戦国IT - 情報処理技術者試験の過去問対策サイト
ブログお知らせお問い合わせ料金プラン

ネットワークスペシャリスト 2010年 午前220

問題文

ファイアウォールにおいて、自ネットワークのホストへの侵入を防止する対策のうち、IPスプーフィング(spoofing)攻撃に有効なものはどれか。

選択肢

外部から入るTCPコネクション確立要求パケットのうち、外部へのインターネットサービスの提供に必要なもの以外を阻止する。
外部から入るUDPパケットのうち、外部へのインターネットサービスの提供や利用したいインターネットサービスに必要なもの以外を阻止する。
外部から入るパケットのあて先IPアドレスが、インターネットとの直接の通信をすべきでない自ネットワークのホストのものであれば、そのパケットを阻止する。
外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば、そのパケットを阻止する。(正解)

ファイアウォールにおけるIPスプーフィング対策【午前2 解説】

要点まとめ

  • 結論:IPスプーフィング攻撃には、送信元IPアドレスが自ネットワークのものであれば外部からのパケットを遮断する対策が有効です。
  • 根拠:攻撃者は自ネットワーク内のIPアドレスを偽装して侵入を試みるため、送信元IPをチェックすることが防御の基本となります。
  • 差がつくポイント:送信元IPアドレスの正当性を検証し、内部IPを外部からのパケットで使わせない設定が重要です。

正解の理由

選択肢エは「外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば、そのパケットを阻止する」とあります。これはIPスプーフィング攻撃の典型的な手法である「内部IPアドレスを偽装して外部から侵入する」ことを防ぐための対策です。ファイアウォールが送信元IPを検査し、内部ネットワークのIPアドレスを持つパケットを外部から受け入れないことで、攻撃を効果的に阻止できます。

よくある誤解

IPスプーフィングは単に不正な宛先IPを狙う攻撃ではなく、送信元IPを偽装する攻撃です。宛先IPの制御だけでは防げません。

解法ステップ

  1. IPスプーフィングの定義を理解する(送信元IPアドレスの偽装)。
  2. ファイアウォールの役割を確認する(パケットの送信元・宛先IPの検査)。
  3. 選択肢の中で送信元IPアドレスをチェックしているものを探す。
  4. 自ネットワークのIPアドレスを送信元に持つ外部からのパケットを遮断する選択肢を選ぶ。

選択肢別の誤答解説

  • ア: TCPコネクション確立要求の制限はサービス制御であり、IPスプーフィング対策とは直接関係ありません。
  • イ: UDPパケットの制限もサービス利用制御であり、送信元IP偽装の防止には不十分です。
  • ウ: 宛先IPアドレスの制御は内部ホストへの不正アクセス防止に役立ちますが、送信元IP偽装の防止にはなりません。
  • : 送信元IPが自ネットワークのものであれば外部からのパケットを遮断し、IPスプーフィングを防止します。

補足コラム

IPスプーフィングは攻撃者が送信元IPアドレスを偽装し、信頼された内部ネットワークからの通信に見せかける手法です。これにより、不正アクセスやDoS攻撃の踏み台にされることがあります。ファイアウォールでは「逆方向フィルタリング(Ingress Filtering)」を実施し、外部から内部ネットワークのIPアドレスを送信元とするパケットを遮断することが推奨されています。

FAQ

Q: IPスプーフィング攻撃はどのように検知できますか?
A: 送信元IPアドレスが不自然な場合や、内部ネットワークのIPアドレスが外部から送信元として現れた場合に検知可能です。
Q: なぜ宛先IPアドレスの制御だけでは不十分なのですか?
A: 攻撃者は送信元IPを偽装するため、宛先IPだけを制御しても送信元の偽装を防げません。
関連キーワード: IPスプーフィング、ファイアウォール、送信元IP検査、逆方向フィルタリング、ネットワークセキュリティ
← 前の問題へ次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

ネットワークスペシャリスト
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてブログプライバシーポリシー利用規約特商法表記開発者について