WEB問題集
解説
【正解: A】の理由
VNet は Azure リソース間およびオンプレと Azure 間のプライベート ネットワーク境界を提供します。顧客指定の CIDR で構成し、サブネットに NSG / Route Table / Service Endpoint / Private Endpoint を関連付け、VPN / ExpressRoute / Peering で接続を拡張できます。
【他選択肢が違う理由】
- B. 物理機器の貸出: クラウドの物理層は Microsoft が管理しており顧客には貸し出されません
- C. Entra テナント境界: Microsoft Entra ID は ID 境界で、ネットワーク境界とは別概念です
- D. コスト集計タグ: コスト集計は Tags の機能で、VNet とは異なる領域です
解説
【正解: A】の理由
NSG は Layer 3-4 (IP / TCP / UDP) のステートフル パケット フィルタです。Inbound / Outbound のソース / 宛先 IP・ポート ベースで Allow / Deny ルールを優先度順に評価し、サブネットや NIC に関連付けできます。返答パケットは自動許可されます。
【他選択肢が違う理由】
- B. L7 URL フィルタ: アプリケーション層の URL 制御は Azure Firewall や Application Gateway WAF の領域です
- C. 物理機器管理: クラウドでは物理ネットワーク機器は Microsoft が管理します
- D. DDoS 緩和: DDoS 攻撃対策は Azure DDoS Protection の機能で NSG とは別サービスです
解説
【正解: A】の理由
サブネット分割により Web / App / DB の 3 層を論理的に分離でき、各層に個別の NSG / Route Table を関連付けてセキュリティ ポリシーを最小権限で設計できます。Private Endpoint / Service Endpoint も特定サブネットに紐付け、データ漏洩リスクを最小化できます。
【他選択肢が違う理由】
- B. 物理機器コスト削減: クラウドの物理層は Microsoft 管理で、顧客の購入コストとは無関係です
- C. Public IP の自動払い出し: Public IP はリソース単位で発行され、サブネット分割と関係がありません
- D. 推奨されない: 真逆で、サブネット分割は Azure の推奨設計パターンです
解説
【判定: いいえ】の理由
Azure Load Balancer は Layer 4 のリージョナル ロード バランサで、グローバル ルーティングをサポートしません。複数リージョン間の最寄りエッジ ルーティングは不可で、L4 のため WAF 機能も内蔵せず、本問の主要要件を満たせません。
【「はい」が違う理由】
グローバル ルーティングには Azure Front Door (グローバル L7) や Traffic Manager (DNS ベース) が適切です。WAF 統合が必要なら Front Door または Application Gateway を選択するのが王道で、Load Balancer はリージョン内 L4 分散が主用途となります。
解説
【判定: はい】の理由
Front Door Premium は 3 要件をすべて満たします。世界 100+ エッジから最寄りバックエンドへ自動ルーティングし、Health Probe で障害時は他リージョンへ自動フェイルオーバー、OWASP CRS ベースの WAF が組み込まれ SQL Injection / XSS から保護できます。
【「いいえ」が違う理由】
Application Gateway は単一リージョン内の L7 ロード バランサで、Front Door はグローバル動作のため両者は補完関係になります。グローバル要件には Front Door が最適で、リージョン内の細かい L7 ルーティングが必要な場合のみ App Gateway を組み合わせます。
解説
【判定: いいえ】の理由
Application Gateway は Layer 7 のリージョナル ロード バランサで、WAF 統合要件は満たせますが、単一リージョン構成のためグローバル レイテンシ最小化が不可能です。リージョン障害時の事業継続性も担保できず、主要要件を満たせません。
【「はい」が違う理由】
Application Gateway は単一リージョン内で URL パス ベース ルーティングや SSL ターミネーションが必要なシナリオに最適です。グローバル展開には Front Door → Application Gateway → バックエンドという階層構成が標準で、本問では Front Door 単独が適合します。
解説
【正解: A】の理由
Standard SKU はゾーン冗長 / ゾーン配置、HA Ports、99.99% SLA、Outbound Rules、詳細診断を提供する本番向け SKU です。Basic は SLA なし / ゾーン非対応で開発用途にとどまり、2025 年 9 月末で廃止されました。
【他選択肢が違う理由】
- B. 両者は同義: 機能と SLA が大きく異なり置換可能ではありません
- C. Basic が高価: 真逆で Basic の方が低価格ですが機能制約があります
- D. L7 サポート: 両 SKU とも L4 のみで、L7 は Application Gateway / Front Door の領域です
解説
【正解: A】の理由
Application Gateway は Layer 7 (HTTP/HTTPS) のリージョナル ロード バランサで、URL パス ルーティング、ホスト名ルーティング、SSL Termination、WAF SKU による OWASP Top 10 脅威保護を統合提供します。Standard_v2 / WAF_v2 が現在の主流 SKU です。
【他選択肢が違う理由】
- B. L4 のみ: 真逆で App Gateway は L7 を担当し、L4 は Azure Load Balancer の領域です
- C. CDN: グローバル エッジ CDN は Azure CDN / Front Door の領域です
- D. 専用線接続: オンプレと Azure の専用線は ExpressRoute の機能です
解説
【正解: A, B】の理由
Azure Bastion は VM に Public IP を割り当てずに Azure Portal のブラウザから RDP / SSH 接続できる踏み台サービスで、AzureBastionSubnet に配置します。Azure Network Watcher は Connection Monitor / IP Flow Verify / NSG Flow Logs / Topology などネットワーク診断スイートを統合提供します。
【他選択肢が違う理由】
- C. Microsoft Excel: 表計算ソフトウェアでネットワーク サービスではありません
- D. Azure Storage Account: オブジェクト ストレージ サービスでネットワーク機能ではありません
- E. Microsoft Word: 文書作成ソフトウェアでネットワーク サービスとは無関係です
次の各ステートメントについて、Azure ネットワーク サービスに関する記述として正しい場合は「はい」、誤っている場合は「いいえ」を選択してください。
注: 正解 1 つにつき 1 点が与えられます。
| ステートメント | はい | いいえ |
|---|---|---|
Network Security Group (NSG) は Layer 3-4 のステートフル パケット フィルタである。 正しいです。NSG は IP / TCP / UDP レベルのステートフル ACL で、Inbound / Outbound ルールを優先度順に評価します。サブネットや NIC に関連付けでき、Azure ネットワーク セキュリティの基本コントロールとして機能します。 | ||
Azure Bastion を使うと VM に Public IP を割り当てずにブラウザから RDP / SSH 接続できる。 正しいです。Bastion は VNet 内の踏み台として動作し、Azure Portal の SSH/RDP ボタンからブラウザ越しに接続できます。攻撃面 (Public IP) を削減でき、AzureBastionSubnet という専用サブネットが必要となります。 | ||
VNet Peering は常に推移的 (Transitive) に接続される。 誤りです。VNet Peering は 1 対 1 接続のみで推移的ではありません。A ⇔ B、B ⇔ C があっても A から C へ直接通信できません。推移的接続には Hub-and-Spoke + Azure Firewall / NVA や Azure Virtual WAN を使います。 |