情報セキュリティ

基本情報技術者試験リバースプロキシ」の問題

情報セキュリティ情報セキュリティ難易度:normal
F社は複数の公開Webサーバを運用しており、各サーバを直接インターネットに晒したくない。外部からの接続を一箇所で受けてサーバ群へ振り分けつつ、各サーバの実体を外部から隠したい。導入する仕組みとして最も適切なものはどれか。
各公開Web機にグローバルIPを個別付与し、外部の利用者がサーバへ直接届く構成にする。
外部との境界に代理機器を一台立て、着信を一括受信して背後のサーバ群へ転送する構成にする。
社内端末の外向き通信を代理機器へ集約し、宛先を照合して許可先以外を落とす構成にする。
各公開Web機のログインに複数の認証要素を課し、なりすましによる不正ログインを防ぐ構成にする。
正解
外部との境界に代理機器を一台立て、着信を一括受信して背後のサーバ群へ転送する構成にする。

外部との境界に代理機器を一台立て、着信を一括受信して背後のサーバ群へ転送する構成はリバースプロキシにあたる。外部からは代理しか見えないため実サーバの構成を隠蔽でき、防御や監視を窓口に集約して攻撃面を絞れる。

?選択肢ごとの解説

ア ×各Web機へグローバルIPを個別付与し直接届かせると全サーバが個別に外部へ晒され、攻撃面が広がり実体を隠す要件に反する。
イ ○外部との境界に代理機器を一台立て、着信を一括受信して背後のサーバ群へ転送する構成はリバースプロキシにあたる。外部からは代理しか見えないため実サーバの構成を隠蔽でき、防御や監視を窓口に集約して攻撃面を絞れる。
ウ ×社内端末の外向き通信を集約するのはフォワードプロキシ(出口制御)で、外部からの着信を受けて振り分ける本要件とは向きが逆である。
エ ×複数要素の認証は認証強化策であり、外部接続の集約受信や実サーバの隠蔽というネットワーク構成上の目的を満たさない。

くわしく

リバースプロキシは『外部→内部』の入口を代理し、(1)実サーバの隠蔽、(2)負荷分散、(3)TLS終端やWAF機能の集約といった役割を担う。窓口を一本化することで防御点を絞り、内部構成を秘匿できる点が設計上の利点である。

本番での押さえどころ

試験のコツ

『外部接続を集約・実サーバを隠蔽・振り分け』はリバースプロキシ。出口制御のフォワードと向きで区別する。

覚え方

リバースは『受付嬢が来客を取り次ぐ』。奥にいる担当者(実サーバ)の存在は来客から見えない。

よくある誤り

フォワードプロキシ(出口・内部端末の外向き制御)と役割を取り違える。本問は外部からの着信を代理する入口側でリバースが正しい。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0090

【基本情報技術者試験】リバースプロキシの問題 — 解答・解説|ukamiru 過去問