情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成29年度春期 午前 問17: 1台のファイアウォールによって,外部セグメント,DMZ,内部セグメントの三つのセグメントに分割されたネットワークがある。このネットワークにおいて,Webサーバと
←情報セキュリティマネジメント試験 平成29年度春期 午前
1台のによって,外部セグメント,,内部セグメントの三つのセグメントに分割されたネットワークがある。このネットワークにおいて,Webサーバと,重要なデータをもつデータベースサーバから成るシステムを使って,利用者向けのサービスをインターネットに公開する場合,インターネットからの不正アクセスから重要なデータを保護するためのサーバの設置方法のうち,最も適切なものはどれか。ここで,ファイアウォールでは,外部セグメントとDMZとの間及びDMZと内部セグメントとの間の通信は特定のプロトコルだけを許可し,外部セグメントと内部セグメントとの間の直接の通信は許可しないものとする。
問題本文
1台のファイアウォールによって,外部セグメント,DMZ,内部セグメントの三つのセグメントに分割されたネットワークがある。このネットワークにおいて,Webサーバと,重要なデータをもつデータベースサーバから成るシステムを使って,利用者向けのサービスをインターネットに公開する場合,インターネットからの不正アクセスから重要なデータを保護するためのサーバの設置方法のうち,最も適切なものはどれか。ここで,ファイアウォールでは,外部セグメントとDMZとの間及びDMZと内部セグメントとの間の通信は特定のプロトコルだけを許可し,外部セグメントと内部セグメントとの間の直接の通信は許可しないものとする。
選択肢
- ア.WebサーバとデータベースサーバをDMZに設置する。
- イ.Webサーバとデータベースサーバを内部セグメントに設置する。
- ウ.WebサーバをDMZに,データベースサーバを内部セグメントに設置する。
- エ.Webサーバを外部セグメントに,データベースサーバをDMZに設置する。
正解
ウ. WebサーバをDMZに,データベースサーバを内部セグメントに設置する。
解説
本問はDMZの考え方に基づくサーバ配置を問う。インターネットに公開するWebサーバは外部から直接アクセスされるためDMZに置き、重要データをもつデータベースサーバは外部と直接通信できない内部セグメントに置くことで、万一Webサーバが侵害されても重要データへの直接侵入を防げる。正解はウで、公開サーバと機密サーバを分離する多層防御の基本配置である。
選択肢ごとの解説
- ア.誤り。データベースサーバまでDMZに置くと、外部から到達しやすい位置に重要データを晒すことになり保護が弱い。
- イ.誤り。公開すべきWebサーバまで内部セグメントに置くと、外部セグメントから内部への直接通信が許可されないため利用者にサービスを提供できない。
- ウ.正しい。WebサーバをDMZ、データベースサーバを内部セグメントに置くことで、公開機能を提供しつつ重要データを外部から隔離でき最も適切である。
- エ.誤り。Webサーバを外部セグメントに置くとファイアウォールの保護外となり、データベースサーバをDMZに置くのも機密データの保護として不十分である。
情報セキュリティマネジメント試験 平成29年度春期 午前 の過去問一覧へ戻る・問17