基本情報技術者試験「リバースプロキシ」の問題
F社は複数の公開Webサーバを運用しており、各サーバを直接インターネットに晒したくない。外部からの接続を一箇所で受けてサーバ群へ振り分けつつ、各サーバの実体を外部から隠したい。導入する仕組みとして最も適切なものはどれか。
ア各公開Web機にグローバルIPを個別付与し、外部の利用者がサーバへ直接届く構成にする。
イ外部との境界に代理機器を一台立て、着信を一括受信して背後のサーバ群へ転送する構成にする。
ウ社内端末の外向き通信を代理機器へ集約し、宛先を照合して許可先以外を落とす構成にする。
エ各公開Web機のログインに複数の認証要素を課し、なりすましによる不正ログインを防ぐ構成にする。
正解
イ.外部との境界に代理機器を一台立て、着信を一括受信して背後のサーバ群へ転送する構成にする。
外部との境界に代理機器を一台立て、着信を一括受信して背後のサーバ群へ転送する構成はリバースプロキシにあたる。外部からは代理しか見えないため実サーバの構成を隠蔽でき、防御や監視を窓口に集約して攻撃面を絞れる。
?選択肢ごとの解説
ア ×各Web機へグローバルIPを個別付与し直接届かせると全サーバが個別に外部へ晒され、攻撃面が広がり実体を隠す要件に反する。
イ ○外部との境界に代理機器を一台立て、着信を一括受信して背後のサーバ群へ転送する構成はリバースプロキシにあたる。外部からは代理しか見えないため実サーバの構成を隠蔽でき、防御や監視を窓口に集約して攻撃面を絞れる。
ウ ×社内端末の外向き通信を集約するのはフォワードプロキシ(出口制御)で、外部からの着信を受けて振り分ける本要件とは向きが逆である。
エ ×複数要素の認証は認証強化策であり、外部接続の集約受信や実サーバの隠蔽というネットワーク構成上の目的を満たさない。
✎くわしく
リバースプロキシは『外部→内部』の入口を代理し、(1)実サーバの隠蔽、(2)負荷分散、(3)TLS終端やWAF機能の集約といった役割を担う。窓口を一本化することで防御点を絞り、内部構成を秘匿できる点が設計上の利点である。
✓本番での押さえどころ
試験のコツ
『外部接続を集約・実サーバを隠蔽・振り分け』はリバースプロキシ。出口制御のフォワードと向きで区別する。
覚え方
リバースは『受付嬢が来客を取り次ぐ』。奥にいる担当者(実サーバ)の存在は来客から見えない。
よくある誤り
フォワードプロキシ(出口・内部端末の外向き制御)と役割を取り違える。本問は外部からの着信を代理する入口側でリバースが正しい。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0090