応用情報技術者 2017年 春期 午前2 問36
問題文
インターネットへの接続において、ファイアウォールで NAPT 機能を利用することによるセキュリティ上の効果はどれか。
選択肢
ア:DMZ 上にある公開 Webサーバの脆弱性を突く攻撃から Webサーバを防御でき る。
イ:インターネットから内部ネットワークへの侵入を検知し、通信経路の途中で遮 断できる。
ウ:インターネット上の特定の Webアプリケーションを利用する HTTP 通信を検知 し、遮断できる。
エ:インターネットにアクセスする組織内の利用者PCについて、外部からの不正 アクセスを困難にすることができる。(正解)
インターネット接続におけるファイアウォールのNAPT機能のセキュリティ効果【午前2 解説】
要点まとめ
- 結論:NAPT機能は内部ネットワークの利用者PCを外部からの不正アクセスから守る効果がある。
- 根拠:NAPTは複数の内部IPを1つのグローバルIPに変換し、外部から直接内部IPにアクセスできなくするため。
- 差がつくポイント:NAPTは通信の変換と隠蔽が主目的であり、攻撃検知や特定通信の遮断は別機能である点を理解すること。
正解の理由
選択肢エは、NAPT(Network Address and Port Translation)が内部ネットワークの複数端末のプライベートIPアドレスを1つのグローバルIPアドレスに変換し、外部から直接内部端末へアクセスできない状態を作るため、外部からの不正アクセスを困難にします。これにより、内部PCのセキュリティが向上します。
よくある誤解
NAPTは通信の変換機能であり、攻撃の検知や遮断を自動で行うものではありません。攻撃検知はIDS/IPSなど別の機能が担当します。
解法ステップ
- NAPTの基本機能を理解する(IPアドレスとポート番号の変換)。
- NAPTが外部から内部IPを隠す仕組みを確認する。
- 選択肢の内容がNAPTの機能に合致しているかを検証する。
- 攻撃検知や通信遮断はNAPTの機能外であることを認識する。
- 最も適切な選択肢を選ぶ。
選択肢別の誤答解説
- ア:DMZのWebサーバの脆弱性防御はファイアウォールの基本機能やWAFの役割であり、NAPTの直接的効果ではない。
- イ:侵入検知や通信遮断はIDS/IPSの機能であり、NAPTは単なるアドレス変換である。
- ウ:特定WebアプリケーションのHTTP通信検知・遮断はアプリケーション層のフィルタリング機能であり、NAPTの役割ではない。
- エ:NAPTは内部IPを隠蔽し、外部からの直接アクセスを困難にするため、正解。
補足コラム
NAPTはIPv4アドレス枯渇問題の解決策としても重要で、1つのグローバルIPで複数の内部端末がインターネットにアクセス可能です。セキュリティ面では「ステートフルインスペクション」と組み合わせることで、より高度な防御が可能になります。
FAQ
Q: NAPTは攻撃を検知できますか?
A: いいえ。NAPTはアドレス変換機能であり、攻撃検知はIDS/IPSなど別の機能が担当します。
A: いいえ。NAPTはアドレス変換機能であり、攻撃検知はIDS/IPSなど別の機能が担当します。
Q: NAPTがないとどうなりますか?
A: 内部ネットワークのIPが直接外部に露出し、不正アクセスのリスクが高まります。
A: 内部ネットワークのIPが直接外部に露出し、不正アクセスのリスクが高まります。
Q: NAPTはIPv6でも必要ですか?
A: IPv6はアドレス数が豊富なためNAPTは基本的に不要ですが、運用上使われる場合もあります。
A: IPv6はアドレス数が豊富なためNAPTは基本的に不要ですが、運用上使われる場合もあります。
関連キーワード: NAPT, ファイアウォール、ネットワークセキュリティ、IPアドレス変換、不正アクセス防止
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!