[平成２８年度秋] 午後 問1 解説

[問題文・解答]

平成２８年度１０月に実施された基本情報技術者試験の午後試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）

[H28秋 午後 問題文]　　　[H28秋 午後 解答]

[問題概要]

この問題は必須問題です。

問題の題材は、販売支援システムの情報セキュリティです。
営業員が顧客先でタブレット端末を用いて見積作成できる販売支援システムの構築にあたり、ネットワーク構成やFWの設定などの情報セキュリティ対応について問われます。ネットワークやFWフィルタリングの基礎知識が無いと厳しい問題です。

[設問1]

表1に記載されているように販売支援システムで利用する主な通信は以下の４つです。
①インターネット（タブレット）→ RPサーバ[HTTPS, ポート443]
②RPサーバ → Webサーバ[HTTP, ポート80]
③Webサーバ → DBサーバ[DB専用, ポート1552]
④監視サーバ → DBサーバ[監視船用, ポート1600]

ここで、図1よりRPサーバはDMZにあります。また、P.5下段に「DBサーバへのアクセスの監視は、PCと同じLANにある監視サーバで行う」とあることから監視サーバはPCの配置されている内部LANにあることが分かります。
インターネット、DMZ、内部LANの間にはFWが設置されており、表2のフィルタリングルールに従って、通信の許可・拒否が判断されます。表2では、RPサーバ宛のHTTPS通信（項番1）とDBサーバ宛のDB専用通信（項番2）が許可されており、その他の通信は拒否設定となっています。項番1は上記の通信①、項番2は③に対する許可です。
この設定より、通信②と④はFWを経由しない、同じLAN上の通信を想定していることが分かります。従って、②よりWebサーバはRPサーバと同じDMZに、④よりDBサーバは監視サーバと同じ内部LAN上に配置するのが適切です。
以上より、Webサーバはサーバ群X、DBサーバはサーバ群Yであるため、「イ」が正解となります。

[答] イ

[設問2]

表2の項番2より、現状のフィルタリング設定では、任意の送信元からDBサーバへのアクセスを許可しており、セキュリティ上問題のある状態です。
販売支援システムで利用するDBサーバへのアクセスは[設問1]の解説で述べた通信③と④であり、このうちFWを経由する通信③Webサーバ → DBサーバのみを許可する設定にすべきです。従って、項番2の送信元をWebサーバに変更する「ウ」が適切です。

[答] ウ

[設問3]

情報セキュリティの3要素（CIA）

• 機密性（Confidentiality）：許可のある者だけが情報にアクセスでき、許可の無い者は使用・閲覧・変更ができないこと
• 完全性（Integrity）：情報が正確であり、改ざんされていないこと
• 可用性（Availability）：アクセス許可のある者が必要な時に確実に情報にアクセスできること

a) 機密性への対応としては、IDとパスワードによってアクセスした者の認証を行う(ⅴ)が適切です。

b) 完全性への対応としては、コンテンツが改ざんされていないことを定期確認する(ⅳ)が適切です。

c) 可用性への対応としては、Webサーバ2台でクラスタリング構成にして、1台が故障してもサービスが継続できるようにする(ⅲ)が適切です。

[答] a) オ　b) エ　c) ウ

上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。