ファイアウォールの誤った変更を防ぐための改善策|科目B情報セキュリティを解くための重要用語
2025-05-21 更新
この連載は、基本情報技術者試験の受験者を対象としたものです。
毎回1問ずつ、科目Bの情報セキュリティの問題を取り上げて、問題の中にある用語の意味と、問題の解き方を説明します。
用語の意味がわかれば、科目Bの情報セキュリティの問題は、それほど難しくないということを知ってください。
問題
今回の問題は、ファイアウォールの誤った変更を防ぐための改善策がテーマです。
以下に問題を示しますので、本文、設問、選択肢に、ざっと目を通してください。
後で用語の意味を説明してから、再度問題を見ていただきますので、今はざっとでOKです。
問題(出典:2022年12月公開サンプル問題セット問20)
A社は栄養補助食品を扱う従業員500 名の企業である。
A社のサーバ及びファイアウォール(以下,FW という)を含む情報システムの運用は情報システム部が担当している。
ある日,内部監査部の監査があり,FW の運用状況について情報システム部のB部長が図1のとおり説明したところ,表1に示す指摘を受けた。
B部長は表1の指摘に対する改善策を検討することにした。
【設問】
表1中の指摘1について,FWルールの誤った変更を防ぐための改善策はどれか。
解答群のうち,最も適切なものを選べ。
【解答群】
ア Endpoint Detection and Response(EDR)をコンソールに導入し,監視を強化する。
イ FWでの運用担当者のログインにはパスワード認証の代わりに多要素認証を導入する。
ウ FWのアクセス制御機能を使って,運用担当者をコンソールからログインできる者,リモートからログインできる者に分ける。
エ FWの運用担当者を1人に限定する。
オ 運用担当者の一部を操作ログの確認だけをする者とし,それらの者には操作ログの確認権限だけを付与する。
カ 運用担当者を,FWルールの編集を行う者,操作ログを確認し,操作承認をする者に分け,それぞれに必要最小限の権限を付与する。
キ 作業を行う運用担当者を,曜日ごとに割り当てる。
問題の中にある用語の意味
以下に、今回の問題の中にある重要な用語の意味を示します。
ここでは、用語の一般的な意味だけでなく、その用語から問題を読み取るポイントも示しています。
用語の意味がわかったら、もう一度問題を読み直してください。きっとスラスラと理解できるはずです。
ファイアウォール
意味「ファイアウォール(firewall=防火壁)」は、外部から自社ネットワークに入ってくるデータと、自社ネットワークから外部に出ていくデータの宛先と差出人を確認し、許可されているデータだけを通過させるシステムです。この問題では、A社のファイアウォールの運用状況に、セキュリティ上の問題があることがテーマになっています。
ファイアウォールのルール
意味「ファイアウォールのルール」とは、外部と自社ネットワークの間で、データの通過を許可するか禁止するかを取り決めたものです。この問題では、ファイアウォールの運用において、ルールの編集、操作ログの確認、ルールの確認および操作の認証、という業務があります。
ファイアウォールのアクセス制御機能
意味「ファイアウォールのアクセス制御機能」は、ファイアウォールが、ルールに従ってデータの通過を許可および禁止する機能です。
操作ログ
意味「操作ログ(log=記録)」とは、システムを利用した記録のことです。多くの場合に、いつ、だれが、どのような操作をしたたが記録されます。この問題では、ファイアウォールのルールの編集などが、操作ログとして記録されます。
ネットワークを経由せずコンソールでログイン
意味「ネットワークを経由せずコンソールでログイン」とは、コンピュータに直接接続されているキーボードとディスプレイを使ってログインすることです。「コンソール(console=操作卓)」とは、コンピュータを操作する装置(キーボードとディスプレイ)のことです。この問題では、ファイウォールの運用において、利用者IDごとにコンソールとリモートのどちらでログインできるかが設定でき、どちらログインしても、同一の機能を利用できます。
ネットワークを経由してリモートからログイン
意味「ネットワークを経由してリモートからログイン」とは、コンピュータに直接接続されているコンソールではなく、ネットワーク経由でログインすることです。この問題における注目点は、【操作ログ】で説明したことと同様です。
Endpoint Detection and Response(EDR)
意味「Endpoint Detection and Response(末端の検知と対応)」は、エンドポイント(ネットワークの末端に位置するサーバやPCなど)において、セキュリティの問題を検知して対応することです。この問題では、ファイアウォールの操作ログを使って検知と対応を行うことがEDRに該当します。
多要素認証
意味「多要素認証」は、パスワードだけでなく、生体認証やICカードなど、2つ以上の要素を使って本人の認証を行うことです。この問題では、ファイアウォールのログインにパスワードを使うとだけあるので、多要素認証は使われていません。
問題の解き方
内部監査部からの指摘は「FWの運用の作業の中で、職務が適切に分離されていない」です(FWはファイアウォールの略称)。
設問では「FWルールの誤った変更を防ぐための改善策」として最も適切なものを選択肢から選びます。
問題の図1に示された「FWの運用状況」の中で、職務が適切に分離されていないことが原因で、FWルールの誤った変更が生じることに関する記述は、「FWの機能には、FWルールの編集、操作ログの確認、及び操作承認の三つがある」および「現在は、6名の運用担当者とも全権限を付与されており、運用担当者はFWのルールの編集後、編集を行った運用担当者が操作に誤りがないことを確認し、操作承認をしている」です。
6名の運用担当者全員が、FWルールの編集、操作ログの確認、操作承認の全権限を持つので、同じ運用担当者が、自分で編集したFWルールを確認して承認するということもできてしまい、誤った変更が生じる可能性があります。
選択肢の中で、この問題の対策となるのは、選択肢カの「運用担当者を、FWルールの編集を行う者、操作ログを確認し、操作承認をする者に分け、それぞれに必要最小限の権限を付与する」です。
したがって、正解は、選択肢カです。
【正解】
選択肢カ
もしも、今回の問題を見て「自分には用語の知識が不足している」と感じたなら、科目Bの問題だけでなく、科目A(および旧制度の午前試験)の問題も練習することをお勧めします。
科目Aの問題の多くは、用語の意味をテーマにしているので、知識の補充ができるからです。
情報セキュリティの分野だけでなく、それに関連するネットワークやシステム構成要素の分野の問題も練習してください。
この連載は、今回で最終回です。
これまで記事をお読みいただきました皆様に、この場をお借りして、厚く御礼申し上げます。
それでは、またどこかでお会いしましょう!
label 関連タグ免除試験を受けた 74.9% の方が、科目A免除資格を得ています。
※独習ゼミは、受験ナビ運営のSEプラスによる試験対策eラーニングです。
『プログラムはなぜ動くのか』(日経BP)が大ベストセラー
IT技術を楽しく・分かりやすく教える“自称ソフトウェア芸人”
大手電気メーカーでPCの製造、ソフトハウスでプログラマを経験。独立後、現在はアプリケーションの開発と販売に従事。その傍ら、書籍・雑誌の執筆、またセミナー講師として活躍。軽快な口調で、知識0ベースのITエンジニアや一般書店フェアなどの一般的なPCユーザの講習ではダントツの評価。
お客様の満足を何よりも大切にし、わかりやすい、のせるのが上手い自称ソフトウェア芸人。
主な著作物
- 「プログラムはなぜ動くのか」(日経BP)
- 「コンピュータはなぜ動くのか」(日経BP)
- 「出るとこだけ! 基本情報技術者」 (翔泳社)
- 「ベテランが丁寧に教えてくれる ハードウェアの知識と実務」(翔泳社)
- 「ifとelseの思考術」(ソフトバンククリエイティブ) など多数
