平成26年度春期問40テクノロジ系

基本情報平成26年度春期問40：テクノロジ系に関する問題

1 台のファイアウォールによって, 外部セグメント, DMZ, 内部ネットワークの三つのセグメントに分割されたネットワークがある。このネットワークにおいて, Web サーバと, 重要なデータをもつ DB サーバから成るシステムを使って, 利用者向けのサービスをインターネットに公開する場合,.インターネットからの不正アクセスから重要なデータを保護するためのサーバの設置方法のうち, 最も適切なものはどれか。

aWeb サーバと DB サーバを DMZ に設置する。
bWeb サーバと DB サーバを内部ネットワークに設置する。
cWeb サーバを DMZ に, DB サーバを内部ネットワークに設置する。 Web サーバを外部セグメントに, DB サーバを DMZ に設置する。正答
dH さい

正答：CWeb サーバを DMZ に, DB サーバを内部ネットワークに設置する。 Web サーバを外部セグメントに, DB サーバを DMZ に設置する。

AI解説（初心者・標準・上級）

理解度に合わせて3レベルの解説を無料で読めます。

初心者向けまずはここから。やさしく要点を解説

答えは c です。

ネットワーク構成の基本:

外部セグメント＝インターネット側（無防備）
DMZ（非武装地帯）＝外からアクセスを許可する公開サーバ用の中間ゾーン
内部ネットワーク＝社内、外からは直接アクセス不可（一番安全）

大事なデータがあるDBサーバは一番安全な内部ネットワークに、外部からアクセスされるWebサーバはDMZに置く。これでDBサーバはインターネットから直接攻撃されません。

👉 覚え方：「重要データは奥に、公開サーバは中間に」。

標準試験対策の基準レベル

なぜこれが正解か

正解は c。3セグメント構成のセキュリティ原則:

外部セグメント: インターネット直結、無防備
DMZ（DeMilitarized Zone、非武装地帯）: 外部からアクセスを受ける公開サーバ用。FW経由でアクセス可
内部ネットワーク: 社内用、外部から直接アクセス不可。最高保護レベル

重要なDBサーバは内部ネットワークに配置し、外部から直接アクセスさせない。一方、ユーザー向けサービス提供のWebサーバはDMZに置き、内部のDBサーバとはFW経由で限定的に通信させる。これで多層防御が成立。

各選択肢の解説

a Web+DB両方DMZ：DBが外部から攻撃可能になりリスク大。
b Web+DB両方内部：Webが外部からアクセスできずサービス成立しない。
c Web→DMZ、DB→内部：多層防御の典型構成（正解）。
d Web→外部、DB→DMZ：Webが無防備、DBがDMZで外部攻撃にさらされる最悪構成。

覚え方・ひっかけ注意

「公開サーバ＝DMZ、データサーバ＝内部、外部は通さない」が鉄則。多層防御（Defense in Depth）の基本構成。FWで「外部→DMZ:80/443のみ許可、外部→内部:拒否、DMZ→内部:特定ポート（DB接続のみ）」と細かく制御する。最近はゼロトラスト・アーキテクチャ（ZTA）でセグメント境界に依存しない認証ベース制御も主流化。

上級誤答論破・背景理論まで深掘り

理論的背景

ネットワークセグメンテーションは多層防御（Defense in Depth）の中核手法。NIST SP 800-41「ファイアウォール・ファイアウォールポリシーガイドライン」、PCI DSS（カード業界規格）等で標準化。3層構成（インターネット/DMZ/内部）は最も古典的なネットワーク境界設計で、1980-90年代から運用されてきた。

設計原則:

最小権限の原則（Principle of Least Privilege）: 必要最小限の通信のみ許可
多層防御: 単一防御層の突破で全体が破られないよう複数層配置
デフォルト拒否: 明示許可以外は全て拒否
ホワイトリスト方式: 許可リスト管理、ブラックリストより安全

DMZ内のWebサーバが侵害されても、FW経由でDBサーバへの通信は特定のSQLポートのみで、攻撃の横展開（Lateral Movement）を制限できる。

実務での使われ方

現代のクラウドアーキテクチャでは:

AWS VPC: パブリックサブネット（DMZ相当、IGW経由）+ プライベートサブネット（内部相当、NAT Gateway経由）の組合せ
Azure Virtual Network: 同様の構成 + Network Security Group + Application Gateway（WAF統合）
GCP VPC: ファイアウォールルール + Cloud Armor（DDoS/WAF）

KubernetesではネットワークポリシーでPod間通信を制御し、サービスメッシュ（Istio、Linkerd）でmTLS通信を強制。

ゼロトラスト・アーキテクチャ（ZTA、NIST SP 800-207）は「Never Trust, Always Verify」原則で、ネットワーク境界に依存せず全通信に認証・認可・暗号化を強制。Google BeyondCorpが2014年に発表、現在は標準的アプローチに進化。SASE（Secure Access Service Edge）、SSE（Security Service Edge）として商品化（Zscaler、Cloudflare、Palo Alto Prisma等）。

試験での位置づけ

FE/AP/SC/NWで必出。①DMZ・内部・外部の役割、②多層防御、③ファイアウォールルール設計、④侵入検知/防御（IDS/IPS、WAF）、⑤VLAN・サブネット分離、⑥ゼロトラスト、が主要論点。本問のような基本構成識別は確実に押さえる。

選択肢の発展補足

DMZ外しの議論: クラウド/SaaS時代では多くの公開サーバがCDN/WAF配下に置かれ、自社DMZでホスティングする必要性が減少。AWSのALB+WAF+ECS構成では「DMZ」の概念が曖昧化。マイクロサービス・サーバレス（Lambda/Cloud Functions）では関数単位のIAM権限制御がセグメンテーションを代替。

コンテナセキュリティではPod間通信制御（NetworkPolicy）、SecurityContext（非root実行・read-onlyルートファイルシステム）、Image scanning（Trivy、Snyk）、Runtime protection（Falco）等の多層防御が重要。マイクロセグメンテーション（VMware NSX、Cisco ACI等のSDNで実現）はPod/VM粒度で通信制御し、東西通信（East-West Traffic）の攻撃を阻止。これらは古典的DMZ概念の現代的進化形であり、基本原理は変わらない。

出典・引用について

出典：IPA（情報処理推進機構）公式基本情報技術者試験平成26年度春期問40／公的機関配布資料につき出典明記の上引用。解説は合格ナビによる独自AI解説です。