https://www.sc-siken.com/pdf/27_aki/pm1_3.pdf
平成27年秋期試験午後Ⅰ問３設問３（２）について質問です。

答え自体はじゅうぶん納得できたのですが、
項番２のインターネットからWebAPサーバ１とWebAPサーバ２という通信が許可される理由ってありますか？インターネットからWebサーバ、WebサーバからWebアプリケーションサーバに通常行くものと認識しており、項番２もポリシに違反する必要でない通信なのでは？って疑問に思いました。

よろしくおねがいします。

>インターネットからWebサーバ、WebサーバからWebアプリケーションサーバに
>通常行くものと認識しており、項番２もポリシに違反する必要でない通信
>なのでは？って疑問に思いました。
通常というのはスレ主様の一般論と思われます。
本問がそれにそのまま当てはまるわけではないと考えられます。
本問を解くにあたっては、本問のネットワーク図を基にシステムの動作を
想定する必要があります。

ポイントとしてWebAPサーバ1,2がDMZに存在する理由を検討してみます。
・サイトXは静的コンテンツを処理するWebサーバと、動的コンテンツを処理する
  WebAPサーバ1,2の2系統から構成されるシステムである。
・WebAPサーバ1,2はWebサーバからのみアクセスされるサーバと考えると
  このシステム構成自体がベストプラクティスから外れてしまっている。
  そのように仮定するのであれば、WebAPサーバ1,2はDMZではなく、内部LANに
  配置すべきである。
のどちらかと考えられます。
スレ主様の一般論とは、一般的な構成かつベストプラクティスを意味しています。
しかし、全てのシステムが一般論で構成できているわけではありません。
ましてやSCの出題として、この構成に対してセキュリティ観点から問題・改善点が
ないかを判断することをIPAとして期待していると考えられます。

特にWebAPサーバ1,2がDMZに存在してるのは、設問4の(a)に対しての伏線となっており、
そのために敢えてベストプラクティスからはずした構成を本問に採用していると作問の
観点から推測できます。

重要なのは、SCの試験ではあるがままの構成を的確に理解し、それがセキュリティ的に
どうあるべきかを提案できるかどうかです。

pixさん

>そのように仮定するのであれば、WebAPサーバ1,2はDMZではなく、内部LANに配置すべきである。
この説明でとても納得できました。

＞重要なのは、SCの試験ではあるがままの構成を的確に理解し、それがセキュリティ的に
＞どうあるべきかを提案できるかどうかです。
がんばります！
丁寧な回答、本当にありがとうございました。