ネットワークスペシャリスト試験、特に記述式の午後問題で「あと一歩が届かない…」そんな悩みを抱えていませんか?その壁を突破する鍵は、単なる知識の暗記ではなく、頻出技術の本質的な理解にあります。DNS、IPsec、ファイアウォール、OSPF、SSL/TLS――これらの技術は、現代のネットワークシステムを支える根幹であり、当然ながら午後試験でもその応用力が厳しく問われます。
本記事では、過去10年以上の出題傾向を分析し、特に出題回数の多いこれら「トップ5技術」に焦点を絞りました。それぞれの技術が「なぜ重要なのか」「午後問題のシナリオでどのように問われるのか」を、豊富な図解と具体的な設定例を交えて徹底解説します。単なる用語解説に留まらず、知識を得点力に変えるための思考プロセスまで踏み込むのがこの記事のゴールです。
この記事を読み終える頃には、点と点でしかなかった知識が有機的な線として繋がり、難解に見えた長文問題も自信を持って読み解けるようになっているはずです。合格への最短ルートを、ここから一緒に歩み始めましょう。
目次
1. 【DNS】名前解決の裏側とセキュリティ│リフレクタ攻撃・DNSSEC対策
Webサイトの閲覧からメールの送受信まで、私たちがインターネットを利用する上で欠かせないのがDNS(Domain Name System)です。これは、www.example.com のような人間が覚えやすい「ドメイン名」と、192.0.2.1 のようなコンピュータが通信に使う「IPアドレス」を相互に変換する、いわばインターネット世界の巨大な住所録の役割を担っています。
ネットワークスペシャリストの午後試験では、この基本的な名前解決の仕組みはもちろんのこと、セキュリティを脅かす攻撃手法や、それに対する防御策まで深く問われます。
DNSの基本機能と重要レコード
DNSは、問い合わせ内容に応じて様々な種類の情報(レコード)を返します。特に午後問題で頻出する主要なレコードは必ず押さえておきましょう。
| レコード種別 | 正式名称 | 主な役割と目的 |
|---|---|---|
| A | Address Record | ドメイン名から IPv4アドレス を得る(正引き)。最も基本的なレコード。 |
| AAAA | AAAA Record | ドメイン名から IPv6アドレス を得る。AレコードのIPv6版。 |
| PTR | Pointer Record | IPアドレスから ドメイン名 を得る(逆引き)。 |
| NS | Name Server Record | そのドメインを管理するDNSサーバ(権威DNSサーバ)の名前を示す。 |
| MX | Mail Exchanger Record | そのドメイン宛のメールを配送すべきメールサーバの名前を示す。 |
午後問題で問われるDNSセキュリティ
便利なDNSですが、その仕組みを悪用した攻撃も後を絶ちません。特に「キャッシュポイズニング」と「リフレクタ攻撃」は頻出です。
DNSキャッシュポイズニング
攻撃者がDNSキャッシュサーバに偽のDNS応答を送り込み、情報を汚染させる攻撃です。これにより、正規のドメイン名にアクセスしたユーザーを、意図せずフィッシングサイトなどの悪意あるサーバへ誘導します。
DNSリフレクタ攻撃(DNS増幅攻撃)
DDoS攻撃の一種です。攻撃者は送信元IPアドレスを攻撃対象(ターゲット)のものに偽装し、多数のオープンリゾルバ(誰からの問い合わせにも応答するDNSサーバ)へDNSクエリを送信します。結果として、DNSサーバからの膨大な応答パケットが、ターゲットのマシンに一斉に送りつけられてしまいます。
DNSSECによる完全性確保の流れ
こうした脅威に対し、DNS応答の「正当性」を保証するのが DNSSEC(DNS Security Extensions) です。DNSSECは公開鍵暗号技術を利用してDNSレコードにデジタル署名を付与します。
ユーザー側のDNSサーバ(フルサービスリゾルバ)は、受け取ったDNS応答の署名を検証することで、「その応答が権威DNSサーバから送られた本物であること」そして「途中で改ざんされていないこと」を確認できます。これにより、DNSキャッシュポイズニングのような攻撃を防ぐことが可能になります。
学習のポイント
DNS分野を攻略するには、各レコードの役割を正確に覚えるだけでなく、「なぜこの設定が必要なのか」を考える癖をつけることが重要です。例えば、「メールが届かない」というトラブルに対し、MXレコードやAレコードの設定不備を疑う、といった実践的な思考力が問われます。ゾーンファイルの設定例を読み解き、構成の意図を説明できるレベルを目指しましょう。
2. 【IPsec】VPNの根幹技術│AH/ESP・2つのモードを攻略
インターネットのような信頼性の低い公衆網を経由して、あたかも専用線のように安全な通信路を構築する技術がVPN(Virtual Private Network)です。そのVPNを実現する代表的なプロトコルが IPsec (Security Architecture for Internet Protocol) です。
IPsecは、IPパケット単位で「盗聴(暗号化)」「改ざん検知(完全性)」「なりすまし防止(認証)」といったセキュリティ機能を提供し、ネットワーク層(OSI参照モデルの第3層)で動作する点が大きな特徴です。
IPsecが実現するセキュアな通信とは
IPsecは、主に2つのプロトコルを組み合わせてセキュリティを確保します。
- AH (Authentication Header)
送信元の認証と、データが改ざんされていないこと(完全性)を保証します。ただし、パケットの暗号化は行いません。通信内容そのものは平文で流れるため、「データの中身を見られても構わないが、送信者が正しく、改ざんがないことだけは確認したい」という限定的な状況で利用されます。 - ESP (Encapsulating Security Payload)
AHが持つ認証・完全性の機能に加えて、データの暗号化機能を提供します。現在では認証機能もESPに含まれているため、「暗号化」と「認証」の両方が必要な場面で使われるのが一般的であり、IPsecの中心的なプロトコルと言えます。
トンネルモードとトランスポートモードの使い分け
IPsecには、通信のどの範囲を保護するかによって2つの動作モードがあります。この違いは午後問題で頻繁に問われる最重要ポイントです。
- トランスポートモード
元のIPパケットのヘッダはそのまま利用し、データ部分(ペイロード)のみを保護します。主に通信を行う端末同士(PCとサーバ間など)で直接セキュリティを確保する場合に利用されます。 - トンネルモード
元のIPパケット全体(ヘッダ+データ)を丸ごとカプセル化し、それに新しいIPヘッダを付与します。主にネットワークの出入り口となるルータやファイアウォール間でVPNを構築し、2つの拠点(例:本社と支社)を安全に接続する場合に利用されます。
鍵交換の主役「IKE」の仕組み
IPsecで通信を開始する前には、暗号化に使う鍵や認証アルゴリズムなど、セキュリティに関する様々な取り決め(SA:Security Association)を、通信相手と安全に交換・合意する必要があります。この複雑な事前交渉を自動的に行ってくれるのが IKE (Internet Key Exchange) プロトコルです。
IKEは以下の2段階のフェーズで、安全性を段階的に確保しながら鍵交換を行います。
- フェーズ1: まず、以降の交渉を安全に行うための保護された通信路(IKE SA)を確立します。
- フェーズ2: フェーズ1で確立した通信路を使って、実際にデータを保護するための取り決め(IPsec SA)を複数確立します。
学習のポイント
IPsecを理解する鍵は、「誰と誰の間の」「どの範囲の通信を」「どのように守りたいのか」を常に意識することです。PC間の通信なのか、拠点間の通信なのかによって、選択すべきモードは明確に変わります。また、現在のインターネット環境では必須知識となる、NAPT環境下でIPsecを利用するための技術「NATトラバーサル」についても問われる可能性があるため、併せて押さえておきましょう。
📌 NAPT環境でのIPsecとNATトラバーサル
- 問題点:IPsecのESP(プロトコル番号50)はポート番号を持たないため、ポート変換で複数端末を識別するNAPTでは正しく処理できない。
- 結果:NAPT環境では通常のIPsec通信が通らず、VPN接続が失敗する。
- 解決策:NATトラバーサル(NAT-T)を利用し、ESPパケットをUDPカプセル化(UDP 4500ポート)して送信する。
- 仕組み:IKEフェーズでNATの存在を検出 → NATありなら自動でUDPカプセル化へ切り替え。
- 効果:UDPパケットとして扱えるため、NAPTを通過でき、IPsec VPNが正常に利用可能になる。
👉 一言まとめ:NAT-Tは「ESPをUDP 4500番に包んで、NAPTでも通せるようにする裏ワザ」。
3. 【ファイアウォール】パケットフィルタリングの基本と応用
ファイアウォール(FW)は、その名の通りネットワークにおける「防火壁」として機能します。内部の信頼できるネットワーク(社内LANなど)と、外部の信頼できないネットワーク(インターネットなど)の間に設置され、通過する通信(パケット)を事前に定められたルールに基づいて監視し、許可・拒否を判断するセキュリティの要です。
ネットワークスペシャリスト試験の午後問題、特に構成図を読み解くシナリオでは、ファイアウォールのルール設定を正しく理解しているかが直接問われます。
FWの役割と基本原理
ファイアウォールのフィルタリング方式には、主に2つのレベルがあります。
- 静的パケットフィルタリング
パケットのヘッダ情報(送信元/宛先IPアドレス、ポート番号、プロトコル種別など)だけを見て、ルールと一致するかを機械的に判断します。仕組みは単純ですが、通信の文脈(コネクションの状態)を考慮しないため、巧妙な攻撃を防ぎきれない場合があります。 - ステートフル・パケット・インスペクション(SPI)
静的な情報に加えて、過去のパケットを記憶し「通信の文脈(状態)」を管理するのが特徴です。例えば、内部からの正当なリクエストに対する「戻り」の通信は許可し、外部からの不正なリクエストは拒否するといった、より高度で安全な制御が可能です。現在のファイアウォールでは、このSPIが主流となっています。
午後問題の構成図から読み解くルール設定
午後試験では、ネットワーク構成図と共に「〜という通信を許可したい」といった要件が示され、適切なフィルタリングルールを答えさせる問題が頻出します。重要なのは、通信の方向(inbound/outbound)を意識することです。
例えば、インターネットからDMZ(非武装地帯)に設置されたWebサーバ(192.168.1.10)へのHTTPS通信のみを許可する場合、ルールは以下のようになります。
| No. | 送信元IP | 宛先IP | プロトコル | 宛先ポート | アクション |
|---|---|---|---|---|---|
| 1 | Any | 192.168.1.10 |
TCP | 443 (HTTPS) | 許可 |
| 2 | Any | Any | Any | Any | 拒否 |
このように、最初に許可するルールを明記し、最後にそれ以外をすべて拒否するルール(デフォルトDeny)を置くのがセキュリティの基本原則です。
学習のポイント
ファイアウォールの問題を解く際は、まずネットワーク構成図の中でFWがどこに設置されているかを確認しましょう。そして、DMZ(DeMilitarized Zone)がなぜその場所にあるのかを考えることが重要です。DMZは、インターネットに公開する必要があるサーバ(Web、メール、プロキシなど)を、社内LANなどの重要なネットワークから隔離するために設けられるエリアです。この役割を理解すれば、おのずと設定すべきルールの意図が見えてきます。
4. 【OSPF】動的ルーティングの代表格│コストとエリアの考え方
ネットワーク内のルータ同士が経路情報を自動的に交換し、最適な通信経路を決定する仕組みを「動的ルーティング」と呼びます。その代表的なプロトコルが OSPF (Open Shortest Path First) です。
OSPFは、ネットワークの構成情報をルータ同士で共有し、各ルータがネットワーク全体の「地図」を作成することで、障害発生時にも迅速に迂回経路を計算できる、高機能で拡張性に優れたプロトコルです。この方式はリンクステート型と呼ばれます。
OSPFの仕組みと基本用語
OSPFを理解するには、いくつかの重要なキーワードを押さえる必要があります。
- コスト
OSPFが最適経路を判断するための指標です。各ルータのインターフェースには「コスト」と呼ばれる値が設定され、これは一般的に通信帯域幅が広いほど低くなります(速い回線ほど優先される)。OSPFは、宛先までのコストの合計値が最も小さい経路を最適経路として選択します。 - LSA (Link-State Advertisement)
「リンク状態広告」と訳され、ルータが持つ自身の接続情報(どのルータに、どのコストで繋がっているかなど)をまとめた通知パケットです。ルータはLSAをネットワーク内にいる他のルータと交換し合い、全員が同じ「地図」を持てるようにします。 - エリア
大規模なネットワークでOSPFを運用すると、管理する情報が増えすぎてルータの負荷が高まります。そこで、ネットワークを「エリア」と呼ばれる小さなグループに分割して管理します。エリアを分割することで、LSAの交換範囲をエリア内に限定でき、ネットワーク全体の安定性と拡張性が向上します。全てのエリアはエリア0と呼ばれる中心の「バックボーンエリア」に接続する必要があります。
距離ベクトル型(RIPなど)との決定的な違い
OSPF(リンクステート型)は、しばしば RIP (Routing Information Protocol) に代表される「距離ベクトル型」プロトコルと比較されます。両者の違いは、経路情報の交換方法にあります。
- 距離ベクトル型 (RIP)
隣接するルータから「あの宛先まで、これくらいの距離(ホップ数)で行ける」という、又聞きのような情報だけを交換します。このため、情報の伝達が遅く、障害発生時の経路収束に時間がかかる弱点があります。 - リンクステート型 (OSPF)
各ルータがLSAを交換し、ネットワーク全体の接続情報(トポロジ)を共有します。完全な地図を元に経路を計算するため、経路の収束が非常に速く、大規模なネットワークに適しています。
| 比較項目 | リンクステート型 (OSPF) | 距離ベクトル型 (RIP) |
|---|---|---|
| 経路情報の共有方法 | ネットワーク全体の地図 (トポロジ) | 隣接ルータの経路表 |
| 経路決定の指標 | コスト (帯域幅を考慮) | ホップ数 (経由ルータ数) |
| 経路の収束速度 | 速い | 遅い |
| ネットワーク規模 | 大規模向け | 小規模向け |
学習のポイント
OSPFの攻略ポイントは、コスト計算の仕組みを理解することです。午後問題では、ネットワーク構成図に各回線のコスト値が示され、「ルータAから宛先Xまでの最適経路はどこか」を問われるケースが多くあります。複数の候補経路の合計コストを算出し、最小のものを選ぶ練習をしておきましょう。また、「なぜエリア分割が必要なのか」を負荷軽減と拡張性の観点から説明できるようになっておくことも重要です。
5. 【SSL/TLS】Webの安全を守る暗号化通信のすべて
WebサイトのURLが http:// ではなく https:// から始まっているのを見たことがあるでしょう。この s は "Secure" を意味し、通信が SSL/TLS (Secure Sockets Layer / Transport Layer Security) によって保護されている証です。SSL/TLSは、WebブラウザとWebサーバ間の通信を暗号化し、「盗聴」「改ざん」「なりすまし」を防ぐための中心的な技術です。
現在では、SSLの後継であるTLSが主流ですが、両者は慣習的に「SSL」または「SSL/TLS」と総称されます。
SSL/TLSの役割とHTTPSの裏側
SSL/TLSは、公開鍵暗号と共通鍵暗号を組み合わせたハイブリッド方式で、安全性と効率性を両立させています。この信頼の仕組みを支えているのが「デジタル証明書」と「認証局(CA)」です。
- デジタル証明書(サーバ証明書)
Webサーバの身元を証明する電子的な証明書です。これには、サーバの運営組織の情報や、通信を暗号化するための公開鍵が含まれています。 - 認証局(CA: Certificate Authority)
デジタル証明書が正当なものであることを保証する、信頼された第三者機関です。ブラウザは、このCAを信頼することで、Webサイトの正当性を判断します。これは、公的な身分証明書を発行する役所のような役割に例えられます。
ハンドシェイク処理の流れを理解する
SSL/TLSによる暗号化通信は、「ハンドシェイク」と呼ばれる事前のネゴシエーション(交渉)から始まります。この一連の流れは午後問題の頻出論点です。
- Client Hello: クライアント(ブラウザ)が、サーバに対し、使用可能な暗号方式のリストなどを通知します。
- Server Hello: サーバは、使用する暗号方式を決定し、自身のデジタル証明書をクライアントに送付します。
- クライアントによる検証と鍵交換: クライアントは、受け取った証明書が信頼できるCAによって署名されているかを検証します。検証後、通信の暗号化に使う共通鍵の素(プリマスターシークレット)を生成し、証明書に含まれるサーバの公開鍵で暗号化してサーバに送ります。
- 暗号化通信開始: サーバは、自身の秘密鍵で暗号化された共通鍵の素を復号します。これ以降、クライアントとサーバは同じ共通鍵を保有することになり、この共通鍵を使って高速な暗号化通信を開始します。
SSL-VPNとの関係
SSL/TLSの技術は、Webアクセスの保護だけでなく SSL-VPN にも応用されています。これは、SSL/TLSを利用してリモートアクセスVPNを構築する技術です。IPsec-VPNと比較して、標準的なHTTPS(TCP/443)ポートを使用するため、ファイアウォールで通信がブロックされにくいという利点があります。
学習のポイント
SSL/TLSを攻略するには、ハンドシェイクのシーケンスを正確に理解することが不可欠です。「なぜ最初は公開鍵暗号を使い、その後は共通鍵暗号に切り替えるのか」(安全な鍵交換と通信効率の両立のため)を説明できるようにしておきましょう。また、証明書の有効性を確認するための仕組みである CRL(証明書失効リスト) や OCSP といった関連技術も問われるため、併せて学習しておくことが重要です。
まとめ
これまで、ネットワークスペシャリスト午後試験で最重要となる5つの技術(DNS, IPsec, FW, OSPF, SSL/TLS)について、その仕組みと学習のポイントを解説してきました。
ここで最も重要なのは、これらの技術がそれぞれ独立した知識ではなく、一つの大きなシステムとして相互に関連し合っていると理解することです。例えば、あなたが https:// で始まるWebサイトにアクセスする一つの操作の裏では、まず DNS がIPアドレスを教え、OSPF が最適な経路を選択し、ファイアウォール がその通信を検査し、最終的に SSL/TLS が通信路を暗号化しています。VPN越しのアクセスであれば、そこには IPsec も関わってきます。
本記事で得た個々の知識の土台をもとに、ぜひ実際の午後問題に挑戦してみてください。設問の長文シナリオの中で、今回学んだ技術がどのように組み合わさって機能しているかを見つけ出すトレーニングを積むことが、合格点を掴むための最短ルートです。
皆様の合格を心より応援しています。