ITパスポート 2009年 秋期 問79
問題文
ファイアウォールを設置することで、インターネットからもイントラネットからもアクセス可能だが、イントラネットへのアクセスを禁止しているネットワーク上の領域はどれか。
選択肢
ア:DHCP
イ:DMZ(正解)
ウ:DNS
エ:DoS
🔒 解説は解答すると表示されます
ファイアウォールとネットワーク領域の問題【ITパスポート 解説】
正解の理由
問題文は「インターネットからもイントラネット(社内ネットワーク)からもアクセス可能だが、イントラネットへのアクセスを禁止している領域はどれか」と問うています。これは「DMZ(ディーエムジーゼット、Demilitarized Zone:非武装地帯)」の定義そのものです。
DMZは、外部(インターネット)と内部(イントラネット)からアクセスできるサーバ群を置くための中間的なネットワーク領域です。外部からはサービス(例:Web、メール)にアクセスできますが、DMZ側から直接イントラネットへ接続させないようにファイアウォールで禁止するのが一般的な構成です。よってイが正解です。
解法ステップ
- 問題文のキーワードを探す:「インターネットからもイントラネットからもアクセス可能」「イントラネットへのアクセスを禁止」。
- 各選択肢の意味を思い出す(略語は下で説明)。
- 「両方からアクセスできるが内部へは接続させない」特徴に一致するものを選ぶ。
- DMZはまさにその特徴なので選ぶ。
短い結論:両側からアクセス可能だが内部への直接アクセスを禁止する、これがDMZの役割。
選択肢別の誤答解説
- ア: DHCP(Dynamic Host Configuration Protocol:動的にIPアドレスなどを割り当てる仕組み)
- DHCPはネットワーク機器にIPアドレスなどを自動で配る役割です。領域(ゾーン)を表す言葉ではありません。問題の条件に合いません。
- イ: DMZ(Demilitarized Zone:外部と内部の中間に置く公開サーバ領域) ← 正解
- 外部からのアクセスを受けるが、内部ネットワークへの直接アクセスを制限するために使います。
- ウ: DNS(Domain Name System:ドメイン名とIPアドレスを対応づける仕組み)
- DNSは名前解決のサービスです。領域やアクセス制御を示すものではないため不適切です。DNSサーバをDMZに置くことはありますが、「DNSそのものがイントラネットへのアクセスを禁止する領域」という解釈は誤りです。
- エ: DoS(Denial of Service:サービス妨害攻撃)
- DoSは攻撃の種類です。領域の名称ではありません。問題の文章と合いません。
よくある誤解
- 「DMZは完全に隔離されたネットワーク」だと思う誤解
- 誤りです。DMZは外部と内部の間の「公開用の領域」で、外部からは見えるが内部へのアクセスは制限するように設計します。完全に孤立しているわけではなく、必要最低限の通信だけを許可します。
- 「DMZは物理的に別の建物にある」や「必ず専用のハードウェアが必要」だと思う誤解
- 実際は物理的な分離でも、論理的なVLAN(仮想ネットワーク)で実現することもあります。専用サーバやファイアウォールの設定で構築できます。
補足コラム
- ファイアウォール(Firewall:ネットワークの出入口で通信を制御する機器・仕組み)は、ゾーン(公開側、中間、内部)ごとに異なるルールを設定します。典型的には次のような構成です:
- インターネット ←(制限あり)→ DMZ ←(より厳格な制限)→ イントラネット
- DMZに置く典型的なサービス:Webサーバ、メールサーバ、DNSキャッシュサーバ、VPNゲートウェイなど。内部にある重要なデータベースは原則DMZに置きません。DMZ上のサーバが侵害されても内部へ波及しにくくするためです。
- 簡単な図(イメージ):
- インターネット ⇄ [ファイアウォール] ⇄ DMZ ⇄ [ファイアウォール(別のルール)] ⇄ イントラネット
FAQ
Q1: DMZに入っているサーバからイントラネットへの通信は完全に禁止ですか?
A1: 必ずしも完全禁止ではありません。必要最小限の通信(例:アプリケーションが内部のDBにアクセスする場合)は、厳格なルールと監視のもとで許可することがあります。ただし原則は「制限する」です。
A1: 必ずしも完全禁止ではありません。必要最小限の通信(例:アプリケーションが内部のDBにアクセスする場合)は、厳格なルールと監視のもとで許可することがあります。ただし原則は「制限する」です。
Q2: DMZとVLANは同じですか?
A2: 同じではありません。VLAN(Virtual LAN:仮想的なLAN区分)はネットワークを論理的に分ける技術です。DMZは運用上のゾーンの考え方で、VLANを使ってDMZを実現することが多い、という関係です。
A2: 同じではありません。VLAN(Virtual LAN:仮想的なLAN区分)はネットワークを論理的に分ける技術です。DMZは運用上のゾーンの考え方で、VLANを使ってDMZを実現することが多い、という関係です。
Q3: 企業で公開サービスを運用するなら必ずDMZが必要ですか?
A3: 多くの場合、推奨されます。公開サービスと内部資産を分離することで、セキュリティのリスクを下げられます。ただし小規模な環境では別の簡易対策で済ますこともあります。
A3: 多くの場合、推奨されます。公開サービスと内部資産を分離することで、セキュリティのリスクを下げられます。ただし小規模な環境では別の簡易対策で済ますこともあります。
関連キーワード: ファイアウォール、DMZ、イントラネット、インターネット、ネットワークセキュリティ、DHCP、DNS、DoS

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

