情報処理技術者試験ナビ

当サイトは準備中です。

NW H22秋 午後Ⅱ 問1

◀️ 前へ次へ ▶️

 業務システムの再構築に関する次の記述を読んで,設問 1〜6 に答えよ。

 T社は,コンピュータ関連製品の卸売会社である。従業員数は400名で,東京に本社が,大阪,福岡に営業所がある。T社の営業員200名及び技術員100名は,外出先で活動することが多い。営業員は,担当する販売代理店への営業活動を行い,技術員は,自社の取扱商品の技術サポートを行っている。営業員と技術員は,外出先にデータ通信カードを装着したPCを携帯し,インターネット経由でSSL-VPN装置に接続して,T社内のシステムを利用している。
 T社では,販売,購買,会計などの業務システムを運用している。現在のネットワクシステム構成を図1に示す。

f:id:honmurapeo:20180506094150p:plain

 T社では,業務システムの機能強化を目的に,システムの再構築を行うことにした。機能強化策の一つとして,取扱商品を大幅に増やすために,商品マスタを50万レコードに拡大する。併せて,以前から改善が求められていた,ファイルサーバのデータバックアップの見直しも行う。これらを推進するためのプロジェクトマネージャとして,情報システム部のW部長が任命された。W部長は,販売,購買,会計などの業務の責任者及びシステム基盤設計構築,運用の責任者を選出して,新業務システム開発プロジェクトを発足させた。
 新業務システムの概要設計完了後,W部長は,部下のY課長に対してシステム基盤と運用管理方式の設計を指示した。Y課長は,環境の変化に柔軟に対応できるようにすることと,運用負荷を抑えるために,新業務システムを稼働させるシステム基盤に,サーバ仮想化技術を活用することにした。

 

システム基盤の設計
 サーバの仮想化を実現させる仕組み(以下,仮想化機構という)を動作させるサーバのことを,物理サーバという。仮想化機構によって,物理サーバ上に作成されるサーバ機能を,仮想サーバという。仮想サーバは,物理サーバ上に複数作成できる。仮想サーバが使用するディスクは,物理サーバのローカルディスクとSANに接続されたディスク装置(以下,SANストレージという)に作成することができる。仮想サーバが使用するディスクをSANストレージに作成すると,複数の仮想サーバで共用できる。
 SANには,FC-SANと   a   がある。  a   を構成する代表的な技術がiSCSI(internet SCSI)である。最近は,iSCSIvプロトコルがPCとサーバOSに実装されているので,iSCSIを容易に利用できるようになった。iSCSIは,信頼性のあるデータ通信を行うために   b   プロトコルを使用する。ISCSIでは,サーバで稼働し,  c   コマンドを発行して処理を要求するイニシエータと,ストレージ装置で稼働して,その処理を実行する   d   間で,ブロックデータの入出力を実現させている。今回は,稼働実績を重視して,FC-SANを利用することにした。
 新業務システムは,アプリケーションサーバ(以下,APサーバという),データベスサーバ(以下,DBサーバという)及びSANストレージで構成する。APサーバは,仮想サーバで稼働させる。DBサーバは,APサーバのアプリケーションプログラムから使用される。T社では,仮想化機構を活用したシステム構築は初めての経験だったので,DBサーバは,2台でアクティブスタンバイ型のクラスタシステムを構成し,仮想化機構を利用しないことにした。クラスタシステムでは,ハートビートパケットで各サーバの生存を確認するが,①各サーバが稼働しているにもかかわらず,ハートビートパケットを受信できなくなると,サービスを正常に提供できなくなる危険性がある。この障害を避けるために,②各サーバの生存確認を確実に行うための対応策を実施する
 仮想化機構には,物理サーバの障害時や負荷増大時の対策機能が備わっている。しかし,この機能だけでは不十分なので,負荷分散装置(以下,LBという)を利用して,APサーバの冗長性を高めるとともに,  e   も向上させることにした。利用するLBには,負荷分散時に送信元IPアドレスをLBのものに付け替えるソースNAT機能があるが,APサーバを使用するPCを特定するために,この機能は利用しない。また,LBによるAPサーバの稼働状態管理を確実に行うために,APサーバからの返送パケットは,LBを経由させることにする。
 APサーバを稼働させる物理サーバ(以下,SGSVという)は,障害時の影響を低減させるために,3台構成にする。各SGSVでは,APサーバを2台ずつ,全体で6台を稼働させて,能力面で余裕をもった構成にする。そのほかに,テスト用の物理サーバ(以下,TSVという)も用意する。新業務システムの構成を,図2に示す。

f:id:honmurapeo:20180506094205p:plain

 

データバックアップの検討
 現在,営業所ごとにファイルサーバのデータをTPにバックアップしており,テープの管理やエラー時の対応などで,営業所員に負担を強いている。この問題を解決するために,TPへのバックアップを止め,すべての営業所のバックアップデータを本社に集めて,新業務システムのデータバックアップと統合するのが効果的と判断した。
 遠隔地にバックアップする場合は,バックアップとリストアを高速化するために,通信帯域の確保が必要になる。そこで,通信帯域をあまり必要としないバックアップ方式を調査したところ,重複除外機能をもつバックアップシステムを利用すれば,バックアップデータ量を飛躍的に削減できることが分かった。
 重複除外機能は,サーバデータをブロックに分割し(以下,ブロックデータという),更新されたブロックデータが既にバックアップサーバに存在した場合,そのブロックデータをバックアップしない働きをもつ。重複除外機能をもつバックアップシステムは,バックアップ対象のデータをもつサーバに導入されるエージェントと,バックアップデータを保存するバックアップサーバから構成される。バックアップ対象のサーバでの重複除外処理の概要を,図3に示す。

f:id:honmurapeo:20180506094218p:plain

 エージェントは,ハッシュ値同士の比較によって,更新されたブロックデータがバ「ックアップ済かどうかをチェックする。図3中に示した②のHxとHzのうち,Hxは,③のハッシュ値の中に存在するので,Dxはバックアップされない。Hzは,③のハッシュ値の中に存在しないので,Dzがバックアップサーバに送られて,バックアップされる。このように,更新されたブロックデータから生成されたHxとHzが,③のサーバデータのハッシュ値に存在するかどうかをチェックすることで,DxとDzが,既にバックアップされたブロックデータと重複しているかどうか判断される。
 ハッシュ値は,低い確率ではあるが,③ハッシュ値の衝突が発生するので,発生確率を更に低くするために,様々な対応策が考えられている。今回使用する重複除外機能をもつバックアップシステムでは,独自の対応策が実施されている。

 

セキュリティ強化策と回線の検討
 外出先からT社内のシステムを利用するときの認証は,ログインIDと固定パスワードだけで行われているので,セキュリティ上の問題を洗い出し,強化策を検討することにした。
 調査した結果,ワンタイムパスワード方式の認証システムを導入し,既設のSSLVPN装置の代わりに,PCのセキュリティチェック機能をもち,認証システムと連携も可能なSSL-VPN装置(以下,新SSL-VPN装置という)を導入すれば,少ない変更でセキュリティを強化できることが分かった。認証システムは,認証受付サーバと認証サーバで構成される。認証システムと新SSL-VPN装置の構成を,図4に示す。

f:id:honmurapeo:20180506094230p:plain

 新SSL-VPN装置と認証システムとの連携処理手順を,次に示す。

(ⅰ)利用者は,PCのブラウザで,新SSL-VPN装置に接続する。

(ⅱ)新SSL-VPN装置は,セキュリティポリシに従って,PCをチェックする。
 チェック項目には,セキュリティパッチ,稼働プロセス,ウイルス対策ソフトなどが設定できる。チェック結果が正常のときには,認証受付サーバにリダイレクトされる。チェック結果が異常のときには,PCとの接続が切断される。

(ⅲ)認証受付サーバによって,ログインID入力画面がPCに表示される。
 利用者が,ログインIDを入力すると,認証受付サーバは,ログインIDを基に,ランダムな数表を取得し,次の処理に移る。

(ⅳ)認証受付サーバによって,認証画面が表示される。
 利用者は,PCに表示されたランダムな数値で構成される数表から,事前に決めた数表の位置に表示されている数値をパスワードとして入力する。入力された数値がチェックされ,正しければ,新SSL-VPN装置にリダイレクトされログインIDとパスワードが,新SSL-VPN装置に送信される。

(ⅴ)新SSL-VPN装置は,受信したログインIDとパスワードを基に,RADIUSプロトコルで,認証サーバに対し認証を要求する。
 認証後,接続可能なサーバ一覧などをPCに表示する。

(ⅵ)利用者が,サーバ一覧の中から接続したいサーバを指定すると,PCと新SSL-VPN装置間でVPNが設定され,本社のサーバに接続できる。
 

 次に,本社と各営業所間の回線が,継続して利用できるかどうかを検討した。
 ルータ2のログから送受信データ量を確認したところ,本社と営業所間で発生するトラフィックは,日中最大となり,7Mビット/秒であった。このうち,既存の業務システム利用のトラフィックが40%である。このトラフィックは,新業務システムの利用で,1.3倍になることが見込まれる。これらの条件から,本社と営業所間の最大トラフィックは,  ア   Mビット/秒であり,増加量は少ないことが判明した。各営業所のデータバックアップは,夜間に行う。各営業所のファイルサーバのデータ量は1Tバイトである。2回目以降のバックアップデータ量は,ベンダの情報によれば,重複除外機能によって全体の0.5%以下に削減される。これらの条件から,許容時間内にバックアップを完了できる見込みである。
 以上の検討によって,本社と各営業所間の回線が,継続して利用可能と判断した。

 

システムの運用管理方式の設計
 新業務システムでは,統合監視システムを利用して,ネットワーク機器とサーバの稼働状態の監視を行う。

 (1)ネットワーク機器の監視
 統合監視システムには,④監視対象機器を発見して,接続構成図を自動作図する機能があるので,管理者は,接続構成図の中から,監視するネットワーク機器を選択することができる。ネットワーク機器の監視はSNMPで行われ,ネットワーク機器の稼働状態を,MIB情報の定期的な収集によって監視するとともに,Trapの受信によって異常を検知する。 

 (2)サーバの監視
 サーバの監視は,あらかじめ設定された間隔で,各サーバから監視対象の情報を収集して行う。収集した情報の中に異常が発見されたときには,その内容がメッセジ表示画面に表示される。監視項目には,CPU,メモリなどの使用率,サービスとプロセスの稼働状態及びイベントログの内容がある。仮想サーバを活用したシステムでは,仮想サーバの稼働状態監視だけでは十分でないので,⑤通常のサーバ監視よりも複雑な監視が必要になる。イベントログの監視では,フィルタ機能の活用が必要になり,フィルタの条件設定には,⑥運用後のチューニングが必要になる
 

 新業務システム構築後のネットワークシステム構成を,図5に示す。

f:id:honmurapeo:20180506094240p:plain

 

システムの切替え
 W部長は,プロジェクトメンバと共同で,システム切替えまでの準備作業のスケジュールと,切替時の作業スケジュール(以下,システム切替スケジュールという)を立案した。そして,W部長は,プロジェクトメンバを各作業の責任者として,システム切替えまでの準備作業を実施させた。
 各種テストの終了後,受注から代金回収までの,一連の業務の流れに沿って処理を進める方式で,総合テストを実施し,問題なく完了した。
 負荷テストは,Y課長が担当した。負荷テストでは,新業務システムの処理能力を確認するために,本番と同じ6台のAPサーバを稼働させて実施した。LBには,処理を平均的に分散させるために,ラウンドロビン方式が設定されている。
 負荷テストは,11:00から12:00までの間に,主要業務の販売と購買のシステムを利用する社員に,日常的に行われる業務を処理してもらって行った。負荷テストは順調に進み,ほぼ期待どおりの結果が得られ完了した。負荷テストにおける,ある時間内でのCPU使用率を表に示す。

f:id:honmurapeo:20180506094249p:plain

 負荷テストで,6台の仮想サーバに処理が振り分けられたことを確認できた。しか「し,CPU使用率の高い状態が続いた仮想サーバが存在していた。振り分けられた処理との関係を調べたところ,メモリに読み込んだ商品マスタの大量のデータに対して,検索を伴う処理を実行した仮想サーバが,高負荷になることが判明した。新業務システムの中には,仮想サーバに大きな負荷を与えるプログラムがあるので,このようなプログラムを実行するサーバに負荷を集中させることなく,負荷を平準化するために,負荷分散方式の見直しを行うことにした。
 データ移行テストでは,既存の業務システムから新業務システムへのトランザクシ[ョンデータの移行が,正しく行えるかどうかを確認する。データ移行は,移行データの作成,移行データの取込み,及び移行データの確認の3段階で行われる。移行データは,既存の業務システムからトランザクションデータを抽出し,各種マスタとテーブルを参照して,加工処理が施されて作成される。移行データの取込みでは,取込みプログラムで,移行データを新業務システムに取り込む。移行データの確認では,新業務システムに取り込まれたデータの正当性を,新業務システムのプログラムでチェックする。データ移行テストを何回か繰り返した結果,問題なくデータ移行を行えることが確認できた。
 以上の準備作業を行った後,システム切替え当日,システム切替スケジュールに従って,作業を実施した。システム切替スケジュールを,図6に示す。

f:id:honmurapeo:20180506094256p:plain

 システムの切替えは,月末の金曜日から3日間掛けて実施した。金曜日の業務終了後に,月末の締め処理を行い,その後にデータ移行作業を開始した。移行データの確認後,月曜日の業務開始のための準備作業を行い,システム切替作業を終了した。デタ移行作業の途中で問題が幾つか発生したが,必要な対応措置をとり,無事に新業務システムを稼働させることができた。

 

設問1

 本文中の   a    e   に入れる適切な字句を答えよ。

aの解答例・解説
解答例

 IP-SAN

解説

 XXXXXXXX

bの解答例・解説
解答例

 TCP

解説

 XXXXXXXX

cの解答例・解説
解答例

 SCSI

解説

 XXXXXXXX

dの解答例・解説
解答例

 ターゲット

解説

 XXXXXXXX

eの解答例・解説
解答例

 スケーラビリティ 又は 拡張性

解説

 XXXXXXXX

 

 

設問2

 〔システム基盤の設計〕について,(1)〜(2)に答えよ。

(1)本文中の下線①の状況の発生で,サービスが正常に提供できなくなる DB サーバの状態を,40 字以内で述べよ。また,下線②の対応策の内容を,25 字以内で述べよ。
 

状態の解答例・解説
解答例

 一つのサービスが,クラスタシステム内の複数のノードで同時に起動する。

解説

 XXXXXXXX

対応策の解答例・解説
解答例

 ハートビートのやり取りの回線を複数にする。

解説

 XXXXXXXX

 

(2)図 2 で,PC からの処理要求が AP サーバと DB サーバで処理されて,処理結果が PC に転送されてくる経路を,次の【転送経路】に示す。(a),(b)に入れるサーバと機器を,図 2 中の名称を用いて,【転送経路】の表記方法に従い,すべて記述せよ。
 

 【転送経路】
 PC→  a  →APサーバ→L3SW→DBサーバ→L3SW→APサーバ→  b  →PC

aの解答例・解説
解答例

 L2SW→L3SW→LB→L3SW

解説

 XXXXXXXX

bの解答例・解説
解答例

 L3SW→LB→L3SW→L2SW

解説

 XXXXXXXX

 

 

設問3

 〔データバックアップの検討〕について,(1)〜(3)に答えよ。

(1)重複除外処理にハッシュ関数を利用する利点を,30 字以内で述べよ。
 

解答例・解説
解答例

 データが同一かどうかのチェックが高速化できる。

解説

 XXXXXXXX

 

(2)本文中の下線③の衝突によって引き起こされる問題を,30 字以内で述べよ。
 

解答例・解説
解答例

 異なったデータを同じデータと判断してしまう問題

解説

 XXXXXXXX

 

(3)上記(2)の問題の発生確率を更に低くする方法について,考えられる方法を,50 字以内で述べよ。
 

解答例・解説
解答例
  • ブロックデータの CRC も合わせて生成し,ハッシュ値と CRC の両方を比較して判断する。
  • ブロックデータを 2 分割し,それぞれのハッシュ値を生成して,それらをつなぎ合わせて比較する。
解説

 XXXXXXXX

 

 

設問4

 〔セキュリティ強化策と回線の検討〕について,(1)〜(4)に答えよ。

(1)手順(ⅱ)の PC のチェックは,すべての PC に対して行われる。SSL-VPN 装置が PC に対して行う処理を,25 字以内で述べよ。また,認証受付サーバと認証サーバ間の通信が発生する箇所を,連携処理手順(i)〜(ⅵ)の中から,すべて選んで答えよ。
 

PCに対して行う処理の解答例・解説
解答例

 検疫のためのプログラムをダウンロードする。

解説

 XXXXXXXX

通信が発生する箇所の解答例・解説
解答例

 (ⅲ),(ⅳ)

解説

 XXXXXXXX

 

(2)セキュリティ強化策によって,セキュリティ面で改善される点を二つ挙げ,それぞれ 25 字以内で述べよ。
 

解答例・解説
解答例
  • パスワードの安全性が高まる。
  • P C のセキュリティチェックが行われる。
解説

 XXXXXXXX

 

(3)認証システムを導入したときに,FW に新たに許可設定すべき通信を二つ挙げ,それぞれ送信元とあて先を明確にして,25 字以内で答えよ。
 

解答例・解説
解答例
  • 認証受付サーバから認証サーバへの通信
  • 新 SSL-VPN 装置から認証サーバへの通信
  • インターネットから認証受付サーバへの通信
解説

 XXXXXXXX

 

(4)本文中の   ア   に入れる数値を求めよ。答えは,小数点以下を切り上げて整数で求めよ。
 

解答例・解説
解答例

 8

解説

 XXXXXXXX

 

 

設問5

 〔システムの運用管理方式の設計〕について,(1)〜(3)に答えよ。

(1)本文中の下線④の発見方法を,50 字以内で述べよ。
 

PCに対して行う処理の解答例・解説
解答例

 指定された範囲内の IP アドレスあてに ping を発行し,応答の有無でホストの存在を判断する。

解説

 XXXXXXXX

 

(2)本文中の下線⑤の監視では,性能管理を効果的に行うために,どのような監視方法が必要か。50 字以内で述べよ。
 

解答例・解説
解答例

 仮想サーバと,仮想サーバが稼働する物理サーバの稼働状態とを対比して監視できるようにする。

解説

 XXXXXXXX

 

(3)本文中の下線⑥のチューニング内容を,25 字以内で述べよ。
 

解答例・解説
解答例

 障害に結びつくログだけを検出するようにする。

解説

 XXXXXXXX

 

 

設問6

 〔システムの切替え〕について,(1)〜(3)に答えよ。

(1)負荷テストで判明した状況を基に,負荷分散効果をより高められる負荷分散方式を,30 字以内で答えよ。
 

PCに対して行う処理の解答例・解説
解答例

 CPU 使用率の低い AP サーバに処理を振り分ける。

解説

 XXXXXXXX

 

(2)データ移行テストの目的を,25 字以内で述べよ。
 

解答例・解説
解答例
  • データ抽出,加工ロジックの正当性の確認
  • 新業務システムにおけるマスタデータの完全性の確認
  • データ移行に要する時間の確認
解説

 XXXXXXXX

 

(3)システム切替スケジュールの立案において明確にすべき事項を,問題発生時の措置の面から二つ挙げ,それぞれ 40 字以内で述べよ。
 

解答例・解説
解答例
  • データ移行時に予測できる問題を事前に明確化して,対応策を作っておく。
  • システム切替えを断念するときの判断基準と,それを決定する時間を明確化する。
解説

 XXXXXXXX

 

 

IPA講評

出題趣旨

 仮想化技術を適用したシステム構築が急速に拡大している。仮想化技術を適用したシステムは,その延長上にクラウドコンピューティングへの発展が予想でき,クラウドシステム構築においては,ネットワーク技術者 が果たすべき役割は大きいものがある。
 本問では,仮想化技術を適用した基幹システムの再構築事例を取り上げて,ネットワーク技術者が保有すべき,サーバの冗長化や負荷分散方式の設計技術や,インターネット経由でのシステム利用法の改善,システム運用管理などの技術分野について問う。さらに,ネットワーク技術者の直接の業務ではないが,業務システム開発時には直面することが多いデータ移行やシステム切替えなど,プロジェクト推進のために理解しているこ とが望まれる技術分野について,幅広く問う。

採点講評

 問 1 では,基幹システムを仮想環境に再構築する事例を取り上げ,サーバの冗長化と負荷分散,重複除外バックアップ,認証,仮想化システム監視及びシステム切替えという,幅広い技術分野での基本技術の理解度を問うた。全体として正答率はほぼ予想どおりの結果であった。これは,受験者の業務範囲 が,サーバ構築やシステムの運用管理,プロジェクト管理などの分野に広がり,これらの分野の経験も積んできている結果と思われる。
 設問 1 は,d,e の正答率が極端に低かった。e の拡張性は,負荷分散装置が生み出す基本的な効果な ので,知識としてもっていてほしい。
 設問 3 の,ハッシュ関数をデータ照合に利用する利点,問題点及び改善策については,予想以上の正答率だった。ハッシュ関数が利用される分野が広がっていることもあり,よく理解されていた。
 設問 5(1)は,ノード発見の方法について問うた。プロトコルの基本動作を理解することは重要なので, ping,arp のユニキャストとブロードキャストの動作に加えて,arp テーブルから何が分かるかなどを,改 めてじっくり考えてほしい。
 設問 6(3)は,システム切替え時に明確化すべき事項について問うた。本文で記述したシステム切替えは,アプリケーション技術者寄りの分野だったが,ネットワーク技術者としての体験や学んだ知識を生かして,必要事項を的確に指摘した解答が過半数を占め,予想以上の正答率だった。