ステートフルインスペクション型FWのフィルタリングルール|情報処理安全確保支援士試験 令和2年 秋期午前Ⅱ試験 問14
出典:令和2年秋期 午前Ⅱ 問14
分野:セキュリティ / セキュリティ実装技術
セキュリティ対策として,次の条件の下でデータベース(DB)サーバをDMZから内部ネットワークに移動するようなネットワーク構成の変更を計画している。このとき,ステートフルパケットインスペクション型のファイアウォール(FW)において,必要となるフィルタリングルールの変更のうちの一つはどれか。
〔条件〕
(1)Webアプリケーション(WebAP)サーバを,インターネットに公開する。
(2)WebAPサーバ上のプログラムだけがDBサーバ上のDBに接続でき,ODBC(Open Database Connectivity)を使用して特定のポート間で通信する。
(3)SSHを使用して各サーバに接続できるのは,運用管理PCだけである。
(4)フィルタリングルールは,必要な通信だけを許可する設定にする。


- ア:
- イ:
- ウ:
- エ:
TSUNAGARU-ADVICE
まず押さえたいこと
DBサーバをDMZから内部ネットワークへ移動する場合、FWのルールも移動後の配置に合わせて見直す必要があります。特に、変更前のDBサーバ宛てに許可していた通信は不要になるため、変更前のDBサーバへのSSH許可ルールは削除対象になります。
迷ったときの判断軸
WebAPサーバは引き続きインターネットに公開するので、インターネットからWebAPサーバへのHTTP許可を削除してはいけません。また、DB接続に使うのはODBCであり、WebAPサーバからDBサーバへのSSHを許可する必要はありません。インターネットからWebAPサーバへのODBC許可も不要です。必要な通信だけを許可するという条件から、不要になった旧DB宛ての管理通信を消す判断ができます。
科目Bにつなげるために
科目Bでは、サーバの配置変更に伴って、FWルールの追加・削除を選ばせる問題がよく出ます。送信元・宛先・サービス・配置場所を一つずつ確認し、公開用通信・DB接続・運用管理用SSHを混同しないように整理しましょう。
DBサーバをDMZから内部ネットワークへ移動すると、変更前のDBサーバはDMZ上には存在しなくなります。
フィルタリングルールは必要な通信だけを許可する設定なので、運用管理PCから変更前のDBサーバへSSH接続を許可するルールは不要になります。不要な許可ルールを残すと、意図しない通信を許してしまうおそれがあるため、削除が必要です。
したがって、イが適切です。
❌他選択肢が誤りの理由ア:削除/送信元:インターネット/宛先:WebAPサーバ/サービス:HTTP/制御:許可
⇒WebAPサーバは変更後もDMZに配置され、インターネットに公開されます。そのため、インターネットからWebAPサーバへのHTTP通信を許可するルールは引き続き必要であり、削除してはいけません。
ウ:追加/送信元:WebAPサーバ/宛先:変更後のDBサーバ/サービス:SSH/制御:許可
⇒SSHで各サーバに接続できるのは運用管理PCだけという条件があります。WebAPサーバからDBサーバへSSH接続する必要はなく、このルールを追加すると不要な管理通信を許可することになるため不適切です。
エ:追加/送信元:インターネット/宛先:WebAPサーバ/サービス:ODBC/制御:許可
⇒ODBCでDBサーバに接続できるのは、WebAPサーバ上のプログラムだけです。インターネットからWebAPサーバへODBC通信を許可する必要はなく、不要な通信を許可する設定になるため不適切です。