HOME»情報処理安全確保支援士掲示板»H30春・午後Ⅱ・問1・設問3(2)
投稿する
H30春・午後Ⅱ・問1・設問3(2) [1859]
あきむさん(No.1)
表題の問題について、お詳しい方にご教示いただけると幸いです。
https://www.sc-siken.com/pdf/30_haru/pm2_1.pdf
DBサーバをサーバセグメントに移動させた場合、セキュリティ対策基準違反となるのはどのようなときか、という趣旨の問題です。
問題4ページ目の上から8行目にセキュリティ対策基準の話があり「利用者セグメントからDBサーバへのアクセスは、FWによって運用管理PCのIPアドレスからのアクセスだけが許可されている」とのことです。
DBサーバをサーバセグメントに移動させると、そもそも利用者セグメント⇒DBサーバの通信はFWを経由しなくなる(と解釈した)ので、私は「運用管理課員以外の人間が、利用者セグメントからDBサーバへのアクセスを行う行為」と解答しました。
IPAの模範解答は「人事総務課の職員が踏み台サーバを経由してDBサーバに共通管理者アカウントでログインする行為」とのことですが、そもそも踏み台サーバを使わずとも利用者セグメント⇒DBサーバへのアクセスは可能だという認識なのでイマイチ腑に落ちないです。
どなたかご教示いただけますと幸いです。
よろしくお願いいたします。
https://www.sc-siken.com/pdf/30_haru/pm2_1.pdf
DBサーバをサーバセグメントに移動させた場合、セキュリティ対策基準違反となるのはどのようなときか、という趣旨の問題です。
問題4ページ目の上から8行目にセキュリティ対策基準の話があり「利用者セグメントからDBサーバへのアクセスは、FWによって運用管理PCのIPアドレスからのアクセスだけが許可されている」とのことです。
DBサーバをサーバセグメントに移動させると、そもそも利用者セグメント⇒DBサーバの通信はFWを経由しなくなる(と解釈した)ので、私は「運用管理課員以外の人間が、利用者セグメントからDBサーバへのアクセスを行う行為」と解答しました。
IPAの模範解答は「人事総務課の職員が踏み台サーバを経由してDBサーバに共通管理者アカウントでログインする行為」とのことですが、そもそも踏み台サーバを使わずとも利用者セグメント⇒DBサーバへのアクセスは可能だという認識なのでイマイチ腑に落ちないです。
どなたかご教示いただけますと幸いです。
よろしくお願いいたします。
2025.03.16 16:17
通りすがりのおじさんさん(No.2)
DBサーバーをサーバーセグメントへ移動しても利用者セグメントからのアクセスは表3のアクセスルールが有効だからではないですか?なので、人事総務課の一部のPCからは踏み台サーバー経由でリモートディスクトップでアクセス可能となるのではないですか?
表3がFWのルールとは書いてないので、FWとは別と思います
表3がFWのルールとは書いてないので、FWとは別と思います
2025.03.16 20:49
X8bWwさん(No.3)
9ページ目の一番上の
を見落としていると思います。
> 図2のL3SWによって,利用者セグメントからのアクセスを禁止する案である。
を見落としていると思います。
2025.03.16 21:57
あきむさん(No.4)
通りすがりのおじさん様、X8bWw様、ありがとうございます。
表3の
人事総務課の一部の職員のPC⇒踏み台サーバ⇒(サーバセグメントへの移動後の)DBサーバ
とアクセスできることは理解できていたのですが、「そもそも利用者セグメントから(サーバセグメントへの移動後の)DBサーバに直接アクセスできるのでは?踏み台サーバの話を出すまでもなくないのかな?」と疑問だったのですが
を完全に見落としておりました。
スッキリしました!ありがとうございました!
表3の
人事総務課の一部の職員のPC⇒踏み台サーバ⇒(サーバセグメントへの移動後の)DBサーバ
とアクセスできることは理解できていたのですが、「そもそも利用者セグメントから(サーバセグメントへの移動後の)DBサーバに直接アクセスできるのでは?踏み台サーバの話を出すまでもなくないのかな?」と疑問だったのですが
> 図2のL3SWによって,利用者セグメントからのアクセスを禁止する案である。
を完全に見落としておりました。
スッキリしました!ありがとうございました!
2025.03.16 22:20