セキュリティ対策として,次の条件の下でデータベース(DB)サーバをDMZから内部ネットワークに移動するような次のネットワーク構成の変更を計画している。このとき,ステートフルパケットフィルタリング型のファイアウォール(FW)において,必要となるフィルタリングルールの変更のうちの一つはどれか。
〔条件〕
(1)Webアプリケーション(WebAP)サーバを,インターネットに公開し,HTTPSでアクセスできるようにする。
(2)WebAPサーバ上のプログラムだけがDBサーバ上のDBに接続でき,ODBC(Open Database Connectivity)を使用して特定のポート間で通信する。
(3)SSHを使用して各サーバに接続できるのは,運用管理PCだけである。
(4)フィルタリングルールは,必要な通信だけを許可する設定にする。
〔ネットワーク構成の変更〕
| ルールの 変更種別 |
ルール | ||||
| 送信元 | 宛先 | サービス | 制御 | ||
| ア | 削除 | インターネット | WebAPサーバ | HTTP | 許可 |
| イ | 削除 | 運用管理PC | 変更前のDBサーバ | SSH | 許可 |
| ウ | 追加 | WebAPサーバ | 変更後のDBサーバ | SSH | 許可 |
| エ | 追加 | インターネット | WebAPサーバ | ODBC | 許可 |
解答
イ
解説
- 利用者がWebアプリケーションにアクセスできなくなってしまうため、不適切です。
- 適切です。
運用管理PCとDBサーバは同一の内部ネットワークに属することになるため、FWでの通信許可は不要となります。 - WebAPサーバから変更後のDBサーバへの通信で許可する必要があるのは、SSHではなくODBCです。
- インターネットからWebAPサーバへの通信で許可する必要があるのはHTTP(HTTPS)のみで問題あありません。
参考情報
分野・分類
| 分野 | テクノロジ系 |
| 大分類 | 技術要素 |
| 中分類 | セキュリティ |
| 小分類 | 情報セキュリティ対策 |
出題歴
- SC 令和5年度秋期 問17
- SC 令和2年度秋期 問14
