情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和2年度 午前Ⅱ 問14: セキュリティ対策として，次の条件の下でデータベース（DB）サーバを DMZ から内部ネットワークに移動するようなネットワーク構成の変更を計画している。このとき，

問題本文

セキュリティ対策として，次の条件の下でデータベース（DB）サーバを DMZ から内部ネットワークに移動するようなネットワーク構成の変更を計画している。このとき，ステートフルパケットインスペクション型のファイアウォール（FW）において，必要となるフィルタリングルールの変更のうちの一つはどれか。 〔条件〕 (1) Web アプリケーション（WebAP）サーバを，インターネットに公開する。 (2) WebAP サーバ上のプログラムだけが DB サーバ上の DB に接続でき，ODBC（Open Database Connectivity）を使用して特定のポート間で通信する。 (3) SSH を使用して各サーバに接続できるのは，運用管理 PC だけである。 (4) フィルタリングルールは，必要な通信だけを許可する設定にする。

選択肢

• ア.削除／送信元：インターネット／宛先：WebAP サーバ／サービス：HTTP／制御：許可
• イ.削除／送信元：運用管理 PC／宛先：変更前の DB サーバ／サービス：SSH／制御：許可
• ウ.追加／送信元：WebAP サーバ／宛先：変更後の DB サーバ／サービス：SSH／制御：許可
• エ.追加／送信元：インターネット／宛先：WebAP サーバ／サービス：ODBC／制御：許可

正解

イ. 削除／送信元：運用管理 PC／宛先：変更前の DB サーバ／サービス：SSH／制御：許可

解説

DBサーバをDMZから内部ネットワークへ移動するため、SSH接続を許可するルールの宛先も追従させる必要がある。条件(3)よりSSHは運用管理PCからのみ。移動前のDB宛てSSH許可ルールはもう不要なので削除し、移動後DB宛ての許可に置き換える。イ(変更前DB宛てSSH許可の削除)が必要な変更の一つで正解。最小権限で不要ルールを残さない運用が肝心。

選択肢ごとの解説

• ア.インターネットからWebAPサーバへのHTTP許可は公開要件(1)で引き続き必要であり、削除は不適切。
• イ.DB移動に伴い不要となる、運用管理PCから変更前DB宛てSSH許可ルールの削除であり必要な変更で正しい。
• ウ.WebAPからDBへの通信はODBC(特定ポート)で、SSHではない。WebAP発のSSH許可追加は不要で誤り。
• エ.インターネットからWebAPへのODBC許可は不要かつ危険で、必要なフィルタリング変更ではない。