応用情報技術者 2018年 春期 午前2 問44
問題文
パケットフィルタリング型ファイアウォールのフィルタリングルールを用いて、本来必要なサービスに影響を及ぼすことなく防げるものはどれか。
選択肢
ア:外部に公開しないサーバへのアクセス(正解)
イ:サーバで動作するソフトウェアの脆弱性を突く攻撃
ウ:電子メールに添付されたファイルに含まれるマクロウイルスの侵入
エ:不特定多数の IoT機器から大量のHTTPリクエストを送り付ける DDoS 攻撃
パケットフィルタリング型ファイアウォールのフィルタリングルールによる防御対象【午前2 解説】
要点まとめ
- 結論:パケットフィルタリング型ファイアウォールは、外部に公開しないサーバへのアクセスを制限し防御可能です。
- 根拠:IPアドレスやポート番号などのパケットヘッダ情報を基に通信を許可・拒否するため、特定の通信経路を遮断できます。
- 差がつくポイント:アプリケーション層の攻撃やマルウェアの侵入、DDoS攻撃のような大量トラフィックの防御は困難であり、パケットフィルタリングの限界を理解することが重要です。
正解の理由
ア: 外部に公開しないサーバへのアクセスは、パケットフィルタリング型ファイアウォールの基本的な機能であるIPアドレスやポート番号による通信制御で防げます。公開していないサーバへのアクセスを拒否することで、不正アクセスを防止可能です。一方、ソフトウェアの脆弱性攻撃やマクロウイルス、DDoS攻撃は通信内容の深い解析や大量トラフィックの処理が必要であり、パケットフィルタリングだけでは対応困難です。
よくある誤解
パケットフィルタリング型ファイアウォールはすべての攻撃を防げると誤解されがちですが、アプリケーション層の攻撃やマルウェアの侵入には対応できません。
解法ステップ
- パケットフィルタリングの機能を理解する(IPアドレス・ポート番号による通信制御)。
- 各選択肢の攻撃手法を分類する(ネットワーク層かアプリケーション層か)。
- ネットワーク層のアクセス制御で防げるものを特定する。
- アプリケーション層の攻撃や大量トラフィック攻撃は除外する。
- 外部に公開しないサーバへのアクセス制限が該当することを確認する。
選択肢別の誤答解説
- イ: ソフトウェアの脆弱性を突く攻撃は、パケットの内容解析やアプリケーション層の防御が必要であり、パケットフィルタリングでは防げません。
- ウ: 電子メールのマクロウイルスはファイル内容の検査が必要で、パケットヘッダ情報だけでは検出できません。
- エ: DDoS攻撃は大量のリクエストを送るため、単純なパケットフィルタリングではトラフィックの制御が困難です。
補足コラム
パケットフィルタリング型ファイアウォールはOSI参照モデルのネットワーク層やトランスポート層の情報を基に動作します。より高度な攻撃防御には、アプリケーション層の内容を解析する「ステートフルインスペクション」や「アプリケーションゲートウェイ型ファイアウォール」が用いられます。
FAQ
Q: パケットフィルタリング型ファイアウォールはどの層の通信を制御しますか?
A: 主にネットワーク層とトランスポート層のパケットヘッダ情報(IPアドレス、ポート番号)を基に制御します。
A: 主にネットワーク層とトランスポート層のパケットヘッダ情報(IPアドレス、ポート番号)を基に制御します。
Q: DDoS攻撃はパケットフィルタリングで防げますか?
A: 単純なパケットフィルタリングでは大量の正規通信に見えるトラフィックを区別できず、防御は困難です。
A: 単純なパケットフィルタリングでは大量の正規通信に見えるトラフィックを区別できず、防御は困難です。
関連キーワード: パケットフィルタリング、ファイアウォール、ネットワークセキュリティ、DDoS攻撃、マクロウイルス、脆弱性攻撃
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!