ホーム > 情報処理安全確保支援士試験 > 2023年秋期

情報処理安全確保支援士試験 2023年秋期午前2 問17

セキュリティ対策として、次の条件の下でデータベースサーバをDMZから内部ネットワークに移動するような次のネットワーク構成の変更を計画している。このとき、ステートフルパケットフィルタリング型ファイアウォールにおいて、必要となるフィルタリングルールの変更のうちの一つはどれか。　〔条件〕　（1）Webアプリケーション（WebAP）サーバを、インターネットに公開し、HTTPSでアクセスできるようにする。　（2）WebAPサーバ上のプログラムだけがDBサーバ上のDBに接続でき、ODBC（Open Database Connectivity）を使用して特定のポート間で通信する。　（3）SSHを使用して各サーバに接続できるのは、運用管理PCだけである。　（4）フィルタリングルールは、必要な通信だけを許可する設定にする。

ア：

イ：（正解）

ウ：

エ：

解説

データベースサーバのDMZから内部ネットワーク移動に伴うファイアウォールルール変更【午前2 解説】

要点まとめ

結論：DBサーバがDMZから内部ネットワークに移動したため、運用管理PCから旧DBサーバへのSSH許可ルールは削除が必要です。
根拠：ファイアウォールは通信の送信元・宛先を基に許可設定を行うため、DBサーバのネットワーク変更に伴いルールの見直しが必須です。
差がつくポイント：DBサーバの位置変更により、旧DMZ宛の通信ルールは不要となり、誤って残すとセキュリティリスクになる点を理解しましょう。

正解の理由

正解はイです。DBサーバがDMZから内部ネットワークに移動したため、運用管理PCから旧DBサーバ（DMZ内）へのSSH通信許可ルールは不要になります。ファイアウォールのルールは送信元・宛先IPアドレスやネットワークセグメントに依存するため、DBサーバの移動に伴い旧ルールは削除しなければなりません。これにより、不要な通信経路を遮断し、セキュリティを強化します。

よくある誤解

DBサーバの移動は単に物理的な配置変更と考えがちですが、ファイアウォールのルールも必ず見直す必要があります。旧ルールを残すと不要な通信が許可され、セキュリティホールになる恐れがあります。

解法ステップ

DBサーバの移動先を確認し、ネットワークセグメントが変わったことを把握する。
ファイアウォールの既存ルールを確認し、旧DBサーバ宛の通信許可ルールを特定する。
新しいネットワーク構成に合わせて、旧DBサーバ宛のルールを削除する必要があるか判断する。
必要に応じて、新DBサーバ宛の通信許可ルールを追加する。
変更後のルールが最小権限の原則に沿っているか最終確認する。

選択肢別の誤答解説

ア：インターネットからWebAPサーバへのHTTPS通信は変更なし。削除は不要です。
イ：正解。運用管理PCから旧DBサーバ（DMZ内）へのSSH許可ルールはDBサーバ移動により不要となるため削除が必要です。
ウ：WebAPサーバから新DBサーバへのSSH許可は不要です。DB接続はODBCで行うためSSH通信は許可しません。
エ：インターネットからWebAPサーバへのODBC通信は誤りです。ODBC通信はWebAPサーバからDBサーバ間の内部通信であり、外部から直接ODBC通信を許可することはありません。

補足コラム

ステートフルパケットフィルタリング型ファイアウォールは、通信の状態を追跡し、許可されたセッションの応答パケットのみを通過させます。ネットワーク構成変更時は、送信元・宛先のIPアドレスやポート番号の変更に伴い、ルールの追加・削除を適切に行うことが重要です。また、最小権限の原則に基づき、必要な通信のみを許可する設定がセキュリティ強化の基本です。

FAQ

Q: DBサーバを内部ネットワークに移動した場合、なぜ旧DMZ宛のルールを削除する必要があるのですか？
A: 旧DMZ宛のルールを残すと、不要な通信経路が開いたままになり、攻撃のリスクが高まるためです。正しいネットワーク構成に合わせてルールを更新する必要があります。

Q: WebAPサーバからDBサーバへの通信はどのように許可すべきですか？
A: WebAPサーバからDBサーバへの通信はODBCなど特定のポートを使い、必要なサービスのみを許可するルールを追加します。SSHは通常不要です。

関連キーワード: ファイアウォールルール変更, ステートフルパケットフィルタリング, ネットワークセグメント移動, 最小権限の原則, ODBC通信

← 前の問題へ次の問題へ →

情報処理安全確保支援士試験 2023年 秋期 午前2 問17

解説