平成22年度 秋期 ITパスポート試験 問93 解説 入室管理の設定記述

この問題を解くためのポイントは、ファイアウォールのルール設定における「デフォルトポリシ（既定の動作）」と「個別ルール」の優先順位を理解することです。

まず、ポリシーをDENY（拒否）にするということは、「原則として誰も入れない（通さない）」という最も安全な状態を指します。この状態で入室を許可するためには、例外として「誰が、どの部屋に入れるか」を個別に指定する必要があります。

今回の問題であれば、もともと「ACCEPT」だった際のルール（営業課員は執務室へ入れる、来客者・営業課員は応接室へ入れる）を、DENY（拒否）という前提条件の下で「許可リスト」として記述し直せば正解となります。選択肢エが、これらの全ての許可条件を過不足なく網羅しているため正解となります。

ルール設定における考え方の基本

アクセス制御において、ポリシーをDENYにするということは、「ブラックリスト方式」ではなく「ホワイトリスト方式」に転換することを意味します。

1. デフォルトポリシ（全体設定）を「DENY（拒否）」にする
2. 許可したい例外条件（ホワイトリスト）を「個別ルール」として書き出す

「とりあえず全部拒否し、必要な人だけを通す」という考え方は、情報セキュリティにおける鉄則の一つです。最初から全てを許可しておいて危ないものを個別に拒否するよりも、全てを拒否しておいて必要なものだけを許可するほうが、設定漏れによるセキュリティインシデントを防ぎやすいためです。

思考のプロセス

この問題は、以下の手順で正解を導き出します。

1. 問題文から「元のACCEPT設定」が何を許可していたのかを読み取る。
2. 今回の変更点である「ポリシー＝DENY」にする場合、原則すべてが拒否されることを認識する。
3. 元のルールを維持するためには、今まで許可されていたもの（営業課員の執務室入室、応接室への入室）を、すべて「ACCEPT（許可）」として明示的にリスト化する必要がある。
4. 「執務室：営業課員（ACCEPT）」および「応接室：来客者・営業課員（ACCEPT）」の両方が記述されている選択肢を探す。

セキュリティポリシーの設定と活用

この知識は、実務ではファイアウォールやルーターのパケットフィルタリング設定、あるいは組織のアクセス権管理でそのまま活用されます。

たとえば、社内の共有サーバーへのアクセス権を設定する場合、「とりあえず全社員が読み書きできる」設定から始めると、後から権限を削除し忘れて情報漏洩につながるリスクがあります。一方で、「デフォルトでは誰もアクセスできない」状態から開始し、「経理担当者だけは閲覧・編集可能」というように許可を与えていく方式であれば、意図しないアクセスが発生する可能性を最小限に抑えられます。

このように、デフォルト（初期状態）をどちらにするかでセキュリティの堅牢性が大きく変わるという感覚を養うことが、この問題の教育的意図といえます。

参考リンク

• ファイアウォールとは（分かりやすく図解）
• iptablesでのポリシー設定とルール作成の実践例
• アクセス制御の基本的な概念とホワイトリスト方式（IPA情報セキュリティ解説）