「ファイアウォール」とは
IPアドレとポート番号でパケットフィルタリング。
パケットのIPアドレスなどを参照して安全なものだけ通過させる。
インターネットなどの外部ネットワークと内部ネットワーク及びDMZの間に位置し、
パケットのヘッダにある送信側と受信側のIPアドレスとポート番号(サービス)を確認して、
遮断と許可をする装置のこと。
DMZとは:Webサーバなど外部からアクセスされる(公開している)サーバを置くこと
内部セグメントとは:データベースなど重要なサーバを置く
「プロキシサーバ」とは
外部のサーバへの中継、内部のIPアドレスの隠蔽
インターネット上のサーバに内部の機器から直接アクセスさせないで、外部にアクセスする際の中継サーバのこと。
この方法によって、プロキシサーバのIPアドレスだけが外部に判明するため、
安全性が高まる。
また、プロキシサーバには、一度アクセスしたWebコンテンツをキャッシュする機能もある。
「NAT/NAPT(IPマスカレード)」とは
内部でしか使えないプライベートIPアドレスと
外部で使うグローバルIPアドレスの変換
複数のプライベートIPアドレスに対して1つのグローバルIPアドレスで対応する。
「IDS/IPS」とは
侵入検知/防止システム
・IDS:外部から社内のネットワークに対して行われる不正侵入などの攻撃を検知し、管理者に警告を発する。
・IPS:IDSの機能を持つとともに、攻撃を検知するとファイアウォールに指示を送信して攻撃元からのアクセスを遮断したり、サーバを停止させたりすることで、被害を出さないよう防御する。
ネットワーク型(NIDS):社内LANなどのネットワークに設置され、ネットワーク全体に対する攻撃を検知できる。(例:DoS攻撃)
ホスト型(HIDS):サーバなどの機器にインストールされ、その機器だけに対する攻撃を検知できる(例:サーバ上のデータの改ざん)
「DLP」とは
秘密情報を判別し、秘密情報の漏えいにつながる操作に対して警告を発令したり、その操作を自動的に無効化させたりするシステムのこと。
「1台のファイアウォールによって、
・外部セグメント
・DMZ
・内部セグメント
の3つのセグメントに分割されたネットワークがある。
このネットワークにおいて、Webサーバと、重要なデータを持つサーバを持つデータベースサーバからなるシステムを使って、
利用者向けのサービスをインターネットに公開する場合、
インターネットからの不正アクセスから重要なデータを保護するための
サーバ設置方法のうち、最も適切なものは?」
(ここで、ファイアウォールでは、外部セグメントとDMZとの間および
DMZと内部セグメントとの間の通信は
特定のプロトコルだけを許可し、外部セグメントと内部セグメントとの間の直接の通信は許可しないものとする。)
答え:
WebサーバをDMZに、
データベースサーバを内部セグメントに設置する。
<理由>
・Webサーバが攻撃されても、直接データベースサーバにアクセスされるリスクを減らせる。
・ファイアウォールで制御しながら、Webサーバがデータベースとやりとりできるようにする。
・内部セグメントを保護し、機密データが外部から直接取得されないようにする。
「インターネットに接続された利用者のPCから、DMZ上の公開Webサイトにアクセスし、
利用者の個人情報を入力すると、その個人情報が内部ネットワークのデータベースサーバに蓄積されるシステムがある。
このシステムにおいて、利用者個人のディジタル証明書を用いたTLS通信を行うことによって期待できるセキュリティ上の効果はどれか?」
答え:
「PCとWebサーバ間の通信データを暗号化するとともに、利用者を認証することができるようになる。」
利用者のディジタル証明書を用いたTLS通信(クライアント証明書認証)では、PC(利用者)とWebサーバの間で通信を暗号化し、利用者の証明書によって本人確認を行う ことができます。そのため、この選択肢が最も適切です。
<誤り>
「PCとDBサーバ間の通信データを暗号化するとともに、正当なDBサーバであるかを検証することができるようになる。」
PCとDBサーバが直接通信するのではなく、PCはWebサーバ経由でDBサーバと間接的にやりとりする。
クライアント証明書を用いたTLS通信は、PCとWebサーバの間で行われるため、DBサーバの正当性確認には直接関係しない。
「PCとDBサーバ間の通信データを暗号化するとともに、利用者を認証することができるようになる。」
上と同様に、PCがDBサーバと直接通信するわけではないため、PCとDBサーバ間の通信の暗号化や認証には直接関与しない。
「PCとWebサーバ間の通信データを暗号化するとともに、正当なDBサーバであるかを検証することができるようになる。」
TLS通信はPCとWebサーバ間で行われるため、DBサーバの正当性を直接検証するものではない。
WebサーバとDBサーバ間の通信は別途暗号化(例: TLSやVPN、SSHトンネルなど)する必要がある。
「パケットフィルタリング型ファイアウォールが、通信パケットの通過を許可するかどうかを判断するときに用いるものはどれか?」
パケットフィルタリング型ファイアウォールは、パケットのヘッダ情報をもとに通信の許可・拒否を判断する シンプルなファイアウォールの方式です。
具体的にチェックする主な情報は以下の通りです:
• 送信元IPアドレス(例: 192.168.1.1 からの通信を許可/拒否)
• 宛先IPアドレス(例: 203.0.113.1 への通信を許可/拒否)
• 送信元ポート番号(例: 1024以上の動的ポートからの通信を許可)
• 宛先ポート番号(例: 80番(HTTP)や443番(HTTPS)のみ許可)
• 通信プロトコル(例: TCP、UDP、ICMP など)
「パケットフィルタリング型ファイアウォールのフィルタリングルールを用いて、本来必要なサービスに影響を及ぼすことなく防げるものはどれか?」
答え:
「外部に公開しないサーバへのアクセス」
パケットフィルタリング型ファイアウォールは、特定のIPアドレスやポートを許可・拒否するルールを設定できるため、外部から内部のサーバへのアクセスをブロックするのに適しています。
<誤り>
「サーバで動作するソフトウェアの脆弱性を突く攻撃」
→ パケットフィルタリングだけでは防げない
WAF(Web Application Firewall)やIPS(侵入防止システム)を導入する必要がある。
「電子メールに添付されたファイルに含まれるマクロウイルスの侵入」
→ パケットフィルタリングでは防げない
メールゲートウェイのウイルススキャンやエンドポイントのウイルス対策ソフトが必要。
「不特定多数のIoT機器から大量のHTTPリクエストを送りつけるDoS攻撃」
→ パケットフィルタリングだけでは不十分
DDoS対策サービス(CDNやWAFの導入)、レートリミット(特定のIPアドレスからの過剰なリクエストを制限する)を実施する必要がある。
「社内ネットワークからインターネットへのアクセスを中断し、Webコンテンツをキャッシュすることによってアクセスを高速にする仕組みで、
セキュリティの確保にも利用されるものはどれか?」
答え:
プロキシ
<誤り>
<ファイアウォール>
目的: ネットワークの境界で通信を制御し、不正なアクセスを防ぐ。
できること:
・パケットのフィルタリング(IPアドレス、ポート番号、プロトコル単位の通信制御)
・外部からの不正アクセスをブロック
・内部ネットワークからの不要な通信を制限
できないこと:
Webコンテンツのキャッシュは行わない(通信を中継・高速化する役割ではない)
セキュリティには貢献するが、キャッシュによる高速化の機能はないため、不適切。
<DMZ(非武装地帯、Demilitarized Zone)>
目的: インターネットに公開するサーバ(Webサーバ、メールサーバなど)を配置し、内部ネットワークを直接公開しないようにする。
できること:
• 外部(インターネット)と内部ネットワークの間に隔離されたゾーンを作り、攻撃リスクを低減
• 企業のWebサイトやメールサーバをDMZ内に配置し、内部ネットワークを保護
できないこと:
• Webコンテンツのキャッシュやアクセスの高速化はしない。
セキュリティ強化のための仕組みだが、キャッシュによる高速化の機能はないため、不適切。
<IPマスカレード(NAPT、NAT)>
目的: プライベートIPアドレスを持つ内部ネットワークの端末が、グローバルIPアドレスを共有してインターネットにアクセスできるようにする。
できること:
• 内部のプライベートIPアドレスを外部に隠し、セキュリティ向上
• 1つのグローバルIPアドレスで複数の端末がインターネットにアクセス可能
できないこと:
• Webコンテンツのキャッシュは行わない。
• 攻撃や不要な通信のフィルタリングはしない。(ファイアウォールと組み合わせることが多い)
ネットワークアドレスの変換機能であり、キャッシュによる高速化やセキュリティ強化の役割を持たないため、不適切。
「IPv4において、インターネット接続用ルータのNAT機能の説明として、適切なものは?」
答え:「プライベートIPアドレスを持つ内部ネットワークの端末が、インターネットにアクセスする際に、グローバルIPアドレスに変換する機能は?」
「IDSの機能はどれか?」
答え:
サーバやネットワークを監視し、セキュリティポリシを侵害するような挙動を検知した場合に管理者へ通知する。
<誤り>
「PCにインストールされているソフトウェア製品が最新のバージョンであるかどうかを確認する。」
IDSは攻撃を検知するシステムであり、パッチの適用状況を確認することは直接関係ありません。
「検査対象の製品にテストデータを送り、製品の応答や挙動から脆弱性を検出する。」
IDSはリアルタイムの攻撃や不正アクセスの兆候を監視しますが、テストデータを送りつけて脆弱性を調査することは、IDSの基本的な機能ではありません。
「情報システムの運用管理状況などの情報セキュリティ対策状況と企業情報を入力し、組織の情報セキュリティへの取組状況を自己判断する。」
これは、セキュリティアセスメントや自己診断の手法であり、組織のセキュリティ対策状況を評価し、自己判断で情報セキュリティの状態を確認するプロセスです。通常、ISMS監査などで行われます。
IDSはリアルタイムでネットワークやシステムの不正アクセスを監視し、警告を発するため、運用管理状況の自己判断は、IDSの機能には該当しません。
「NIDS(ネットワーク型IDS)を導入する目的はどれか?」
答え:
「管理下のネットワークへの侵入の試みを検知し、管理者に通知する。」
<誤り>
「実際にネットワークを介してWebサイトを攻撃し、侵入できるかどうかを検査する。」
これは、ペネトレーションテスト(侵入テスト)に該当します。攻撃者の視点で実際に攻撃を仕掛け、システムの脆弱性を検証する手法です。
NIDSとの関係: NIDSは、攻撃を検出するシステムであり、攻撃そのものを仕掛けることはありません。攻撃が行われた後にその兆候を監視し、警告を発するのがNIDSの役割です。
「ネットワークからの攻撃が防御できない時の損害の大きさを安定する。」
これは、リスクアセスメントやビジネスインパクト分析の一環です。攻撃が成功した場合の損害や影響を評価し、そのリスクを分析するものです。ネットワークの脆弱性とそれによる潜在的な損害を評価します。
NIDSはネットワーク上の攻撃を検出することに特化しており、攻撃のリスクや損害評価を行うものではありません。その目的は、攻撃をリアルタイムで監視し、通知することです。
「ネットワークに接続されたサーバに格納されているファイルが改ざんされたかどうかを判定する。」
これは、ファイルの整合性チェックや改ざん検出に関するものです。サーバに保存されたファイルが、改ざんされていないかを確認することは、システムの監査やセキュリティ対策の一環です。
NIDSはネットワーク上での侵入や攻撃を監視しますが、ファイルの改ざんに特化しているわけではありません。ファイルの改ざん検出は、ホスト型IDS(HIDS)やファイル監査ツールの役割です。
続きはネットワークセキュリティについて②で。