こんにちは、フルスタックエンジニアのryuです。
今回の記事は、基本情報技術者試験の過去問解説です。データを保護するためのサーバの設置方法についての問題を解説します。社内ネットワークのサーバーを構築する場合は、外部からアクセスされる可能性のあるDMZにサーバーを設置しましょう。今回はDMZについて詳しく解説します。
※本ページには、プロモーション・アフィリエイトリンクが含まれています
データを保護するためのサーバの設置方法は?
今回の記事では、以下の問題について解説します。
1台のファイアウォールによって,外部セグメント,DMZ,内部セグメントの三つのセグメントに分割されたネットワークがあり,このネットワークにおいて,Webサーバと,重要なデータをもつデータベースサーバから成るシステムを使って,利用者向けのWebサービスをインターネットに公開する。インターネットからの不正アクセスから重要なデータを保護するためのサーバの設置方法のうち,最も適切なものはどれか。ここで,Webサーバでは,データベースサーバのフロントエンド処理を行い,ファイアウォールでは,外部セグメントとDMZとの間,及びDMZと内部セグメントとの間の通信は特定のプロトコルだけを許可し,外部セグメントと内部セグメントとの間の直接の通信は許可しないものとする。
ア:WebサーバとデータベースサーバをDMZに設置する。
イ:Webサーバとデータベースサーバを内部セグメントに設置する。
ウ:WebサーバをDMZに,データベースサーバを内部セグメントに設置する。
エ:Webサーバを外部セグメントに,データベースサーバをDMZに設置する。
基本情報技術者 H29春期 問43
答えは、『ウ』の「WebサーバをDMZに,データベースサーバを内部セグメントに設置する。」です。
今回の記事では、DMZや内部セグメントなどについて詳しく解説します。
DMZとは?
DMZとは、インターネットに接続されたネットワークで外部や内部のネットワークからアクセスされる中間のネットワークのことです。さらに詳しく解説していきます。
FWでアクセス制限された区間
DMZを理解するためには、以下の3つについて理解する必要があります。
- FW(ファイアーウォール)
- 内部セグメント(内部ネットワーク)
- 外部ネットワーク(外部ネットワーク)
まず、FWとはアクセス制限をするためのネットワーク機器です。指定した通信をブロックすることができます。
内部・外部セグメントとは、ネットワークの種類です。内部セグメントとは社内などの限られた範囲内のネットワークで、外部はインターネットにアクセスできるネットワークのことです。
そして、DMZとは外部と内部の中間地点のことです。FWを使用して限られた通信のみアクセス可能にしています。以下のような構成です。
各領域の役割
先ほどまで、DMZ、内部・外部セグメントについて説明しました。ではそれぞれの領域にはどのような役割があるのでしょうか?まとめると以下のようになります。
- 内部→外部からアクセスされない重要なデータを保管
- DMZ→外部に公開するWebサーバなどを設置
- 外部→インターネットから直接アクセス可能なためサーバー等は設置しない
まず、内部セグメントについて。内部セグメントは、外部からアクセスされないようにFWで制限を掛けます。そのため、重要なデータは内部セグメントに設置します。例えば、DBや社内用の共有ファイルサーバー等です。外部に漏洩したらまずいものは内部セグメントに設置します。
DMZはインターネットや内部からアクセス可能な部分です。Webサーバーやメールサーバー等を設置します。この場合、FWではWebやメールの通信のみ許可し、DMZには最低限のアクセスしかできないようにします。
外部セグメントは、インターネットから直接アクセスされるので、基本的にはサーバー等は設置しません。
基本情報過去問解説まとめ
今回の記事では、以下の問題について解説しました。
1台のファイアウォールによって,外部セグメント,DMZ,内部セグメントの三つのセグメントに分割されたネットワークがあり,このネットワークにおいて,Webサーバと,重要なデータをもつデータベースサーバから成るシステムを使って,利用者向けのWebサービスをインターネットに公開する。インターネットからの不正アクセスから重要なデータを保護するためのサーバの設置方法のうち,最も適切なものはどれか。ここで,Webサーバでは,データベースサーバのフロントエンド処理を行い,ファイアウォールでは,外部セグメントとDMZとの間,及びDMZと内部セグメントとの間の通信は特定のプロトコルだけを許可し,外部セグメントと内部セグメントとの間の直接の通信は許可しないものとする。
ア:WebサーバとデータベースサーバをDMZに設置する。
イ:Webサーバとデータベースサーバを内部セグメントに設置する。
ウ:WebサーバをDMZに,データベースサーバを内部セグメントに設置する。
エ:Webサーバを外部セグメントに,データベースサーバをDMZに設置する。
基本情報技術者 H29春期 問43
答えは、『ウ』でした。その他の選択肢の解説については以下の通り。
- ア、エ→データベースをDMZに設置すると、インターネットからアクセスされる可能性があります。
- ウ→Webサーバーはインターネットに公開するためDMZに設置する必要があります。
以上で解説を終わります。当ブログでは、このようなネットワークに関する内容や基本情報技術者試験の過去問解説をしているので興味のある方は引き続きご覧ください。
