WEB問題集
Azure Virtual Network 内のサブネットや NIC レベルで L3-L4 のインバウンド / アウトバウンド トラフィックを制御する基本セキュリティ機能はどれですか?
解説
【正解: A】の理由
Network Security Group (NSG) はサブネットや NIC 単位で適用できる L3-L4 セキュリティ機能で、ソース / 宛先 IP・ポート・プロトコルに基づいてトラフィックを許可 / 拒否する基本制御を提供します。そのため、VNet 内のネットワーク セグメンテーションには NSG が標準的に採用されます。
【他選択肢が違う理由】
- B: Azure Firewall は VNet 全体のステートフル Firewall で、サブネット / NIC 単位の細粒度制御は NSG の役割です。
- C: DDoS Protection は L3-L7 攻撃緩和機能で、許可 / 拒否ルール制御とは別領域です。
- D: WAF は L7 (HTTP / HTTPS) 専用で、L3-L4 制御は NSG が担当します。
【参考】
Azure Firewall Premium SKU でのみ利用可能な機能はどれですか?
解説
【正解: A】の理由
TLS Inspection は Azure Firewall Premium SKU 限定の機能で、HTTPS トラフィックを Firewall で TLS 復号して内容検査し、再暗号化して転送する高度な検査機能です。Standard SKU では TLS 暗号化トラフィックは復号せずに通過させるため、暗号化 マルウェアの検出はできません。
【他選択肢が違う理由】
- B: Network Rules (L3-L4 制御) は Standard / Premium 両方で利用可能です。
- C: Application Rules (FQDN / URL フィルタ) は Standard / Premium 両方で利用可能です。
- D: SNAT (Outbound IP マスカレード) は Standard / Premium 両方で動作します。
【参考】
NSG ルール優先度について、各記述に対応する選択肢を選んでください。
| ステートメント | 選択 |
|---|---|
NSG ルールは Priority の値が低い番号から順に評価される NSG ルールは Priority 100〜4096 の範囲で指定し、低い番号 (高優先度) から順に評価されます。そのため、特定 IP の許可ルールは拒否ルールより低い番号 (高優先度) で配置する必要があります。 | |
NSG ルールは First-match で評価が確定し、後続のルールは評価されない NSG は最初にマッチしたルールで許可 / 拒否を決定する First-match 動作で、後続のルールは評価されません。そのため、ルールの並び順 (Priority 順) がトラフィック制御の決定要素となります。 | |
NSG のデフォルト ルールはユーザがすべて削除可能 NSG にはシステム デフォルト ルール (AllowVnetInBound、DenyAllInBound など) が自動付与され、これらは削除できません。Priority 65000-65500 で固定され、ユーザ追加ルールの後にフォールバックとして評価されます。 |
解説
【正解マッチング】
| 判定対象 | 正解 |
|---|---|
| NSG ルールは Priority の値が低い番号から順に評価される | はい |
| NSG ルールは First-match で評価が確定し、後続のルールは評価されない | はい |
| NSG のデフォルト ルールはユーザがすべて削除可能 | いいえ |
【各判定の詳細】
- 「NSG ルールは Priority の値が低い番号から順に評価される」→ はい: NSG ルールは Priority 100〜4096 の範囲で指定し、低い番号 (高優先度) から順に評価されます。そのため、特定 IP の許可ルールは拒否ルールより低い番号 (高優先度) で配置する必要があります。
- 「NSG ルールは First-match で評価が確定し、後続のルールは評価されない」→ はい: NSG は最初にマッチしたルールで許可 / 拒否を決定する First-match 動作で、後続のルールは評価されません。そのため、ルールの並び順 (Priority 順) がトラフィック制御の決定要素となります。
- 「NSG のデフォルト ルールはユーザがすべて削除可能」→ いいえ: NSG にはシステム デフォルト ルール (AllowVnetInBound、DenyAllInBound など) が自動付与され、これらは削除できません。Priority 65000-65500 で固定され、ユーザ追加ルールの後にフォールバックとして評価されます。
【参考】
Hub VNet 中央に Azure Firewall Standard SKU をデプロイして全 Spoke の Outbound 検査を実現する手順を、正しい順序に並べてください。
- Hub VNet に AzureFirewallSubnet (固定名 /26 推奨) を作成
- Azure Firewall Standard を Hub VNet にデプロイ + Public IP 関連付け
- Firewall Policy + Network Rules / Application Rules を構成
- 各 Spoke サブネットに UDR (0.0.0.0/0 → Firewall Private IP) を関連付け
解説
【正しい順序】
- ステップ 1: AzureFirewallSubnet 作成
- ステップ 2: Firewall デプロイ
- ステップ 3: Firewall Policy 構成
- ステップ 4: UDR 関連付け
【各ステップの理由】
- ステップ 1 AzureFirewallSubnet 作成: Azure Firewall は AzureFirewallSubnet という名前固定 (最小 /26) のサブネットを必須要件とします。
- ステップ 2 Firewall デプロイ: Azure Firewall Standard を AzureFirewallSubnet にデプロイし、Public IP (Standard SKU) を Frontend に関連付けます。
- ステップ 3 Firewall Policy 構成: 中央管理用の Firewall Policy を作成し、Network Rules (L3-L4) と Application Rules (FQDN / URL) を定義します。
- ステップ 4 UDR 関連付け: Spoke サブネットの Route Table で 0.0.0.0/0 → Firewall Private IP の UDR を構成し、Outbound トラフィックを Firewall 経由化します。
【誤った順序の問題点】
- UDR を先に構成: Firewall がまだ存在しないため、Next Hop となる Firewall Private IP がなく、UDR が機能しません。
- AzureFirewallSubnet を作らずに Firewall デプロイ: 専用サブネット名 (AzureFirewallSubnet) が必須要件のため、デプロイ自体が失敗します。
【参考】
L7 (HTTP / HTTPS) で SQL Injection や XSS などの Web アプリケーション攻撃を防御する Azure サービスはどれですか?
解説
【正解: B】の理由
Web Application Firewall (WAF) は Application Gateway / Front Door に統合される L7 セキュリティ機能で、OWASP Core Rule Set に基づいて SQL Injection / XSS / Path Traversal / RCE などの Web 攻撃を検出・遮断します。これにより、Web アプリケーションを多層防御で保護できます。
【他選択肢が違う理由】
- A: NSG は L3-L4 制御で、L7 攻撃検査は WAF の役割です。
- C: Bastion は管理アクセスのジャンプ ホストで、Web 攻撃防御とは別概念です。
- D: DDoS Protection は L3-L4 攻撃緩和で、SQL Injection 等の L7 攻撃は対象外です。