ホーム > 情報処理安全確保支援士試験 > 2010年秋期

情報処理安全確保支援士試験 2010年秋期午前2 問06

DMZ 上に公開している Web サーバで入力データを受け付け、内部ネットワークの DB サーバにそのデータを蓄積するシステムがある。インターネットから DMZ を経由してなされる DB サーバへの不正侵入対策の一つとして、DMZと内部ネットワークとの間にファイアウォールを設置するとき、最も有効な設定はどれか。

ア：DB サーバの受信ポート番号を固定し、Web サーバから DB サーバの受信ポート番号への通信だけをファイアウォールで通す。（正解）

イ：DMZ から DB サーバへの通信だけをファイアウォールで通す。

ウ：Web サーバの発信ポート番号は任意のポート番号を使用し、ファイアウォールでは、いったん終了した通信と同じ発信ポート番号を使った通信を拒否する。

エ：Web サーバの発信ポート番号を固定し、その発信ポート番号からの通信だけをファイアウォールで通す。

解説

DMZ上のWebサーバから内部DBサーバへの不正侵入対策【午前2 解説】

要点まとめ

結論：ファイアウォールでDBサーバの受信ポートを固定し、Webサーバからの通信のみ許可する設定が最も有効です。
根拠：ポート番号を固定し通信元を限定することで、不正なアクセス経路を厳格に制御できるため侵入リスクを低減します。
差がつくポイント：単に通信を許可するだけでなく、通信の発信元と受信ポートを限定し、最小権限の原則を徹底することが重要です。

正解の理由

ア: DBサーバの受信ポート番号を固定し、WebサーバからDBサーバの受信ポート番号への通信だけをファイアウォールで通す。
この設定は、DBサーバが受け付ける通信ポートを限定し、さらにファイアウォールでWebサーバからの通信のみを許可するため、DMZ経由での不正アクセスを効果的に防止できます。DBサーバは内部ネットワークにあり、外部から直接アクセスできないようにすることが基本です。Webサーバからの正当な通信だけを許可することで、攻撃者がDMZを経由してDBサーバに侵入するリスクを最小化します。

よくある誤解

ファイアウォールでDMZからDBサーバへの通信をすべて許可すれば安全と考えがちですが、通信元やポートを限定しないと不正アクセスのリスクが高まります。

解法ステップ

DBサーバが受け付ける通信ポート番号を特定し固定する。
ファイアウォールのルールで、DBサーバの受信ポート番号への通信のみを許可対象とする。
通信元をWebサーバのIPアドレスに限定し、それ以外からの通信は遮断する。
他の通信はすべて拒否し、最小限の通信経路だけを許可する。
設定後に通信テストを行い、正当な通信が通ることを確認する。

選択肢別の誤答解説

ア: 正解。DBサーバの受信ポートを固定し、Webサーバからの通信のみ許可するため最も安全。
イ: DMZからDBサーバへの通信をすべて許可すると、Webサーバ以外のDMZ内機器からの不正アクセスも可能になる。
ウ: 発信ポート番号を任意にし、終了した通信と同じ発信ポートを拒否する設定は通信制御として不適切であり、攻撃防止にはつながらない。
エ: Webサーバの発信ポート番号を固定しても、DBサーバの受信ポートを制限しなければ不正アクセスを防げない。

補足コラム

DMZ（非武装地帯）は外部と内部ネットワークの中間に位置し、公開サーバを配置することで内部ネットワークの直接攻撃を防ぎます。ファイアウォールは通信の許可・拒否を細かく設定できるため、通信元・宛先IPやポート番号を限定する「最小権限の原則」がセキュリティ強化の基本です。DBサーバは重要な情報資産を保持するため、アクセス制御は特に厳格に行う必要があります。

FAQ

Q: なぜDBサーバの受信ポート番号を固定する必要があるのですか？
A: ポート番号を固定することで、ファイアウォールで許可すべき通信を限定でき、不正なポートを使った攻撃を防止できます。

Q: DMZ内のWebサーバからDBサーバへの通信をすべて許可しても問題ないですか？
A: いいえ。DMZ内には他の機器も存在するため、Webサーバ以外からの不正アクセスを防ぐために通信元IPを限定する必要があります。

関連キーワード: DMZ, ファイアウォール設定, ポート番号制限, ネットワークセグメント, 不正侵入対策, 最小権限の原則

← 前の問題へ次の問題へ →

情報処理安全確保支援士試験 2010年 秋期 午前2 問06

解説