🚀実務でも必須!応用情報技術者で学ぶ「クラウド時代のネットワーク設計」〜VPNからローカルブレイクアウトまで〜
応用情報技術者試験(午後・ネットワーク)で頻出の「オンプレミスからSaaSへの移行」と「ネットワーク負荷対策」について、P社の事例を元にプロレベルの視点で解説します。
- IPsec VPNによる拠点間接続の仕組み
- プロキシサーバの役割と例外設定(下線①の背景)
- FWのセッション管理とステートフルパケットインスペクション
- ローカルブレイクアウト(LBO)による負荷分散(下線②の目的)
🔍 今回のケース:P社のSaaS移行と負荷分散
本社・営業所間をIPsec VPNで結ぶ中堅商社P社が、社内ISサーバを廃止し「Gサービス(SaaS)」へ移行した際に直面したトラブルと解決策を読み解きます。
🌐 ネットワーク構成のポイント
- 本社: プロキシサーバ、外部DNS(DMZ)、L3SW、社内DNS、ISサーバ(廃止予定)を設置。
- 営業所: IPsecルータ経由で本社のプロキシを利用する構成。
- SaaS: Q社が提供するメール(M)とグループウェア(G)を利用。
【図:プロキシサーバを経由する標準的なトラフィックフロー】
| フェーズ | 発生した問題 / 設定 | 影響 |
|---|---|---|
| Gサービス導入直後 | 全SaaS通信をプロキシに集約 | FWのセッション数増大による速度低下⚡ |
| 対策後 (LBO導入) | 特定SaaS宛の通信をルータで分岐 | FW負荷軽減・応答速度の改善✅ |
【図:特定のSaaS宛通信のみを分岐させるローカルブレイクアウトの構造】
💡 試験に出る重要チェック:
設問の核心は「L3SWのネクストホップ変更」と「IPsecルータのNAPTによる直接転送」です。なぜプロキシを通さない設定(例外設定)が必要だったのか、その理由をセッション管理の観点から理解しておきましょう。
1. ネットワークの初期構成と基本動作
🔗インターネットVPN(IPsec)の仕組み
P社は本社と営業所をIPsecルータで接続しています。営業所NPCから本社のプロキシサーバへの通信は、暗号化トンネル内を通りますが、論理的なIPヘッダの宛先は「プロキシサーバ」のままです。
🛡️プロキシサーバとFWの連携
社内および外出先のNPCは、必ずDMZ内のプロキシサーバを経由してインターネットへ出ます。これにより、URLフィルタリングや通信ログの取得が可能になります。ただし、社内のISサーバ宛ては、遅延を避けるために「プロキシ例外設定」により直接通信を行います。
2. SaaS(Gサービス)導入と発生した問題
⚠️FWのセッション負荷増大
ISサーバを廃止し、全ての業務をSaaS(Mサービス・Gサービス)に集約したところ、FWの負荷が急増しました。これは、HTTPS通信が1つの画面表示で大量のセッションを消費するため、FWのステートテーブル(セッション情報)が枯渇したことが原因です。
FWは「行き」のパケットを記憶し、「戻り」を自動許可しますが、同時接続数(セッション数)には限界があります。SaaS利用はこの限界を突破しやすい性質を持っています。
3. 解決策:ローカルブレイクアウト(LBO)の導入
問題を解決するため、信頼できるSaaS(q-SaaS)宛の通信のみ、プロキシやFWをバイパスさせる構成に変更しました。
⚙️具体的な設定変更(設問2・3の核心)
- L3SWの経路追加(下線②): 宛先が
q-SaaSのIPレンジであれば、デフォルトのFWではなくIPsecルータ1をネクストホップにするよう静的経路を追加。 - プロキシ例外設定の更新: 廃止したISサーバのFQDNを削除し、新たにMサービス・GサービスのFQDNを追加。
- IPsecルータのNAPT設定: 内部LANからのq-SaaS宛通信を、VPNに入れず直接インターネットへNAPT(IPマスカレード)して転送。
4. 具体的な使用状況のシミュレーション
| 利用シーン | 通信経路 | ポイント |
|---|---|---|
| 営業所NPCがGサービスを利用 | L2SW → IPsecルータ2 → 直接インターネット | 本社を経由しないため、レスポンスが高速。 |
| 本社のNPCが一般Webサイトを閲覧 | L3SW → FW → プロキシ → FW → ルータ | セキュリティ確保のため、従来通りプロキシを強制。 |
| 外出先NPCがMサービスを利用 | 直接インターネット(Q社SaaS) | 社内ネットワークに負荷をかけない。 |
📝本試験対策!要点まとめ
- プロキシ例外設定: 内部サーバや高負荷なSaaSをプロキシ経由から外すための設定。
- 名前解決のフロー: 社内DNSで解決不可 → 外部DNS(キャッシュサーバ)へ転送。
- ローカルブレイクアウト: 特定のSaaS宛通信を拠点から直接ネットへ出す手法。
- ネクストホップの変更: L3SWやルータのルーティングテーブルを書き換えて、トラフィックの流れを制御する。
© 2026 IT Expert Prep Guide - 応用情報技術者試験対策
🎓 試験対策のポイントと実務の繋がり
今回のP社の事例は、現代の企業ネットワークが直面している「クラウドシフトによるトラフィック激増」という極めてリアルな課題を反映しています。応用情報技術者試験において、この分野を攻略するためのエッセンスを整理しました。
かつては「FWで守る」ことが中心でしたが、最近は今回のようなローカルブレイクアウト(LBO)や、ゼロトラストの考え方に基づく「通信の最適化」が頻出しています。機器の負荷(セッション数)に注目させる問題が増えています。
実務では、今回R主任が行ったような手動の経路設定を、ソフトウェアで自動制御するSD-WAN (Software Defined WAN)という技術が普及しています。試験では「SDN」や「オーバーレイネットワーク」という用語とセットで問われることがあります。
【図:クラウドトラフィックを最適化するSD-WAN/LBOの概念図】
📌 最後に:
ネットワークの問題は、図を自分で描いて「パケットの旅」を追うのが合格への近道です。 特に、「名前解決(DNS)」「プロキシ」「NAT/NAPT」「VPN」が組み合わさった時のパケットのヘッダ情報の変化は、午後問題の定番ポイントです。一つひとつの機器の役割を、物理的な配置と論理的な通信フローの両面から整理しておきましょう。
📝 午後試験突破!【記述解答】定型文リスト
応用情報の記述問題では、以下のキーワードを含めた表現が正解判定の基準になります。
「プロキシサーバの処理負荷を軽減し、通信の遅延を回避するため」
※ISサーバ廃止やSaaSへの直接アクセス(LBO)の理由として頻出。
「ファイアウォールが管理するセッション数を削減し、リソースの枯渇を防ぐため」
※FWのセッション管理(ステートテーブル)への言及が加点ポイント。
「元のIPパケットを暗号化し、新たなIPヘッダを付加(カプセル化)するため」
※宛先IPアドレスの変化を問われる設問で必須の概念。
「外部への通信量を抑制し、応答速度を向上させるため」
※DNSキャッシュやプロキシのコンテンツキャッシュに関する記述用。
問題文に「40字以内で答えよ」とあれば、上記の定型文をベースに、問題文中の具体的なサービス名(例:q-SaaS、ISサーバ)を当てはめて文字数を調整しましょう。
🧠 暗記必須!重要用語フラッシュカード(20選)
※カードにマウスを乗せる(タップする)と、解答が表示されます。
⚠️ 騙されない!ネットワークひっかけ一問一答
※各問題にマウスを乗せる(タップする)と、正解と「ひっかけの正体」が表示されます。
📌 攻略アドバイス:
試験では「宛先IPがどこか」という問いが非常に多いです。「物理的な送り先」と「論理的な(最終的な)通信相手」を混同しないよう、パケットの中身を想像する癖をつけましょう!
📚 登場用語・網羅解説マスターリスト
問題文に隠れた重要キーワードまで全て網羅。午後試験の記述対策に直結するプロレベルの技術解説です。
このリストを読み終えたら、もう一度図3を眺めてください。NPCがブラウザを立ち上げた瞬間、「どのDNSに聞き(名前解決)」「L3SWがどちらへパケットを投げ(ルーティング)」「どのポートでFWを抜けるのか」というパケットの旅が見えるようになれば、合格圏内です!
この記事へのコメント