【実務思考】【NW-R07-1-PM2-Q1K】社内ネットワークインフラの最適化方針の策定

ネットワークスペシャリスト
目次
  1. 🍀概要
  2. 🧾問題・設問(NW-R07-1-PM2-Q1)
    1. 📘記述式問題(IPAオリジナル)
    2. 📘論述式問題(再構築版:NW-R07-1-PM2-Q1K)
    3. 📗設問
  3. 🪄詳細分析(AI)
    1. 📝3行まとめ
    2. 🧭社内ネットワークインフラの最適化方針の策定についての考察
  4. 📌補足(考察について)

🍀概要

 ネットワークスペシャリスト試験 令和7年 午後2 問1を題材に、AIを活用して詳細に解析した結果を示すものです。
 本稿では、問題を単なる模範解答の提示にとどめず、論述形式に再構築して多角的に検討することで、実務で求められる課題発見力・抽象化力・全体設計の視座を獲得することを狙いとしています。
 これにより、試験対策の枠を超え、問題文に内在する本質的な課題やネットワークスペシャリストとしての思考プロセスを深く理解するための示唆を提供します。

🧾問題・設問(NW-R07-1-PM2-Q1)

 出典:情報処理推進機構 ネットワークスペシャリスト試験 令和7年 午後2 問1(🔗取り扱いガイドライン)

📘記述式問題(IPAオリジナル)

■タイトル
 社内ネットワークのIPv6対応について
 ※IPA公式問題PDF(独自OCR処理版) 問題文・解答はこちらから入手可能
■要約(AI生成)

200文字程度

 ネットワークスペシャリストとして,Q社のIPv4のみの社内ネットワークをIPv6デュアルスタックへ移行する。IPv6アドレス解決にはNDP,割り当てにはSLAACを用いるが,ランダム生成されるインタフェース識別子の管理を考慮する。DNSはEDNS対応で大容量メッセージを処理するが,一部はTCPを用いる場合を考慮する。セキュリティではNAPT非利用に伴うFW設定の見直し,ICMPv6メッセージの適切な許可を重視し,監視体制を構築する。

800文字程度

 ネットワークスペシャリストとして,Q社の既存IPv4社内ネットワークをIPv4とIPv6のデュアルスタック環境へ移行する計画を立案する。現状のQ社はIPv4のみで運用されており,社内サービスやインターネットアクセスに利用している。V社Saasやインターネット上のWebサイトのIPv6対応状況とIPv6普及率向上を踏まえ,情報システム部P主任が移行検討を担当している。

  • IPv6におけるアドレス解決とアドレス割り当ての検討
    • IPv6のアドレス解決にはNDP(Neighbor Discovery Protocol)が用いられ,IPv4のARPに相当する機能を提供している。NDPはNS(Neighbor Solicitation)メッセージやNA(Neighbor Advertisement)メッセージに加えて,RS(Router Solicitation)メッセージやRA(Router Advertisement)メッセージも利用し,ルータ発見,サブネットプレフィックス通知,重複アドレス検出といった機能を実現している。IPv6アドレスの割り当てについては,RFC 4291で規定されたアドレス体系とRFC 4862で規定されたSLAAC(Stateless Address Autoconfiguration)を利用する。
    • SLAACでは,PCのLLA(リンクローカルユニキャストアドレス),GUA(グローバルユニキャストアドレス)の自動設定が可能である。しかし,インタフェース識別子の生成方法として推奨されないModified EUI-64形式の代わりに,疑似乱数関数を用いるランダム生成が推奨されている。これは利用者のプライバシー保護に有用であるが,ネットワーク管理上,PCの識別が困難となる可能性があるため,DHCPv6とSLAACの併用や,管理サーバでのアドレス情報の収集と紐付けを検討する必要がある。ISPからはプレフィックス長48または56のGUAの割り当てが可能であり,これをプレフィックス長64のネットワークに分割して利用する方針である。ルータやFW,L3SWにはLLAとGUAを静的に割り当てる。
  • IPv6の名前解決に関する検討
    • IPv6の名前解決においては,IPv4と比較してDNSメッセージサイズが大きくなる傾向がある。これに対応するため,DNSの機能を拡張するEDNS(Extension Mechanisms for DNS version 0)がRFC 6891で規定されている。Q社のキャッシュDNSサーバはEDNSに対応済みであり,スタブリゾルバとフルサービスリゾルバ間,及びフルサービスリゾルバと権威DNSサーバ間でUDP上で送受信されるDNSメッセージのサイズ上限が緩和される。これにより,最大メッセージサイズまではUDPで通信可能となる。しかし,DNSメッセージが最大サイズを超える場合や,EDNSに非対応の権威DNSサーバとの通信では,TCPによる送受信が必要となる場合がある。PCがAAAAレコードとAレコードの両方を取得した場合,IPv6通信が優先される動作を示す。
  • IPv6ネットワークにおける情報セキュリティ面の検討
    • IPv6ネットワークへの移行に伴い,情報セキュリティ面で新たな考慮事項が生じる。IPv6のネットワークが不通になった際,OSやWebブラウザによっては従業員が異常に気づきにくい可能性があるため,データセンターに監視サーバを導入し,ping6コマンドによるインターネットアクセスや各拠点のL3SWのGUA監視を行うことで,異常検知体制を強化する。IPv4ではルータBにNAPT(Network Address Port Translation)を設定することで,インターネットからの社内ネットワークへのアクセスを制限していた。しかし,IPv6ではNAPTを利用しないため,FW(ファイアウォール)によるアクセス制御の設計をより慎重に行う必要がある。
    • 特に,IPv6通信ではICMPv6メッセージが通信制御に多用されている点を考慮する。例えば,MTUサイズよりも大きいIPパケットを転送できない場合に送信元に”Packet Too Big”メッセージを送るPMTUD(Path MTU Discovery)など,ICMPv6メッセージをFWで拒否すると通信障害を引き起こす可能性がある。そのため,FWでは必要なICMPv6メッセージタイプを適切に許可するよう,詳細な調査と設定が求められる。また,OSPFv3を用いた経路制御において,FWとL3SW間などPCやサーバを接続しないネットワークにもGUAを静的に割り当てる設計方針が示されている。これは,LLAのみでの隣接関係確立に加え,管理の容易性や将来的な拡張性を考慮した措置である。

📘論述式問題(再構築版:NW-R07-1-PM2-Q1K)

■タイトル
 社内ネットワークインフラの最適化方針の策定について
■内容
 今日の企業活動において,ネットワークインフラは,基幹業務システムから従業員の日常業務,顧客との接点,そして新たなデジタルサービスの提供に至るまで,あらゆる活動を支える基盤となっている。しかし,多くの企業では,従来のオンプレミス中心の設計や,場当たり的な増改築の結果,ネットワーク構造が複雑化していたり,老朽化した機器が混在していたりする現状が見られる。
 このような状況では,運用・保守コストの増大,ネットワーク障害発生時の影響範囲の拡大,セキュリティリスクの増大といった課題が顕在化することがある。また,クラウドサービスの積極的な利用,IoTデバイスの普及,リモートワークの常態化,そして高度化するサイバー攻撃といった社会やビジネス環境の急速な変化に対し,既存のネットワークインフラが迅速かつ柔軟に対応できないことで,企業のDX推進が阻害されたり,事業競争力の低下を招いたりするリスクが存在する。
 ネットワークスペシャリストは,これらの経営上の課題を解決するために,社内ネットワークインフラの最適化方針を策定することがある。その際には,まず,次のような事項を検討し,ネットワークインフラを最適化することの必要性や経営上の有効性を明らかにすることが重要である。
 ・現行ネットワークインフラの改修ではなく,新しいネットワーク構造や技術へ最適化する必要性は何か。
 ・新しいネットワーク構造や技術へ最適化することによる,経営上の有効性は何か。
 そして,最適化によって実現されるネットワーク機能,運用体制,必要な組織の見直し方法,優先度を考慮した段階的な移行,最適化の効果と費用などを検討し,社内ネットワークインフラの最適化方針を策定する。
 さらに,策定した社内ネットワークインフラの最適化方針について,事業部門や関連部署との交渉や調整を行い,彼らからの協力や支持を得た上で,経営層に説明し,承認を求める。
 あなたの経験と考えに基づいて,設問ア~ウに従って論述せよ。
 なお,解答欄には,文章に加えて,図・表を記載してもよい。

📗設問

■設問ア
 あなたが携わった社内ネットワークインフラの最適化方針の策定の背景にある,事業概要と事業特性,現行ネットワークインフラの概要と課題を,2ページ(800字相当)以内で答えよ。
■設問イ
 設問アで述べたネットワークインフラについて,あなたはどのような最適化方針を策定したか,最適化することの必要性や経営上の有効性を明らかにして,あなたが特に重要と考えて工夫したこととともに,2ページ(800字相当)以上,かつ,4ページ(1,600字相当)以内で具体的に答えよ。
■設問ウ
 設問イで述べたネットワークインフラの最適化方針について,あなたは事業部門や関連部署とどのような交渉や調整を行い,経営層にどのような説明をしたか,経営層の評価を受けて改善したこととともに,1.5ページ(600字相当)以上,かつ,3ページ(1,200字相当)以内で具体的に答えよ。

🪄詳細分析(AI)

 論述式問題(NW-R07-1-PM2-Q1K)について、分析した結果を示す。

📝3行まとめ

  1. 【背景】企業活動のあらゆる基盤となる社内ネットワークは、老朽化や複雑化によりDX推進や業務効率化の足かせとなるケースが増えています。
  2. 【NW視点】変化に強いインフラを実現するためには、全体最適を意識した構成見直しと、セキュリティ・拡張性・運用負荷のバランス設計が不可欠です。
  3. 【行動・着眼点】現状分析に基づく再設計方針の策定、クラウド・ゼロトラスト対応、段階的な移行と影響最小化の計画立案が求められます。

🧭社内ネットワークインフラの最適化方針の策定についての考察

1. 問題の背景と現状分析

  • 現状の課題・問題点:
    • 多くの企業の社内ネットワークは、オンプレミスのデータセンター(DC)に通信を集約する「城郭型(Castle-and-moat)」モデルを前提に設計されている。このため、クラウドサービス(SaaS)利用の増大により、DCのインターネットゲートウェイがボトルネックとなり、通信遅延やパフォーマンス低下を引き起こしている。
    • 場当たり的な増改築の結果、ネットワーク構成が複雑化・ブラックボックス化し、障害発生時の原因究明や、構成変更に多大な時間とコストを要する状態になっている。
    • リモートワークの普及により、社外から社内リソースへのアクセス(VPN)が急増。VPN装置のキャパシティ不足や、一度社内に接続すれば多くのリソースにアクセスできてしまうというセキュリティ上のリスクが顕在化している。
  • 変化の必要性の背景:
    • クラウド利用の常態化: 業務アプリケーションの多くがSaaSへ移行し、インターネットが新たな社内LANとも言える状況になった。トラフィックをわざわざ社内DCを経由させる非効率な通信(ヘアピン通信)を解消する必要がある。
    • ゼロトラスト・セキュリティへの移行: 「社内は安全、社外は危険」という従来の境界型防御モデルが、巧妙化するサイバー攻撃や内部不正のリスクに対応できなくなった。全ての通信を信頼せず、都度検証するゼロトラストへの移行が求められている。
    • 働き方の多様化: リモートワークやサテライトオフィスの利用が一般化し、従業員がどこからでも安全かつ快適に業務を遂行できるネットワーク環境が、生産性向上のための必須条件となった。

2. 理想像の抽出と具体化

  • あるべき理想的な状態:
    • SASE(Secure Access Service Edge)アーキテクチャに基づいた、アイデンティティ中心のセキュアなネットワーク: ネットワーク機能とセキュリティ機能をクラウド上で統合的に提供するSASEモデルへの移行が理想像である。これにより、ユーザーやデバイスがどこにいても、最も近いエッジ(PoP: Point of Presence)で通信を最適化し、統一されたセキュリティポリシーを適用する。具体的には、SD-WANによる拠点間ネットワークの最適化、SWG(Secure Web Gateway)による安全なインターネットアクセス、ZTNA(Zero Trust Network Access)によるアプリケーションへの個別アクセス制御、CASB(Cloud Access Security Broker)によるSaaS利用の可視化・制御などを、単一のクラウドサービスとして導入する。
  • 克服すべき障壁:
    • 技術的障壁: SASEは比較的新しい概念であり、複数の機能を統合的に提供する単一のベンダーを選定するのか、あるいは複数のベンダー製品を組み合わせる(ベストオブブリード)のか、といったアーキテクチャ設計が複雑である。また、ZTNAへの移行は、既存のアプリケーションの認証方式の見直しを伴う場合がある。
    • 運用的障壁: ネットワークとセキュリティの運用チームが縦割りになっている場合、SASEの導入・運用には組織の壁を越えた連携が不可欠となる。ポリシーの一元管理やインシデントレスポンス体制の再構築が求められる。
    • コスト障壁: 包括的なSASEソリューションは、ライセンス費用が高額になる可能性がある。既存のネットワーク機器の減価償却やリース契約の残存期間も、移行のタイミングを制約する要因となる。
  • 利害関係者の視点:
    • 経営層: DX推進を支える俊敏でセキュアなインフラ基盤が実現できる。従業員の生産性向上と、セキュリティリスク低減による事業継続性の向上を期待できる。
    • 従業員: オフィスでも自宅でも、場所を意識することなく、快適かつ安全にクラウドサービスや社内システムを利用できる。VPN接続の煩わしさからも解放される。
    • IT部門(ネットワーク/セキュリティ担当者): 複雑なオンプレミス機器の管理から解放され、クラウド上の単一コンソールから、ネットワークとセキュリティのポリシーを一元的に管理できる。運用負荷が大幅に軽減され、より戦略的な業務に集中できる。

3. 要約

  • [200文字]要約:
    従来の境界型ネットワークを、クラウド時代に即したSASEアーキテクチャへ刷新する。理想像は、ネットワークとセキュリティをクラウドで統合し、ゼロトラストを実現すること。これにより、場所を問わない安全で快適なアクセス環境を提供し、企業のDX推進と競争力を強化する。
  • [400文字]要約:
    クラウドとリモートワークが主流となる中、従来の社内集約型ネットワークは限界を迎えている。この課題に対し、ネットワークとセキュリティ機能をクラウドで統合提供するSASEが理想的な解となる。SD-WANで通信を最適化し、ZTNAでアプリケーションへのアクセスを保護する。これにより、従業員はどこからでも安全かつ快適に業務ができ、IT部門は運用負荷を大幅に削減できる。これは、ゼロトラスト・セキュリティを実現し、企業のDXを加速させるための戦略的インフラ変革である。
  • [800文字]による詳細な考察:
    本問題は、企業のデジタルトランスフォーメーション(DX)の成否を左右する、次世代ネットワークインフラの構想力を問うている。
    • あるべき理想像とは、「ビジネスの変化に即応する、ゼロトラストを体現したインテリジェント・ネットワーク」の実現である。これは、SASEを単なる技術ソリューションとして導入するのではなく、企業の働き方やセキュリティ文化そのものを変革する触媒と位置づける考え方である。この状態では、ネットワークはもはや固定的な「場所」ではなく、ユーザーやデバイスの「アイデンティティ」に紐づく動的なサービスとなる。AI/MLを活用して、通信の状況や脅威をリアルタイムに分析し、ポリシーを自律的に最適化する。例えば、不審な振る舞いを検知したユーザーのアクセス権限を動的に制限するといった対応が自動で行われる。これは、サイバー脅威の高度化や、働き方改革といった社会的な要請に応えるための必然的な進化である。
    • 理想像実現へのアプローチとして、全社一斉のビッグバン移行は現実的ではない。まずは、特定の部門や拠点、あるいはリモートワーカーを対象に、SASEの主要機能(SWG, ZTNAなど)をパイロット導入する。ここで得られた知見や課題を基に、全社展開の計画を精緻化していく。特に、既存のMPLS網からSD-WANへの移行は、通信品質やアプリケーション性能への影響を慎重に見極めながら、段階的に進める必要がある。
    • 期待される効果は、経営的には従業員生産性の向上と、セキュリティインシデント発生による事業損失リスクの低減である。また、高価なMPLS回線や多数のセキュリティアプライアンスを削減することによる、TCOの大幅な削減も期待できる。
    • 考慮すべきリスクは、特定のクラウドベンダーへのロックインである。SASEは包括的なサービスであるため、一度導入すると他への乗り換えが困難になる可能性がある。ベンダー選定時には、技術力だけでなく、将来性や相互運用性、サポート体制を多角的に評価する必要がある。また、全ての通信がSASEプロバイダーのクラウドを経由するため、そのサービスの可用性やパフォーマンスが、自社のビジネスに直接的な影響を与える。SLAの確認と、障害発生時の自社の対応プロセスの確立が極めて重要となる。

📌補足(考察について)

「考察」の作成手順については、こちらで解説していますので、興味ある方はご参照ください。
なお、当サイトのAI活用方針につきましては、こちらをご確認ください。