▼FE平成29年度春期:問43 1台のファイアウォールによって、外部セグメント、DMZ、内部セグメントの三つのセグメントに分割されたネットワークがある。このネットワークにおいて、Webサーバと、重要なデータを持つデータベースサーバから成るシステムを使って、利用者向けのサービスをインターネットに公開する場合、インターネットからの不正アクセスから重要なデータを保護するためのサーバの設置方法のうち、最も適切なものはどれか。ここで、ファイアウォールでは、外部セグメントとDMZとの間及びDMZと内部セグメントとの間の通信は特定のプロトコルだけを許可し、外部セグメントと内部セグメントとの間の直接通信は許可しないものとする。
ア WebサーバとデータベースサーバをDMZに設置する。
イ Webサーバとデータベースサーバを内部セグメントに設置する。
ウ WebサーバをDMZに、データベースサーバを内部セグメントに設置する。
エ Webサーバを外部セグメントに、データベースサーバをDMZに設置する。
▼上に出てきた用語の意味
【ファイアウォール Firewall】コンピュータネットワークにおいて、ネットワークの結節点となる場所に設けて、コンピュータセキュリティ上の理由の理由により「通過させてはいけない通信」を阻止するシステムを指す。名称の元となった英語の「Firewall」は防火壁のことであり、通過させてはいけない通信を火にたとえている。(Wikipediaを修正)
【DMZ DeMilitarized Zone】軍事用語の「非武装地帯」から転用された用語。外部ネットワークと内部ネットワークの中間に設けられるネットワーク。DMZには、メールサーバ、ウェブサーバなど、インターネット等の外部ネットワークと接続する必要があるサーバ等を接続する。(Wikipediaを修正)
▼今回の問いとFEのシラバス(セキュリティ)の関連を赤の★印、既出は橙色の★印で示しました。
表の出所 FEのシラバスから筆者が作成。
▼FEのシラバスでの位置付け
4.情報セキュリティ対策 >(1)情報セキュリティ対策の種類 >② 技術的セキュリティ対策:技術的セキュリティ対策として、ソフトウェア、データ、PC、サーバ、ネットワークなどに技術的対策を実施することによって、システム開発、運用業務などに被害が発生することを防ぐことを理解する。
[用語例]〔技術的セキュリティ対策の種類〕
クラッキング対策、不正アクセス対策、情報漏えい対策、マルウェア・不正プログラム対策(マルウェア対策ソフトの導入、マルウェア定義ファイルの更新ほか)、マルウェア検出手法(ビヘイビア法ほか)、出口対策、入口対策、多層防御、暗号処理、秘匿
(とく)化、アクセス制御、脆弱性管理(OS アップデート、脆弱性修正プログラム(セキュリティパッチ)の適用ほか)、ネットワーク監視、ネットワークアクセス権の設定、侵入検知、侵入防止、DMZ(非武装地帯)、以下略。
〔セキュリティ製品・サービス〕
マルウェア対策ソフト、SIEM(Security Information and Event Management)、ファイアウォール、以下略。
解答ウ