資格部

資格・検定の試験情報、対策方法、問題解説などをご紹介

SC 情報セキュリティ対策⑤

 

 セキュリティ対策として,次の条件の下でデータベース(DB)サーバをDMZから内部ネットワークに移動するようなネットワーク構成の変更を計画している。このとき,ステートフルパケットインスペクション型のファイアウォール(FW)において,必要となるフィルタリングルールの変更のうちの一つはどれか。

〔条件〕

(1)Webアプリケーション(WebAP)サーバを,インターネットに公開する。

(2)WebAPサーバ上のプログラムだけがDBサーバ上のDBに接続でき,ODBC(Open Database Connectivity)を使用して特定のポート間で通信する。

(3)SSHを使用して各サーバに接続できるのは,運用管理PCだけである。

(4)フィルタリングルールは,必要な通信だけを許可する設定にする。

 

〔ネットワーク構成〕

f:id:trhnmr:20210409110857p:plain

  ルールの
変更種別
ルール
送信元 宛先 サービス 制御
削除 インターネット WebAPサーバ HTTP 許可
削除 運用管理PC 変更前のDBサーバ SSH 許可
追加 WebAPサーバ 変更後のDBサーバ SSH 許可
追加 インターネット WebAPサーバ ODBC 許可

解答・解説

解答

 イ

解説

  1. 利用者がWebアプリケーションにアクセスできなくなってしまうため、不適切です。

  2. 適切です。
    運用管理PCとDBサーバは同一の内部ネットワークに属することになるため、FWでの通信許可は不要となります。

  3. WebAPサーバから変更後のDBサーバへの通信で許可する必要があるのは、SSHではなくODBCです。

  4. インターネットからWebAPサーバへの通信で許可する必要があるのはHTTP(HTTPS)のみで問題あありません。

参考情報

分野・分類
分野 テクノロジ系
大分類 技術要素
中分類 セキュリティ
小分類 情報セキュリティ対策
出題歴
  • SC 令和2年度秋期 問14

前問 一覧 次問