ホーム > 情報処理安全確保支援士試験 > 2009年春期

情報処理安全確保支援士試験 2009年春期午前2 問09

DMZ上の公開Webサーバで入力データを受け付け、内部ネットワークのDBサーバにそのデータを蓄積するシステムがある。DBサーバへの不正侵入対策の一つとして,ファイアウォールの最も有効な設定はどれか。

ア：DBサーバの受信ポートを固定にし,WebサーバからDBサーバの受信ポートへ発信された通信だけをファイアウォールで通す。（正解）

イ：DMZからDBサーバあての通信だけをファイアウォールで通す。

ウ：Webサーバの発信ポートは任意のポート番号を使用し,ファイアウォールでは,いったん終了した通信と同じ発信ポートを使った通信を拒否する。

エ：Webサーバの発信ポートを固定し,その発信ポートの通信だけをファイアウォールで通す。

解説

DMZ上の公開Webサーバから内部DBサーバへの通信に関するファイアウォール設定【午前2 解説】

要点まとめ

結論：DBサーバの受信ポートを固定し、Webサーバからそのポートへの通信のみを許可する設定が最も有効です。
根拠：通信の発信元と宛先ポートを限定することで、不正アクセスのリスクを大幅に減らせます。
差がつくポイント：単に通信を許可するだけでなく、ポート番号を固定し、通信の方向性を明確に制御することが重要です。

正解の理由

ア: DBサーバの受信ポートを固定にし,WebサーバからDBサーバの受信ポートへ発信された通信だけをファイアウォールで通す。
この設定は、DBサーバの受信ポートを限定し、さらにWebサーバからの通信のみを許可するため、内部ネットワークへの不正侵入リスクを最小化します。ポート番号を固定することで、ファイアウォールが通信の正当性を厳密に判断でき、不要な通信を遮断可能です。DMZと内部ネットワークの境界で通信を厳格に制御することがセキュリティ上の基本原則に合致しています。

よくある誤解

「DMZからDBサーバへの通信をすべて許可すれば安全」と考えがちですが、通信元やポートを限定しないと不正アクセスのリスクが高まります。
発信ポートを任意にしたり、終了した通信のポートを拒否する設定は、通信の正当性判断として不十分です。

解法ステップ

ネットワーク構成図から、DMZのWebサーバと内部ネットワークのDBサーバの位置関係を把握する。
DBサーバへの通信は内部ネットワークの重要資産へのアクセスであるため、厳密な制御が必要と理解する。
ファイアウォール設定で通信を許可する際、通信の発信元（Webサーバ）と宛先（DBサーバの特定ポート）を限定することが望ましいと判断する。
選択肢の中で、DBサーバの受信ポートを固定し、Webサーバからの通信のみを許可する設定が最も安全であると結論づける。

選択肢別の誤答解説

ア: 正解。受信ポートを固定し、Webサーバからの通信のみ許可するため最も安全。
イ: DMZからDBサーバへの通信をすべて許可する設定は、通信元の限定がなく不正アクセスのリスクが高い。
ウ: 発信ポートを任意にし、終了した通信と同じ発信ポートを拒否する設定は通信管理として不十分であり、セキュリティ強化にならない。
エ: Webサーバの発信ポートを固定し、その通信だけを許可する設定は一部有効だが、DBサーバの受信ポートを限定しないためリスクが残る。

補足コラム

DMZ（非武装地帯）は外部ネットワークと内部ネットワークの間に設置される中間ゾーンで、外部からの攻撃を受けやすい公開サーバを配置します。DMZと内部ネットワーク間の通信は最小限に抑え、ファイアウォールで厳密に制御することがセキュリティの基本です。特にDBサーバは重要な情報資産を保持するため、受信ポートの固定や通信元の限定は必須の対策です。

FAQ

Q: なぜDBサーバの受信ポートを固定する必要があるのですか？
A: 受信ポートを固定することで、ファイアウォールが許可すべき通信を明確に識別でき、不正なポートからのアクセスを遮断できるためです。

Q: Webサーバの発信ポートを固定するだけでは不十分なのですか？
A: 発信ポートはクライアント側で動的に割り当てられることが多く、固定するのは難しいため、受信側のポートを固定して制御する方が効果的です。

Q: DMZからDBサーバへの通信をすべて許可すると何が問題ですか？
A: 通信元やポートを限定しないため、不正な通信や攻撃が内部ネットワークに侵入しやすくなり、セキュリティリスクが高まります。

関連キーワード: DMZ, ファイアウォール設定, ネットワークセキュリティ, ポート制御, 内部ネットワーク保護

← 前の問題へ次の問題へ →

情報処理安全確保支援士試験 2009年 春期 午前2 問09

解説