テクノロジ編 PR

【応用情報】ネットワークセキュリティの基本であるファイアウォールとDMZを解説

記事内に商品プロモーションを含む場合があります

この記事では応用情報で出題されるネットワークセキュリティについてIT初心者にも分かりやすく解説します。

ファイアウォール

  • ファイアウォールとはLANとインターネットの間に壁を作り、不正なアクセスを内部に入れない、外部に情報を漏えいさせない機能を実現する

プロキシサーバ

  • プロキシサーバは社内LANとインターネットの間に入り、代わりにやり取りをするサーバ
  • フォワードプロキシサーバは社内LANからインターネットにアクセスする場合に、代わりにインターネットとやり取りするサーバ。単にプロキシサーバと言う場合はフォワードプロキシサーバを指す。
  • リバースプロキシサーバはインターネットから社内LANにアクセスする場合に、代わりに社内のコンピュータとやり取りするサーバ

パケットフィルタリング型ファイアウォール

  • パケットのヘッダ情報である「送信元・宛先のIPアドレス」と「宛先のポート番号」等を確認して社内LANに通して良いかどうか判断するファイアウォール

WAF

  • WAFはWebアプリケーションの脆弱性を突いた攻撃からWebサーバを守るためのファイアウォール
  • パケットの中身を見てWebサーバに通して良いかどうか判断するファイアウォール

DMZ

  • DMZは社内LANとインターネットの間に構築するネットワーク
  • 不特定多数に公開するWebサーバやMailサーバをDMZに配置する。DMZに配置したサーバが不正アクセスされても、社内LANと隔離されているため、社内LANを守ることが出来る
  • DMZに配置したサーバでインターネットにアクセスし、社内LANのコンピュータにデスクトップ画像だけを送る仕組みをVDIと呼ぶ

応用情報ではネットワークセキュリティに関する問題が出題されます。是非最後までご覧ください。

ネットワークセキュリティの基本-ファイアウォール

ネットワーク上のセキュリティ対策の基本は外部と内部の間に壁を作ることです。
認められたデータやしか内側に入れない、外側に意図せずデータを漏らさない壁が重要になります。このような壁をファイアウォールと呼びます。ファイアウォールはあくまでも機能のことです。

プロキシサーバ

プロキシサーバはインターネットとのやり取りを代わりにしてくれるサーバです
プロキシサーバが存在するおかげでLAN内のコンピュータはインターネット上のコンピュータとやり取りする必要が無くなります。

プロキシサーバにはフォワードプロキシサーバリバースプロキシサーバがあります。
フォワードプロキシサーバは単純に「プロキシサーバ」と略すことがあります。どちらのプロキシサーバもLANとインターネットの間の壁の役割を果たします。

フォワードプロキシサーバはLAN内のコンピュータのリクエストに対して、代わりに外部のインターネットとやり取りしてあげるサーバです

逆に外部のインターネットに存在するコンピュータがLAN内のコンピュータとやり取りしたい場合に使うのがリバースプロキシサーバです
例えば、Webサイトを運営しておりWebサーバを持っている企業があるとしましょう。このWebサーバに外部のサービス利用者がアクセスしてきた時に、サービス利用者の代わりにLAN内のWebサーバとやり取りします。

パケットフィルタリング型ファイアウォール

パケットフィルタリング型ファイアウォールは、パケットのヘッダ情報である「送信元・宛先のIPアドレス」と「宛先のポート番号」等を確認して、通して良いかどうかを判定します。つまり、「誰が誰に」対して「どういう目的で」送られたデータなのかを確認するということです。

パケットフィルタリング型ファイアウォールでは、基本的に全てのパケットをNGにしておいて、例外的に通過を認めるIPアドレスやポート番号を設定します。

WAF(Web Application Firewall)

WAFはWeb Application Firewallの略で、Webアプリケーションの脆弱性を突いた攻撃を防ぐためのファイアウォールです。パケットフィルタリング型ファイアウォールはパケットのヘッダ情報で判定しましたが、WAFはパケットの中身で判定します。
Webアプリケーションとは、ChromeやEdge等のWebブラウザを介してサービスを提供するアプリで、例えば、Youtubeやネットバンキング、ECサイト等がそれに当たります。

WAFはWebアプリケーションの脆弱性を突いた攻撃に対策する技術なので、守るものは当然Webサーバになります。

DMZ

社外の不特定多数の人に向けてサービスを提供するために、WebサーバやMailサーバを外部に公開する必要があるケースもあります。
このような場合、LANとインターネットの間にDMZと呼ばれるネットワークを構築し、DMZに公開用のサーバを置きます。DMZはLANと隔離されているため、公開用サーバが不正にアクセスされたとしてもLANに被害は及びません。

VDI

DMZを活用する技術にVDIがあります。
VDIは(Virtual Desktop Infrastructure)の略で、インターネットと接続するサーバをDMZ上に配置し、デスクトップに移す画面だけをLAN内のコンピュータに渡す技術です。インターネットとやり取りをするのはDMZ上のサーバで、LAN内のコンピュータはやり取りした結果の画面だけなので、仮にサーバがウィルスに感染してもLAN内のコンピュータには影響がありません。

応用情報技術者試験での出題例

令和6年度春期問41、令和4年度秋期問42

応用情報技術者
午前試験 
令和6年度春期問41、令和4年度秋期問42

WAFによる防御が有効な攻撃として,最も適切なものはどれか。

ア DNSサーバに対するDNSキャッシュポイズニング
イ REST APIサービスに対するAPIの脆弱性を狙った攻撃
ウ SMTPサーバの第三者不正中継の脆弱性を悪用したフィッシングメールの配信
エ 電子メールサービスに対する大量,かつ,サイズの大きな電子メールの配信

正解と解説

正解は”イ”

WAFはWebアプリケーションの脆弱性を突いた攻撃からWebサーバを守る仕組みです。

ア DNSサーバに対する攻撃のためWAFの対象外です。
イ Webサーバに対する攻撃のため正解です。
ウ SMTPサーバに対する攻撃のためWAFの対象外です。
エ メールサーバに対する攻撃のためWAFの対象外です。

REST APIサービスを知らなくても、他の3つがWebサーバと関係無いため、消去法で答えがイと分かります。

ちなみに、REST APIとは、HTTP/HTTPSを使ってアプリケーションと他のアプリケーションが情報をやり取りする仕組みです。

令和4年度春期問41

応用情報技術者
午前試験 
令和4年度春期問41

クライアント証明書で利用者を認証するリバースプロキシサーバを用いて,複数のWebサーバにシングルサインオンを行うシステムがある。このシステムに関する記述のうち,適切なものはどれか。

ア クライアント証明書を利用者のPCに送信するのは,Webサーバではなく,リバースプロキシサーバである。

イ クライアント証明書を利用者のPCに送信するのは,リバースプロキシサーバではなく,Webサーバである。

ウ 利用者IDなどの情報をWebサーバに送信するのは,リバースプロキシサーバではなく,利用者のPCである。

エ 利用者IDなどの情報をWebサーバに送信するのは,利用者のPCではなく,リバースプロキシサーバである。

正解と解説

正解は”エ”

リバースプロキシサーバはインターネット上の利用者PCが社内のコンピュータに送信したい場合、利用者PCの代わりに情報を送信します。よって答えはエです。

令和4年度春期問44

応用情報技術者
午前試験 
令和4年度春期問44

内部ネットワークのPCからインターネット上のWebサイトを参照するときに,DMZに設置したVDI(Virtual Desktop Infrastructure)サーバ上のWebブラウザを利用すると,未知のマルウェアがPCにダウンロードされるのを防ぐというセキュリティ上の効果が期待できる。この効果を生み出すVDIサーバの動作の特徴はどれか。

ア Webサイトからの受信データを受信処理した後,IPsecでカプセル化し,PCに送信する。

イ Webサイトからの受信データを受信処理した後,実行ファイルを削除し,その他のデータをPCに送信する。

ウ Webサイトからの受信データを受信処理した後,生成したデスクトップ画面の画像データだけをPCに送信する。

エ Webサイトからの受信データを受信処理した後,不正なコード例が検知されない場合だけPCに送信する。

正解と解説

正解は”ウ”

VDIではWebサイトからデータを受信した後、デスクトップ画面だけをPCに送信します。よって答えはウです。

令和3年度秋期問45

応用情報技術者
午前試験 
令和3年度秋期問45

化学製品を製造する化学プラントに,情報ネットワークと制御ネットワークがある。この二つのネットワークを接続し,その境界に,制御ネットワークのセキュリティを高めるためにDMZを構築し,制御ネットワーク内の機器のうち,情報ネットワークとの通信が必要なものをこのDMZに移した。DMZに移した機器はどれか。

ア 温度,流量,圧力などを計測するセンサ
イ コントローラからの測定値を監視し,設定値(目標値)を入力する操作端末
ウ センサからの測定値が設定値に一致するように調整するコントローラ
エ 定期的にソフトウェアをアップデートする機器に対して,情報ネットワークから入手したアップデートソフトウェアを提供するパッチ管理サーバ

正解と解説

正解は”エ”

選択肢の中で情報ネットワークと通信が必要なものはエのみです。
よって、答えはエです。