HOME»応用情報技術者試験掲示板»平成30年春期午後問5
投稿する
おはようございます。
上記ですが、私個人としては、解釈は合っていると考えますが、解答としては点数は出せません。
果たして、この解答から「クライアントから直接Webサーバへのアクセスを制限し、送信元がWAFであるアクセスだけを許可する」を読み取ることができるでしょうか。
ポイントは、模範解答のとおり、後段部分です。
そこが記載されていない以上、正答と見なすことはできないと感じます。
また、challengerさんの前段部分だけを切り取ると、(すべての)アクセスを制限しているように見えてしまいます。
さらに、後段のDNSの通信許可は元々許可されているものなので、敢えて記載する必要は無いと思います。
※あくまで、変更されているのはDNSレコードの中身
恐らく、採点者の方は「書きたいことはこういう内容だろうな」という忖度はしませんので、点数は出ないと感じました。
如何でしょうか。
細かいことを言うようで申し訳ないですが、
誤)道場さんの解答は・・・
正)IPAの模範解答は・・・
とするべきでしょうね。
平成30年春期午後問5 [6019]
challengerさん(No.1)
https://www.ap-siken.com/kakomon/30_haru/pm05.html
(3)の、アクセス制御の内容を35字以内で記述する問題ですが
IPアドレスを叩いてwebサーバへの直接アクセスを禁じ、webサイトへアクセスするには必ずDNS上で名前解決し、その際にクラウド型WAF経由でwebサービスへアクセスする構成と考えて、
”webサーバへのアクセスを禁じてDNSサーバへのみアクセス可能とする(34文字)” と書きました。
しかし,道場さんの解答は ”webサイトへのアクセスをWAFサービスだけから許可する” ということでした。
自分も道場さんも、実質同じような解答だと思うのですが、自分の解答でも点数もらえそうなのか、自分の解釈はあっているのかを助言していただきたいです。
(3)の、アクセス制御の内容を35字以内で記述する問題ですが
IPアドレスを叩いてwebサーバへの直接アクセスを禁じ、webサイトへアクセスするには必ずDNS上で名前解決し、その際にクラウド型WAF経由でwebサービスへアクセスする構成と考えて、
”webサーバへのアクセスを禁じてDNSサーバへのみアクセス可能とする(34文字)” と書きました。
しかし,道場さんの解答は ”webサイトへのアクセスをWAFサービスだけから許可する” ということでした。
自分も道場さんも、実質同じような解答だと思うのですが、自分の解答でも点数もらえそうなのか、自分の解釈はあっているのかを助言していただきたいです。
2025.09.26 00:54
犬。さん(No.2)
★AP ブロンズマイスター
>challengerさん
おはようございます。
>自分も道場さんも、実質同じような解答だと思うのですが、自分の解答でも点数もらえそうなのか、自分の解釈はあっているのかを助言していただきたいです。
上記ですが、私個人としては、解釈は合っていると考えますが、解答としては点数は出せません。
>webサーバへのアクセスを禁じてDNSサーバへのみアクセス可能とする
果たして、この解答から「クライアントから直接Webサーバへのアクセスを制限し、送信元がWAFであるアクセスだけを許可する」を読み取ることができるでしょうか。
ポイントは、模範解答のとおり、後段部分です。
そこが記載されていない以上、正答と見なすことはできないと感じます。
また、challengerさんの前段部分だけを切り取ると、(すべての)アクセスを制限しているように見えてしまいます。
さらに、後段のDNSの通信許可は元々許可されているものなので、敢えて記載する必要は無いと思います。
※あくまで、変更されているのはDNSレコードの中身
恐らく、採点者の方は「書きたいことはこういう内容だろうな」という忖度はしませんので、点数は出ないと感じました。
如何でしょうか。
2025.09.26 08:00
jjon-comさん(No.3)
★AP プラチナマイスター
応用情報 平成30年 春期 午後 問5
https://www.ap-siken.com/kakomon/30_haru/pm05.html
不正解です。
であるならば、次のパケットがWebサイトに届きません。
その表現では、問題文中に登場する2つの別のサーバ、A社DNSサーバ(マスタDNSサーバ)と B社DNSサーバ(スレーブDNSサーバ)のどちらを指すのかが分かりません。
https://www.ap-siken.com/kakomon/30_haru/pm05.html
不正解です。
> webサーバへのアクセスを禁じて
であるならば、次のパケットがWebサイトに届きません。
〔クラウド型WAFサービスの利用〕
(略)
・WAFサービスで通信パケットが検査される。
・パケットに問題がないとき,そのパケットがA社のWebサイトに転送される。
> DNSサーバへのみアクセス可能とする(略)
・WAFサービスで通信パケットが検査される。
・パケットに問題がないとき,そのパケットがA社のWebサイトに転送される。
その表現では、問題文中に登場する2つの別のサーバ、A社DNSサーバ(マスタDNSサーバ)と B社DNSサーバ(スレーブDNSサーバ)のどちらを指すのかが分かりません。
2025.09.26 08:35
電タックさん(No.4)
③WAFサービスを経由せず、直接Webサイトにアクセスされるのを防止するためのアクセス制御を、A社のFWに設定する。
という事をしたいと思った時に、仮にchallengerさんが部下に設定しておいてとお願いしたとします。
その結果で部下から
「webサーバへのアクセスを禁じてDNSサーバへのみアクセス可能とする」
これを報告チックに言うならば
・webサーバへのアクセスを禁止するようにFWに設定しておきました。
・現在、DNSサーバはアクセス可能な状態です。
このように報告されたら、え?今webサービスちゃんと利用できる状態なのだろうか、とか、WAFはちゃんと機能してんだよね?って不安になりませんか
このあと何かを聞き返さないと完結できないのであれば回答としては不十分と考えて記述して見ると良いかもしれません
という事をしたいと思った時に、仮にchallengerさんが部下に設定しておいてとお願いしたとします。
その結果で部下から
「webサーバへのアクセスを禁じてDNSサーバへのみアクセス可能とする」
これを報告チックに言うならば
・webサーバへのアクセスを禁止するようにFWに設定しておきました。
・現在、DNSサーバはアクセス可能な状態です。
このように報告されたら、え?今webサービスちゃんと利用できる状態なのだろうか、とか、WAFはちゃんと機能してんだよね?って不安になりませんか
このあと何かを聞き返さないと完結できないのであれば回答としては不十分と考えて記述して見ると良いかもしれません
2025.09.26 09:50
パインさん(No.5)
>>しかし,道場さんの解答は”webサイトへのアクセスをWAFサービスだけから許可する” ということでした。
細かいことを言うようで申し訳ないですが、
誤)道場さんの解答は・・・
正)IPAの模範解答は・・・
とするべきでしょうね。
2025.09.26 12:15
GinSanaさん(No.6)
★AP プラチナマイスター
FWのACLを書く点でどういう内容を書けばいいかってことで、自分がワーカーで担当者から「webサーバへのアクセスを禁じてDNSサーバへのみアクセス可能とする」ようにACLを書けって言われたら「え?」ってなりますね。ACLが見えるのは送信元と宛先、プロトコルだけなわけで、Webサーバ宛ての80だか443への接続をWAFサービスのIPアドレスのみにしてよ、って言えば誰でもわかるわけで、端的に言うとはそういうことです。
2025.09.26 14:09
challengerさん(No.7)
皆様回答の方ありがとうございました。
丁寧に書かれていてわかりやすかったです。
皆様の回答から自分なりにまとめてみました。
自分の書き方だと、外部セグメント上のクラウド型WAFサービスのパケットも遮断してしまうことになります。
また、FWはパケットの送信元と宛先を見てアクセス制御をするので、自分の書き方だと送信元が不明確であり、すべての機器から遮断するという意味にも取れてしまうので、完全に不正解です。
次回以降、FWの設定について聞かれたら送信元と宛先のついて意識しながら解いてみよう思います。
丁寧に書かれていてわかりやすかったです。
皆様の回答から自分なりにまとめてみました。
自分の書き方だと、外部セグメント上のクラウド型WAFサービスのパケットも遮断してしまうことになります。
また、FWはパケットの送信元と宛先を見てアクセス制御をするので、自分の書き方だと送信元が不明確であり、すべての機器から遮断するという意味にも取れてしまうので、完全に不正解です。
次回以降、FWの設定について聞かれたら送信元と宛先のついて意識しながら解いてみよう思います。
2025.09.26 15:23