メインコンテンツへ
セキュリティ

社内ネットワークとインターネットの境界に設置するファイアウォールのルール設計として、「社内からHTTPS(ポート443)の通信は許可、外部からの全インバウンド通信はデフォルト拒否」を実現する設定として最も適切なものはどれか。

ア.インバウンド全拒否のみ設定する。アウトバウンドにルールは不要
イ.アウトバウンド: 全通信を許可。インバウンド: ポート443の通信のみ許可、それ以外を拒否
ウ.DMZを設置し、全通信をDMZ経由に限定する
エ.アウトバウンド: 443番ポートへの通信を許可。インバウンド: 確立済みセッションの戻りパケット(ステートフル)を許可、それ以外を拒否正解

解説

ステートフルファイアウォールは「会話の流れを覚えている守衛」。社内から始めた会話の返答は自動的に通す。開始してない会話の進入はブロック!

なぜ エ が正解か

ステートフルパケットインスペクション型ファイアウォールの適切設定: ①アウトバウンド: 社内→外部のHTTPS(443)を明示的に許可。②インバウンド: 社内から開始したセッションの戻りパケット(established/related)は自動許可。外部から新規に開始された通信はデフォルト拒否。これで「社内発のHTTPS通信」のみ双方向で機能し、外部からの攻撃的な接続試行はブロックされる。

なぜ ア は間違いか

インバウンド全拒否だけでは社内から開始したHTTPS通信のレスポンスもブロックされ、Webブラウジングができなくなる。戻りパケットの許可が必須。

なぜ イ は間違いか

アウトバウンド全許可では不審なプロセスによる任意ポートへのデータ送出も許可してしまう。最小権限の原則に違反。また外部からポート443のインバウンドを許可することは、外部からの接続開始を許す設定であり要件に反する。

なぜ ウ は間違いか

DMZは外部公開サーバの設計パターンで有効だが、「社内からのHTTPS許可」という要件の直接回答ではない。

出典: AI生成問題(学習用)