ITパスポート 2013年 秋期 問79
問題文
企業内ネットワークからも、外部ネットワークからも論理的に隔離されたネットワーク領域であり、そこに設置されたサーバが外部から不正アクセスを受けたとしても、企業内ネットワークには被害が及ばないようにするためのものはどれか。
選択肢
ア:DMZ(正解)
イ:DNS
ウ:DoS
エ:SSL
🔒 解説は解答すると表示されます
DMZ(非武装地帯)に関する問題【ITパスポート 解説】
正解の理由
設問は「企業内ネットワークからも、外部ネットワークからも論理的に隔離されたネットワーク領域」で、「外部から不正アクセスを受けても企業内ネットワークには被害が及ばないようにするもの」を問うています。これを満たすのは ア の DMZ です。
DMZ(DeMilitarized Zone:非武装地帯)は、外部(インターネット側)に公開するサーバ(Webサーバやメールサーバなど)を、企業の内部ネットワーク(社内LAN)と分離して配置するためのネットワーク領域です。万が一公開サーバが侵害されても、内部ネットワークへの直接のアクセスを防ぎ、被害の波及を抑えることが目的です。設問で求める「隔離」と「被害の波及防止」という条件に合致します。
解法ステップ
- 問題文のキーワードを探す
- 「論理的に隔離」「外部から不正アクセスを受けたとしても企業内ネットワークには被害が及ばない」
- キーワードに合う用語を思い出す
- 「隔離」「境界」「公開サーバ」→ DMZ を連想する。
- 選択肢を一つずつ照らし合わせて消去法で確認する
- DNS(Domain Name System:名前解決)→ 用途が違う。
- DoS(Denial of Service:サービス妨害)→ 攻撃手法の名前。
- SSL(Secure Sockets Layer:通信の暗号化)→ 暗号化であり、ネットワーク隔離ではない。
- 最も条件に合致するものを選ぶ
- DMZ が条件を満たすため正答と判断する。
選択肢別の誤答解説
-
ア DMZ(DeMilitarized Zone:非武装地帯)
- 正解。外部公開用のサーバ群を内部ネットワークと分離して配置する領域です。侵害時の被害拡大を抑える役割があります。
-
イ DNS(Domain Name System:ドメイン名とIPアドレスを対応させる仕組み)
-
ウ DoS(Denial of Service:サービス拒否攻撃、サービス妨害)
- 誤り。DoS は攻撃の種類を指します。ネットワーク領域や防御手段ではありません。むしろ DMZ に置かれた公開サーバが DoS の対象になることがあります。
-
エ SSL(Secure Sockets Layer:通信の暗号化技術。現状では後継の TLS が使われることが多い)
- 誤り。SSL/TLS は通信内容の暗号化と認証により通信の安全性を高めますが、ネットワークを隔離する仕組みではありません。通信の「中身」を守る技術です。
(各用語は初出で英語名称と簡単な説明を付けました)
よくある誤解
-
「DMZがあれば完全に安全になる」
- 誤解です。DMZは被害の波及を抑える対策であり、公開サーバ自体の防御(脆弱性対策やログ監視など)も必要です。DMZは「被害を小さくする」仕組みです。
-
「SSLがあればネットワークの侵入を防げる」
- 誤解です。SSL/TLSは通信の暗号化とサーバ認証を行いますが、サーバ自体の脆弱性や不正アクセス対策(認証・権限制御・隔離)は別途必要です。
-
「DMZは必ず物理的に別の機器で作る必要がある」
- 部分的に誤解です。物理的に分ける方法もありますが、ファイアウォールの設定や仮想ネットワークで論理的に分離することも一般的です。
補足コラム
- DMZの典型的な配置例
- 外部ネットワーク(インターネット) ← ファイアウォール ← DMZ(Webサーバ等) ← ファイアウォール ← 内部ネットワーク
- 片側に1台のファイアウォールで3つのインターフェース(外部・DMZ・内部)を取る方法や、外側・内側に別々のファイアウォールを置いてDMZを間に置く「二重防御」構成があります。
- DMZに置く代表的なサーバ
- Webサーバ、メールサーバ、DNS公開サーバ、プロキシサーバなど。内部データベースは原則内部ネットワークに置き、DMZのサーバから必要最小限のアクセスだけ許可するのが基本です。
- クラウド時代のDMZ
- クラウド環境では「セキュリティグループ」や「仮想ネットワーク」でDMZ的な隔離を実現します。最近は「マイクロセグメンテーション」や「ゼロトラスト(Zero Trust)」といった考え方も注目されています。
FAQ
Q. DMZは必ず必要ですか?
A. 事業や公開サービスの必要性によります。外部に公開するサービスがあるなら推奨されます。公開サービスがない社内限定のシステムのみなら必須ではありません。
A. 事業や公開サービスの必要性によります。外部に公開するサービスがあるなら推奨されます。公開サービスがない社内限定のシステムのみなら必須ではありません。
Q. DMZに置いたら内部からのアクセスは完全に遮断すべきですか?
A. いいえ。業務上必要なアクセスは最小限に限定して許可します。アクセス制御を厳格にするのがポイントです。
A. いいえ。業務上必要なアクセスは最小限に限定して許可します。アクセス制御を厳格にするのがポイントです。
Q. DMZはファイアウォールとどう違いますか?
A. ファイアウォールはトラフィックの制御(誰がどこに接続できるか)を行う機器や機能です。DMZはネットワーク上の「領域(セグメント)」です。ファイアウォールでDMZと内部・外部の通信を制御します。
A. ファイアウォールはトラフィックの制御(誰がどこに接続できるか)を行う機器や機能です。DMZはネットワーク上の「領域(セグメント)」です。ファイアウォールでDMZと内部・外部の通信を制御します。
Q. DMZと VLAN(仮想LAN)は同じですか?
A. VLANはネットワークを論理的に分割する技術の一つで、DMZをVLANで実現することは可能です。目的(隔離)と技術(VLAN)は別の概念です。
A. VLANはネットワークを論理的に分割する技術の一つで、DMZをVLANで実現することは可能です。目的(隔離)と技術(VLAN)は別の概念です。
関連キーワード: DMZ、非武装地帯、ネットワーク分離、境界防御、DNS、DoS、SSL、ネットワークセグメンテーション、バスチオンホスト、ファイアウォール

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

