HOME»情報処理安全確保支援士令和2年秋期»午前U 問14
情報処理安全確保支援士令和2年秋期 午前U 問14
問14
セキュリティ対策として,次の条件の下でデータベース(DB)サーバをDMZから内部ネットワークに移動するようなネットワーク構成の変更を計画している。このとき,ステートフルパケットインスペクション型のファイアウォール(FW)において,必要となるフィルタリングルールの変更のうちの一つはどれか。
〔条件〕
〔条件〕
- Webアプリケーション(WebAP)サーバを,インターネットに公開する。
- WebAPサーバ上のプログラムだけがDBサーバ上のDBに接続でき,ODBC(Open Database Connectivity)を使用して特定のポート間で通信する。
- SSHを使用して各サーバに接続できるのは,運用管理PCだけである。
- フィルタリングルールは,必要な通信だけを許可する設定にする。

分類
テクノロジ系 » セキュリティ » 情報セキュリティ対策
正解
イ
解説
- インターネットからWebAPサーバへのHTTPを許可するルールを削除すると、WebAPサーバが外部からのHTTPリクエストを受け取れなくなるので誤りです。
- 正しい。変更前は運用管理PCから各サーバへのSSH通信をFWで許可していましたが、変更後はDBサーバが内部ネットワークに移るので、運用管理PCからDBサーバ宛ての通信を許可するルールは不要となります。フィルタリングルールは、必要な通信だけを許可する設定にするという条件より、このルールを削除しなければなりません。
- WebAPサーバとDBサーバはODBCによって通信するので、許可すべきサービスはSSHではなくODBCです。SSHだと不要なルールを追加することになるので誤りです。
- ODBCはデータベースにアクセスする際に使用するサービスなので、インターネットからWebAPサーバへのODBCを許可しても無意味です。不要なルールなので誤りです。