平成22年 秋期 情報セキュリティスペシャリスト 午前II 問6

DMZ上に公開しているWebサーバで入力データを受け付け、内部ネットワークのDBサーバにそのデータを蓄積するシステムがある。
インターネット上からDMZを経由してなされるDBサーバへの不正侵入対策の一つとして、DMZと内部ネットワークとの間にファイアウォールを設置するとき、最も有効な設定はどれか。

 ア  DBサーバの受信ポート番号を固定にし、WebサーバからDBサーバの受信ポート番号へ発信された通信だけをファイアウォールで通す。
 イ  DMZからDBサーバへの通信だけをファイアウォールで通す。
 ウ  Webサーバの発信ポート番号は任意のポート番号を使用し、ファイアウォールでは、いったん終了した通信と同じ発信ポート番号を使った通信を拒否する。
 エ  Webサーバの発信ポート番号を固定し、その発信ポート番号の通信だけをファイアウォールで通す。


答え ア


解説
不正侵入を防ぐためのファイアウォールの設定で最も有効なのは、ファイアウォールが通過させるパケットの種類を最小限にすることである。
問題から内部ネットワークのDBサーバと通信する必要があるのはDMZのWebサーバだけであるので、ファイアウォールの設定としてはDBサーバへの通信だけを許可している選択肢アかイに絞られる。
選択肢アとイを比較すると、選択肢アはDBサーバの特定のポート以外への通信のみを許可する設定であるが、選択肢イはDMZからDBサーバへの通信なのでWebサーバだけでなくDNSサーバからも通信可能であり、またDBサーバあてであればデータ蓄積のため以外のポートへの通信もファイアウォールを通過してしまうので、最小限の設定は選択肢アである。


キーワード
・ファイアウォール
・DMZ

キーワードの解説
  • ファイアウォール(firewall)
    防火壁のことです。
    ITの分野では、組織内のネットワーク(LAN)に外部から送られてくるデータの制御を行うマシンのことをいいます。
    ファイアウォールにより、外部ネットワーク(インターネット)から不正な方法でアクセスを試みるのを防止することで、内部のネットワークの安全性を確保します。
  • DMZ(DeMilitarized Zone)
    非武装地帯の意味で、イントラネットとインターネットの中間で、インターネットに公開するWebサーバやメールサーバ、DNSサーバなどを設置する場所です。

もっと、「ファイアウォール」について調べてみよう。

戻る 一覧へ 次へ