情報処理安全確保支援士令和5年秋期 午前Ⅱ 問17

問17

セキュリティ対策として,次の条件の下でデータベース(DB)サーバをDMZから内部ネットワークに移動するようなネットワーク構成の変更を計画している。このとき,ステートフルパケットインスペクション型のファイアウォール(FW)において,必要となるフィルタリングルールの変更のうちの一つはどれか。

〔条件〕
  • Webアプリケーション(WebAP)サーバを,インターネットに公開し,HTTPSでアクセスできるようにする。
  • WebAPサーバ上のプログラムだけがDBサーバ上のDBに接続でき,ODBC(Open Database Connectivity)を使用して特定のポート間で通信する。
  • SSHを使用して各サーバに接続できるのは,運用管理PCだけである。
  • フィルタリングルールは,必要な通信だけを許可する設定にする。

〔ネットワーク構成〕
17.png/image-size:505×185
  • 17a.png/image-size:553×169

            
  • [出題歴]
  • 安全確保支援士 R2秋期 問14

分類

テクノロジ系 » セキュリティ » 情報セキュリティ対策

正解

解説

  • インターネットからWebAPサーバへのHTTP(S)を許可するルールを削除すると、公開WebAPサーバが外部からリクエストを受け付けることができなくなります。これにより、Webサービスを提供できなくなってしまうため不適切です。
  • 正しい。変更前は運用管理PCから各サーバへのSSH通信をFWで許可していましたが、変更後はDBサーバが内部ネットワークに移動するので、運用管理PCからDBサーバ宛ての通信を許可するルールは不要となります。フィルタリングルールは、必要な通信だけを許可する設定にするという条件より、このルールを削除しなければなりません。
  • WebAPサーバとDBサーバはODBCによって通信するので、許可すべきサービスはSSHではなくODBCです。SSHだと不要なルールを追加することになるため不適切です。
  • ODBCはデータベースにアクセスする際に使用するサービスなので、インターネットからWebAPサーバへのODBCを許可しても無意味です。不要なルールなので不適切です。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop