基本情報技術者 2014年 秋期 午前(科目A) 問40
問題文
1台のファイアウォールによって、外部セグメント、DMZ、内部ネットワークの三つのセグメントに分割されたネットワークがある。このネットワークにおいて、Webサーバと、重要なデータをもつDBサーバから成るシステムを使って、利用者向けのサービスをインターネットに公開する場合、インターネットからの不正アクセスから重要なデータを保護するためのサーバの設置方法のうち、最も適切なものはどれか。ここで、ファイアウォールでは、外部セグメントとDMZ間及びDMZと内部ネットワーク間の通信は特定のプロトコルだけを許可し、外部セグメントと内部ネットワーク間の通信は許可しないものとする。
選択肢
ア:WebサーバとDBサーバをDMZに設置する。
イ:WebサーバとDBサーバを内部ネットワークに設置する。
ウ:WebサーバをDMZに、DBサーバを内部ネットワークに設置する。(正解)
エ:Webサーバを外部セグメントに、DBサーバをDMZに設置する。
ファイアウォールとDMZを用いたサーバ配置【午前2 解説】
要点まとめ
- 結論:公開用のWebサーバはDMZに置き、機密データを持つDBサーバは内部ネットワークに置くのが最適です。これはインターネットからの直接アクセスを遮断して多層防御を実現するためです。
- 根拠:問題のファイアウォール設定では外部↔内部の通信を禁止し、外部↔DMZ/DMZ↔内部は特定プロトコルのみ許可されるため、DBを内部に置くことで直接攻撃経路を断てます。
- 差がつくポイント:Web→DBの通信は必要最小限のポート/プロトコルに限定し、DB側で追加の認証・アクセス制御・監査を行う点が実務的かつ試験上の評価につながります。
正解の理由
正解: ウ
WebサーバをDMZに置くことでインターネットからHTTP/HTTPSだけを許可し公開可能にします。一方DBサーバを内部ネットワークに置けば、外部から直接DBポートにアクセスされず、DMZから内部へのDBアクセスはファイアウォールで特定プロトコル(必要最小限の接続)だけ許可する運用ができます。これにより攻撃面が大幅に減り、機密データの保護レベルが高まります。単一のファイアウォールでもセグメント間で細かな通信制御ができれば、この構成が最も安全かつ実用的です。
WebサーバをDMZに置くことでインターネットからHTTP/HTTPSだけを許可し公開可能にします。一方DBサーバを内部ネットワークに置けば、外部から直接DBポートにアクセスされず、DMZから内部へのDBアクセスはファイアウォールで特定プロトコル(必要最小限の接続)だけ許可する運用ができます。これにより攻撃面が大幅に減り、機密データの保護レベルが高まります。単一のファイアウォールでもセグメント間で細かな通信制御ができれば、この構成が最も安全かつ実用的です。
よくある誤解
- 「DBはDMZでも安全」:表面的にはWebからの通信が限定されても、DBをDMZに置くと外部の脅威に近くなり、攻撃成功時の影響範囲が大きくなります。
- 「Webを外部セグメントに置けば公開は簡単」:外部セグメントはDMZほどの中間検査やログ管理がされない場合が多く、攻撃を受けやすくなります。
- 「単一ファイアウォールでは意味がない」:確かに多重防御が望ましいが、セグメントと細かいポリシーを使えば単一装置でも有効な分離は可能です。
解法ステップ
- ファイアウォールのルールを整理する:外部↔DMZ、DMZ↔内部は特定プロトコルのみ、外部↔内部は禁止。
- 公開サービス(HTTP/HTTPS)が必要なサーバは外部からアクセス可能なDMZに配置するのが基本方針。
- 機密データを保持するDBは外部から直接到達されない内部に配置し、DMZのWebから必要最小限の通信だけ許可する。
- 各選択肢を当てはめて、外部から直接DBに届く構成や公開不能な構成を除外する。
選択肢別の誤答解説
- ア: WebサーバとDBサーバをDMZに設置する。
誤り。DBがDMZにあると外部からの攻撃に近くなり、DBの直接的な攻撃リスクや機密漏えいリスクが高まります。DMZは公開サーバ向けの緩衝層であり、機密データ保護には不向きです。 - イ: WebサーバとDBサーバを内部ネットワークに設置する。
誤り。外部→内部の通信はファイアウォールで許可されないため、インターネットに公開するWebサービスを提供できません。公開の要件を満たせません。 - ウ: WebサーバをDMZに、DBサーバを内部ネットワークに設置する。
正解。Webは公開しつつDBは内部で保護し、DMZ→内部は必要なプロトコルのみ許可することで機密性を確保できます。 - エ: Webサーバを外部セグメントに、DBサーバをDMZに設置する。
誤り。Webを外部セグメントに置くとDMZ内の検査やログ保護が効かず、またDBがDMZにあるため機密保護が弱まります。さらに外部→内部が禁止されているので、公開方針としても不適切です。
補足コラム
本問は「境界防御」と「最小権限の設計原則(least privilege)」が問われています。実運用では次の点も合わせて検討します:WebサーバはWAFやアプリケーション層の検査を導入し、DBは管理用アクセスを別の管理ネットワークに限定、バックアップや暗号化を実施、ログは集中監視で相関分析することが重要です。さらに高いセキュリティが必要ならDMZと内部の間に二台目のファイアウォールやIDS/IPSを追加する設計も有効です。
FAQ
Q1: DMZから内部へのDB接続が必要だが、外部からそのポートが見えてしまわないか?
A1: ファイアウォールは外部→DMZとDMZ→内部を別々に制御できます。外部から内部への直接通信は遮断されるため、DMZ→内部のDBポートは内部側にのみ到達します。管理はファイアウォールでソースをDMZに限定することで保護します。
A1: ファイアウォールは外部→DMZとDMZ→内部を別々に制御できます。外部から内部への直接通信は遮断されるため、DMZ→内部のDBポートは内部側にのみ到達します。管理はファイアウォールでソースをDMZに限定することで保護します。
Q2: Webサーバが侵害されたら内部DBも危ないのでは?
A2: 侵害リスクはゼロになりません。だからこそWeb側の脆弱性対策(WAF、最小権限、隔離、ログ監視)やDB側の追加認証・接続制御・監査で横展開を防ぐ多層防御が必要です。
A2: 侵害リスクはゼロになりません。だからこそWeb側の脆弱性対策(WAF、最小権限、隔離、ログ監視)やDB側の追加認証・接続制御・監査で横展開を防ぐ多層防御が必要です。
Q3: 単一ファイアウォールでもこの構成は許容されるか?
A3: 設計と運用ルールが適切であれば可能です。ただし冗長化・二重化や追加の監視を行うことで信頼性と安全性を高めるべきです。
A3: 設計と運用ルールが適切であれば可能です。ただし冗長化・二重化や追加の監視を行うことで信頼性と安全性を高めるべきです。
関連キーワード: ファイアウォール、DMZ、ネットワーク分離、境界防御、最小権限、公開サーバ、データベース保護、WAF、セグメンテーション、アクセス制御
\ せっかくなら /
基本情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!