情報処理安全確保支援士試験 令和5年秋期午前Ⅱ フィルタリングルールの変更
出典:令和5年秋期 午前Ⅱ 問17
分野:セキュリティ / 情報セキュリティ対策
セキュリティ対策として,次の条件の下でデータベース(DB)サーバをDMZから内部ネットワークに移動するようなネットワーク構成の変更を計画している。このとき,ステートフルパケットインスペクション型のファイアウォール(FW)において,必要となるフィルタリングルールの変更のうちの一つはどれか。
〔条件〕
(1)Webアプリケーション(WebAP)サーバを,インターネットに公開し,HTTPSでアクセスできるようにする。
(2)WebAPサーバ上のプログラムだけがDBサーバ上のDBに接続でき,ODBC(Open Database Connectivity)を使用して特定のポート間で通信する。
(3)SSHを使用して各サーバに接続できるのは,運用管理PCだけである。
(4)フィルタリングルールは,必要な通信だけを許可する設定にする。
- ア:
- イ:
- ウ:
- エ:
TSUNAGARU-ADVICE
まず押さえたいこと
DBサーバをDMZから内部ネットワークへ移動する場合は、変更前の配置で必要だった通信と、変更後の配置で新たに必要になる通信を分けて考えることが重要です。
迷ったときの判断軸
運用管理PCから変更前のDBサーバへSSH接続するルールは、DBサーバの移動後には不要になります。一方で、WebAPサーバからDBサーバへ必要なのはSSHではなくODBCです。したがって、変更前のDBサーバ宛てのSSH許可ルールを削除すると整理すると判断しやすくなります。
科目Bにつなげるために
科目Bでは、ネットワーク構成変更後に、不要になった通信を閉じ、新たに必要な通信だけを許可する判断が問われます。サーバの配置・送信元・宛先・サービスの4点を確認し、最小権限の考え方でフィルタリングルールを見直しましょう。
DBサーバをDMZから内部ネットワークに移動すると、変更前に必要だった「運用管理PCからDMZ上のDBサーバへのSSH接続」は不要になります。
条件では、SSHで各サーバに接続できるのは運用管理PCだけですが、変更後のDBサーバは運用管理PCと同じ内部ネットワーク側にあります。そのため、FWを通過して「変更前のDBサーバ」へSSH接続する許可ルールは削除対象になります。
したがって、イが適切です。
❌他選択肢が誤りの理由ア:
⇒WebAPサーバはインターネットに公開し、HTTPSでアクセスできる必要があります。この許可ルールは削除してはいけません。
ウ:
⇒WebAPサーバからDBサーバへSSH接続する条件はありません。WebAPサーバからDBサーバへ必要なのはODBCによるDB接続です。
エ:
⇒インターネットからWebAPサーバへ許可するのはHTTPSです。ODBCをインターネットから許可する必要はありません。