=PCからインターネット宛ての通信ではないと思います。
PCからK社SaaS宛ての通信は、FWを通るけどプロキシサーバ通らないですよね。
この設問では、以下を聞いているのかと。
・不正な通信が発生していることまでは判明済。
※不正な通信がどこ宛てかは記載されていない。
・PCを特定する段階まで至っている。
・どのログを見れば、PCを特定できるのか。
→答えはIPを払い出している、DHCPリソースログ になりますね。
設問が以下だったら、プロキシのアクセスログを見る必要ありますね。
”インターネット宛てにPCから不正な接続を行っている可能性があり調査をしたい。どのログを見る必要があるか。”
2025.04.23 20:03
padoさん(No.85)
>こんにちはさん
>SWG サーバ証明書は TCP ハンドシェイクの Server Hello で送られてくるし、サーバ証明書を検証するためのルート証明書は PC にプリインストールされていると思いました
ルート証明機関や証明書ストアなどにプリインストールされている証明書は、
通常、ルート証明機関や証明書ストアを持つOS・ブラウザ等の開発元ベンダや第三者認証局によって発行された、
所謂、信頼されたルート証明書だけになるかと思います。
問題文を見る限りでは、SWGサービス提供元のL社は、これに該当していないように思われます。
そのため、SWGサービスを利用する上で、「SWGサービスのルート証明書」をPCインストールする必要があるのではないでしょうか。
また、以下の問題文中の「SWG サービスを経由して Webサイトにアクセスする HTTPS 通信を信頼させる」は、
>④ SWG サービスは HTTPS 通信のコンテンツを調査する機能をもつ。SWG サービスを経由して Webサイトにアクセスする HTTPS 通信を信頼させるために, PCに証明書をあらかじめインストールする。
「ルート証明書」を使用したサーバ証明書(Public Key)の検証の事を示唆しているように見えますので、PCにインストールが必要な対象としても「SWGサービスのルート証明書」が該当するのではないでしょうか。
2025.04.23 20:06
fooさん(No.86)
> ネスペ楽しかったさん
ありがとうございます。
リースログが適切そうなのは理解できましたがここだけ。
> FWの通信ログ=PCからインターネット宛ての通信ではないと思います。
PCからK社SaaS宛ての通信は、FWを通るけどプロキシサーバ通らないですよね。
インターネットを通る通信の方が適切だったですかね。
PAC ファイルにK社Saas宛ては直接接続するよう定義されてますので、プロキシサーバーは通りません。
それ以外のインターネット宛てへはPC→FW→プロキシサーバ→FWとなると思います。
ここで、あらかじめ通信したくない宛先へはプロキシサーバーがフィルタリングしているのでブロックします。
不正な通信があったのはそれ以外のインターネット上の宛先への通信と考えるのが妥当であり、これはFWを通る経路だと思いました。
2025.04.23 20:19
fooさん(No.87)
補足。インターネットへの通信でk社saasへは直接接続を許可してるので、そこでの不正な通信はないと思いました。(認証してるし。)
2025.04.23 20:21
こんにちはさん(No.88)
> padoさん
SWGや仮想LB、WAFなどでHTTPSを中継するサービスを導入する時、サーバ証明書はプライベート認証局が署名してるのでPCにはその認証局のルート証明書がいるみたいですね。
ありがとうございました。
2025.04.23 20:29
GinSanaさん(No.89)
この投稿は投稿者により削除されました。(2025.04.23 22:10)
2025.04.23 22:10
GinSanaさん(No.90)
itecの解答で私も概ねあっていそうですが、SWG-GIPの「追加」は、ん?となったくらいです。
2025.04.23 22:11
GinSanaさん(No.91)
TACのが出たので見ました。アイテックと違って予想配点が書いてあるのが助かります。
最後のはやっぱり、一番事実に近い記述としてアイテックもですが、経由する機器の削減になるのかな、と
およそTAC間もアイテック間も問3はぶれてないように思います
最後のはやっぱり、一番事実に近い記述としてアイテックもですが、経由する機器の削減になるのかな、と
およそTAC間もアイテック間も問3はぶれてないように思います
2025.04.24 16:36
まるさんさん(No.92)
微妙だなぁ
問2が20点くらいだから問3は8割必要なのに、、
【問3(38/50)】
設問1(18/18)
(1)(4/4)
ログ解析の際に時系列で確認するため。→◯
(2)(4/4)
・登録したFQDNやIPアドレス宛の通信をブロックするため。→◯
・インターネット上のwebサイトへのアクセスログを残すため。→◯
(3)(2/2)
L3SWのDHCPリースログ→◯
(4)(4/4)
a syslogサーバ→◯
b 認証サーバ→◯
(5)(4/4)
c 10080 →◯
d 443 →◯
設問2(0/10)
(1)(0/5)
SWGサービスのサーバ証明書→×
(2)(0/5)
サンドボックス→×
設問3(20/22)
(1)(3/3)
2,7 →◯
(2)(3/3)
BAHIEIK →◯
(3)(4/6)
送信元 J社のグローバルIPアドレス→×
宛先 SWGサービス ◯
プロトコル/ポート TCP/443 ◯
(4)(5/5)
送信元の制限をJ社のグローバルIPアドレスからSWG-GIPへ変更する →◯
(5)(5/5)
FWを経由しない →◯
問2が20点くらいだから問3は8割必要なのに、、
【問3(38/50)】
設問1(18/18)
(1)(4/4)
ログ解析の際に時系列で確認するため。→◯
(2)(4/4)
・登録したFQDNやIPアドレス宛の通信をブロックするため。→◯
・インターネット上のwebサイトへのアクセスログを残すため。→◯
(3)(2/2)
L3SWのDHCPリースログ→◯
(4)(4/4)
a syslogサーバ→◯
b 認証サーバ→◯
(5)(4/4)
c 10080 →◯
d 443 →◯
設問2(0/10)
(1)(0/5)
SWGサービスのサーバ証明書→×
(2)(0/5)
サンドボックス→×
設問3(20/22)
(1)(3/3)
2,7 →◯
(2)(3/3)
BAHIEIK →◯
(3)(4/6)
送信元 J社のグローバルIPアドレス→×
宛先 SWGサービス ◯
プロトコル/ポート TCP/443 ◯
(4)(5/5)
送信元の制限をJ社のグローバルIPアドレスからSWG-GIPへ変更する →◯
(5)(5/5)
FWを経由しない →◯
2025.04.24 17:26
2回目さん(No.93)
普通に考えたらSWGでもWEBのアクセス履歴のログ取ってるんだろうけど書いてないからプロキシの役割は認証と接続制限の二つなのだろうか...
2025.04.24 18:33
にゃもさん(No.94)
設問1(2)のプロキシサーバを経由させる理由なんですけど、
・送信元アドレス制限しているサイトにアクセスするため
・RADIUSプロトコルを用いて利用者認証を行うため
この2つを書いたんですけど微妙ですかね。。
・送信元アドレス制限しているサイトにアクセスするため
・RADIUSプロトコルを用いて利用者認証を行うため
この2つを書いたんですけど微妙ですかね。。
2025.04.24 21:17
うるしさん(No.95)
B,A,H,I,E,I,K
(B),(A),(H),(I),(E),(I),(K)
括弧書きにしていない場合、点もらえる可能性はありますか?
(B),(A),(H),(I),(E),(I),(K)
括弧書きにしていない場合、点もらえる可能性はありますか?
2025.04.24 22:32
舞鶴さん(No.96)
>うるしさん
>括弧書きにしていない場合、点もらえる可能性はありますか?
「本文中の下線⑦の記述に従って」とわざわざ指定されている以上、原則的には残念ながら得点にはならないかと…
とはいえ正答率によっては合格率調整の下駄があるかもしれません
希望は捨てずに!
2025.04.24 22:56
bpdさん(No.97)
さすがに経路順に左から書いていく程度のことを言ってると思うので括弧なしでも大丈夫な気がしますよ
2025.04.24 23:01
グリズリーさん(No.98)
「SWGサービスの公開鍵証明書」では駄目でしょうか?
2025.04.25 20:04
bpdさん(No.99)
ルート証明書の検証と同じ方法でやればいいのでまあできるけどたぶんダメな気がする
2025.04.25 20:19
コンテナさん(No.100)
通信経路が短縮することを解答としているけど、これもたしかに利点だけどそこを踏み込んで、転送負荷が軽減するって書いたけど、これはどこまで点を貰えるのだろうか
2025.05.04 15:46
AyumuOnoさん(No.101)
1,(4),d 最初443と記入していたが、「k社Saasへはプロキシサーバを経由せずに直接接続する設定としている。」の記述より、80とした。自己採点が57,58から60のため、この配点2,3は痛い。
2025.05.05 07:18
その他のスレッド
»[0581] 令和7年春期試験『午後Ⅱ問1』 投稿数:89»[0580] 令和7年春期試験『午後Ⅱ問2』 投稿数:50
»[0579] 令和3年 午後2 問1 設問3(2) 投稿数:4