イは、運用管理PCから変更後のDBサーバへのSSH通信を許可するルールを追加すべきという主張ですが、条件(3)でSSH接続は運用管理PCから各サーバへ許可されており、DBサーバもその対象です。しかし、問題文のネットワーク構成変更でDBサーバは内部ネットワークへ移動するため、変更前のDBサーバへのSSH許可ルールは、その移動に伴い不要となるか、あるいは移動後のDBサーバへのSSH許可ルールに置き換える必要が生じます。選択肢イは「変更前のDBサーバ SSH 許可」としており、これは状態が変わるため、必要となるフィルタリングルールの変更としては適切ではありません。
情報処理安全確保支援士令和2年度 秋期午前II問 14
令和2年度 秋期 情報処理安全確保支援士 午前II 問14
難度
標準
セキュリティ対策として、次の条件の下でデータベース (DB) サーバを DMZ から内部ネットワークに移動するようなネットワーク構成の変更を計画している。このとき、ステートフルパケットインスペクション型のファイアウォール(FW)において、必要となるフィルタリングルールの変更のうちの一つはどれか。
〔条件〕
(1) Web アプリケーション (WebAP) サーバを、インターネットに公開する。
(2) WebAP サーバ上のプログラムだけが DB サーバ上の DB に接続でき, ODBC (Open Database Connectivity)を使用して特定のポート間で通信する。
(3) SSHを使用して各サーバに接続できるのは、運用管理PCだけである。
(4) フィルタリングルールは、必要な通信だけを許可する設定にする。
〔ネットワーク構成〕
選択肢
ア削除 インターネット WebAP サーバ HTTP 許可
イ削除 運用管理 PC 変更前のDBサーバ SSH 許可
ウ追加 WebAP サーバ 変更後のDBサーバ SSH 許可
エ追加 インターネット WebAP サーバ ODBC 許可
解説
結論 → 詳細 → 補足 の 3 層構成
展開閉じる
解説
結論 → 詳細 → 補足 の 3 層構成
アは、インターネットからWebAPサーバへのHTTP許可を削除するという内容ですが、条件(1)でWebAPサーバをインターネットに公開するため、HTTP通信の許可は引き続き必要であり、削除は不適切です。
ウは、WebAPサーバから変更後のDBサーバへのSSH許可を追加するという内容ですが、条件(2)よりWebAPサーバからDBサーバへの接続はODBCを使用し、SSHではありません。したがって、SSH許可の追加は不要です。
エは、インターネットからWebAPサーバへのODBC許可を追加するという内容ですが、条件(2)よりODBC通信はWebAPサーバとDBサーバ間でのみ行われ、インターネットから直接DBサーバへアクセスすることは想定されていません。よって、この許可は不適切です。
したがって、DBサーバをDMZから内部ネットワークへ移動する際、運用管理PCから内部ネットワーク上のDBサーバへのSSH通信を許可するルールは、変更前のDBサーバへのアクセスルールが不要になり、変更後のDBサーバへのアクセスルールに置き換える、あるいは既存のルールを調整する必要があります。選択肢イは、この移動に伴うルールの調整の必要性を示すものとして、最も妥当な変更点の一つと考えられます。
この解説は?
この解説は AI 生成です(詳細)
解説テキストは Google Gemini に IPA 公式の問題文・公式解答を入力して生成しました。 人間によるレビューを行ったものと、未レビューのものが混在します。
AI は事実誤認・選択肢の取り違え・最新法令の反映漏れ等を含む可能性があります。 重要な判断は必ず IPA 公式 PDF または最新の参考書でご確認ください。
解説の検証プロセス・誤り報告フローは 運営透明性レポートで公開しています。
分野「ネットワークセキュリティ」の学習ポイント
この問題の理解を「分野全体の力」に広げるための足がかり
- 何が問われるか
- 本問の分野で問われる代表的な知識・用語の整理。
- 学習の進め方
- 正解/誤答の選択肢ごとに「なぜ正しい / なぜ違うのか」を1行ずつ言語化すると定着する。
AI コパイロット
この問題を AI と深掘りする
用語解説・選択肢分析・類題生成をその場で対話。クイズモードでは解答→解説がゼロ遷移。
共有
ショート動画
関連する問題
ネットワークセキュリティ の他の問題
- 情報セキュリティスペシャリスト2009年度 秋期 午前II 問2ブラウザが Web サーバとの間でSSLで通信する際、ディジタル証明書に関する警告メッセージが表示される原因となり得るものはどれか。
- 情報セキュリティスペシャリスト2009年度 秋期 午前II 問5企業のDMZ上で1台の DNS サーバをインターネット公開用と社内用で共用している。この DNS サーバが,DNS キャッシュポイズニングの被害を受けた結果,引き起こされ得る現象はどれか。
- 情報セキュリティスペシャリスト2009年度 秋期 午前II 問6NIDS(ネットワーク型IDS)を導入する目的はどれか。
- 情報セキュリティスペシャリスト2009年度 秋期 午前II 問11パケットフィルタリング型ファイアウォールのフィルタリングルールを用いて、本来必要なサービスに影響を及ぼすことなく防げるものはどれか。
- 情報セキュリティスペシャリスト2009年度 秋期 午前II 問13レイヤ2スイッチや無線LANアクセスポイントで接続を許可する仕組みはどれか。