情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和5年度秋期 午前Ⅱ 問17: セキュリティ対策として,次の条件の下でデータベース(DB)サーバを DMZ から内部ネットワークに移動するような次のネットワーク構成の変更を計画している。このと
←
情報処理安全確保支援士試験 令和5年度秋期 午前Ⅱ
Q 1717 / 25
セキュリティ対策として,次の条件の下でデータベース(DB)サーバを から内部ネットワークに移動するような次のネットワーク構成の変更を計画している。このとき,ステートフル型の(FW)において,必要となるフィルタリングルールの変更のうちの一つはどれか。
〔条件〕
(1)Web アプリケーション(WebAP)サーバを,インターネットに公開し, でアクセスできるようにする。
(2)WebAP サーバ上のプログラムだけが DB サーバ上の DB に接続でき,ODBC(Open Database Connectivity)を使用して特定のポート間で通信する。
(3)SSH を使用して各サーバに接続できるのは,運用管理 PC だけである。
(4)フィルタリングルールは,必要な通信だけを許可する設定にする。
問題本文
セキュリティ対策として,次の条件の下でデータベース(DB)サーバを DMZ から内部ネットワークに移動するような次のネットワーク構成の変更を計画している。このとき,ステートフルパケットフィルタリング型のファイアウォール(FW)において,必要となるフィルタリングルールの変更のうちの一つはどれか。 〔条件〕 (1)Web アプリケーション(WebAP)サーバを,インターネットに公開し,HTTPS でアクセスできるようにする。 (2)WebAP サーバ上のプログラムだけが DB サーバ上の DB に接続でき,ODBC(Open Database Connectivity)を使用して特定のポート間で通信する。 (3)SSH を使用して各サーバに接続できるのは,運用管理 PC だけである。 (4)フィルタリングルールは,必要な通信だけを許可する設定にする。
選択肢
- ア.変更種別:削除,送信元:インターネット,宛先:WebAP サーバ,サービス:HTTPS,制御:許可
- イ.変更種別:削除,送信元:運用管理 PC,宛先:変更前の DB サーバ,サービス:SSH,制御:許可
- ウ.変更種別:追加,送信元:WebAP サーバ,宛先:変更後の DB サーバ,サービス:SSH,制御:許可
- エ.変更種別:追加,送信元:インターネット,宛先:WebAP サーバ,サービス:ODBC,制御:許可
正解
イ. 変更種別:削除,送信元:運用管理 PC,宛先:変更前の DB サーバ,サービス:SSH,制御:許可
解説
DBサーバをDMZから内部ネットワークへ移すと、ODBC通信の宛先は変わるが許可自体は必要なので残り、不要になるのは旧DBサーバ向けのルール。条件(3)によりSSHは運用管理PCからのみ許可されるが、移設に伴い旧DBサーバ宛のSSH許可ルールは対象がなくなり削除すべき。よってイが正解。実務では構成変更時に不要となった許可ルールを残さないことが攻撃面の縮小に直結する。
選択肢ごとの解説
- ア.WebAPサーバへのHTTPS公開は条件(1)で必要なため、削除すると要件を満たせず誤り。
- イ.DB移設で旧DBサーバ宛のSSH許可は対象を失うため削除すべき、で正しい。
- ウ.WebAPからDBへはODBCで接続し、SSHはDB操作用途でないため追加は不要。
- エ.ODBCはWebAPとDB間の内部通信で、インターネットからの直接ODBC許可は不要かつ危険。
情報処理安全確保支援士試験 令和5年度秋期 午前Ⅱ の過去問一覧へ戻る・問17