はじめに
基本情報技術者試験の過去問(令和4年 問39)を解きながら理解したことをまとめる。
DMZとは
「信頼できる場所と信頼できない場所を、安全に接続するにはどうすればよいか」という問いから出発する。
情報ネットワークと制御ネットワークの間に、外部と必ず通信しなければならない機器だけを移す。
コア機器は奥深くにそのまま置く。
必要な通信のみを許可する → セキュリティと利便性の両方を得られる。
配置を分ける基準
- 外部の不特定多数に直接公開する必要があるか?
- 「危険だから」は配置の基準ではない。
過去問で確認(第2問)
問題:ある企業のネットワークを、インターネット / DMZ / 社内LAN の三つのセグメントに分割した。次のサーバのうち、DMZに配置するのが最も適切なものはどれか。
(以下、選択肢)
ア 社員だけが利用する、社内文書を保管するファイルサーバ
イ インターネット上の利用者に公開するWebサーバ
ウ 顧客の個人情報を格納したデータベースサーバ
エ 社内の従業員情報を管理する人事システムサーバ
正解:イ
理由:「不特定多数の外部ユーザーに直接公開すべきか?」という明確な基準があるから。
- ステップ1 ― 各サーバが「誰を相手にするか」を書く。
- ステップ2 ― 「外部に直接公開しなければならないか?」で分ける。
- ステップ3 ― 「侵害されると危険か」は配置の基準ではない。
学んだこと
DMZには、両方と通信する必要がある機器だけを置く。