ITパスポート 2019年 秋期 問92
問題文
外部と通信するメールサーバをDMZに設置する理由として、適切なものはどれか。
選択肢
ア:機密ファイルが添付された電子メールが、外部に送信されるのを防ぐため
イ:社員が外部の取引先へ送信する際に電子メールの暗号化を行うため
ウ:メーリングリストのメンバのメールアドレスが外部に漏れないようにするため
エ:メールサーバを踏み台にして、外部から社内ネットワークに侵入させないため(正解)
🔒 解説は解答すると表示されます
外部と通信するメールサーバをDMZに設置する理由【ITパスポート 解説】
正解の理由
企業や組織のネットワークで「DMZ(ディーエムゼット、demilitarized zone:非武装地帯の意。ここでは外部と内部の中間に置く分離されたネットワーク領域)」を使う主な目的は、外部に公開するサーバ(例えばメールサーバ、Webサーバ)を社内の重要なシステム(社員のファイルサーバや社内データベース)から隔離することです。
そのため、外部と通信するメールサーバをDMZに置くことで、攻撃者がそのメールサーバを「踏み台(攻撃者が乗り移って内部へ横展開する足がかり)」にして社内ネットワークへ侵入するリスクを減らせます。これが選択肢エが正しい理由です。
そのため、外部と通信するメールサーバをDMZに置くことで、攻撃者がそのメールサーバを「踏み台(攻撃者が乗り移って内部へ横展開する足がかり)」にして社内ネットワークへ侵入するリスクを減らせます。これが選択肢エが正しい理由です。
ポイントを平易に言うと:
- DMZに公開サーバを置く → 外から直接内部ネットワークにアクセスされにくくする
- 万が一公開サーバが破られても、内部側への影響を限定できる
解法ステップ
- 「DMZ」の目的を確認する。
- 外部公開用サーバと内部ネットワークを分離するための領域である。
- 各選択肢がDMZの目的に合うかを検討する。
- DMZは「隔離・制御」が目的であり、暗号化や情報漏えい防止そのものを行う機能ではない。
- 「公開サーバが踏み台にされるのを防ぐ」ことは隔離の概念と一致するため、該当する選択肢を選ぶ。
- これに当てはまるのが選択肢エ。
選択肢別の誤答解説
- ア: 機密ファイルが添付された電子メールが外部に送信されるのを防ぐため
- 説明:これは「情報漏えい防止(DLP:Data Loss Prevention)」の話です。DMZに置くだけではメールの内容送信を止められません。送信ポリシーやメールゲートウェイでの検査が必要です。
- イ: 社員が外部の取引先へ送信する際に電子メールの暗号化を行うため
- 説明:暗号化(例えばTLS:Transport Layer Security)は通信プロトコルやクライアント設定で実現します。DMZは暗号化を提供する場所ではありません。
- ウ: メーリングリストのメンバのメールアドレスが外部に漏れないようにするため
- 説明:アドレス漏えい対策はアクセス制御や運用ルール、ソフトウェア設定の問題です。DMZの設置自体でアドレスの非公開を保証できません。
- エ: メールサーバを踏み台にして、外部から社内ネットワークに侵入させないため
- 説明:正解。公開サーバをDMZに置くことで、外部から侵入されても社内ネットワークへの直接の経路を制限できます。
よくある誤解
- 「DMZに置けばサーバは安全になる」
- 誤解点:DMZは隔離してダメージを限定する仕組みで、サーバ自体の脆弱性を無くすものではありません。定期的なパッチ適用やログ監視は必須です。
- 「DMZは情報漏えい(メール内容の外部流出)を防ぐ仕組みである」
- 誤解点:DMZはネットワーク分離の仕組みです。メール本文の漏えい対策は暗号化やDLPの導入・運用が必要です。
補足コラム
簡単なネットワークのイメージ(テキスト図):
インターネット ──> ファイアウォール(外側) ──> DMZ(メールサーバ等) ──> ファイアウォール(内側) ──> 社内ネットワーク(ファイルサーバ等)
運用上の良い対策例:
- DMZのファイアウォールルールは最小権限で許可する(必要なポートだけ開ける)。
- DMZ内のサーバから内部ネットワークへは、必要最低限の接続だけを許す。
- メールサーバ自体はハードニング(不要機能の停止、最新パッチ適用)、ログ監視、侵入検知を行う。
- メールの送受信はTLSで暗号化、送信者詐称対策にSPF/DKIM/DMARCを設定する。
用語の簡単説明:
- SMTP(Simple Mail Transfer Protocol):メール送受信用の基本的な通信規約。
- TLS(Transport Layer Security):通信を暗号化する仕組み。
- DLP(Data Loss Prevention):データ流出を防ぐ技術や仕組み。
- SPF/DKIM/DMARC:メールの送信元詐称を防ぐ仕組み群(送信ドメイン認証)。
FAQ
Q1: 公開サービスは全てDMZに置くべきですか?
A1: 多くの公開サービス(Web、メール、DNSなど)はDMZに置きますが、設計は業務要件とリスク評価で決めます。機密性の高いデータは原則内部に置きます。
A1: 多くの公開サービス(Web、メール、DNSなど)はDMZに置きますが、設計は業務要件とリスク評価で決めます。機密性の高いデータは原則内部に置きます。
Q2: DMZとホームネットワーク(家庭のルーター)のゲストWi-Fiは同じ意味ですか?
A2: 概念は似ています(外部やゲストを隔離する)が、企業のDMZはファイアウォールやルールが厳密で、設計と運用がより専門的です。
A2: 概念は似ています(外部やゲストを隔離する)が、企業のDMZはファイアウォールやルールが厳密で、設計と運用がより専門的です。
Q3: メールサーバがDMZにあっても、内部のユーザーはメールを使えますか?
A3: はい。DMZ側のメールサーバと内部ネットワークのクライアント間で必要な通信を限定的に許可して接続できます。ただしアクセスは最小限にするのが重要です。
A3: はい。DMZ側のメールサーバと内部ネットワークのクライアント間で必要な通信を限定的に許可して接続できます。ただしアクセスは最小限にするのが重要です。
関連キーワード: DMZ、メールサーバ、ネットワーク分離、踏み台、ファイアウォール、DLP、TLS、SPF、DKIM、DMARC、サーバハードニング

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

