ホーム > 情報処理安全確保支援士試験 > 2009年 秋期
情報処理安全確保支援士試験 2009年 秋期 午前2 問11
パケットフィルタリング型ファイアウォールのフィルタリングルールを用いて,本来必要なサービスに影響を及ぼすことなく防げるものはどれか。
ア:外部に公開していないサービスへのアクセス。(正解)
イ:サーバで動作するソフトウェアのセキュリティの脆弱性を突く攻撃。
ウ:電子メールに添付されたファイルのマクロウイルスの侵入。
エ:電子メール爆弾などのDoS攻撃。
解説
パケットフィルタリング型ファイアウォールのフィルタリングルールを用いて,本来必要なサービスに影響を及ぼすことなく防げるものはどれか。【午前2 解説】
要点まとめ
- 結論:パケットフィルタリング型ファイアウォールは「外部に公開していないサービスへのアクセス」を防ぐのに適しています。
- 根拠:パケットフィルタリングはIPアドレスやポート番号などのヘッダ情報を基に通信を許可・拒否するため、不要なサービスへのアクセスを制限可能です。
- 差がつくポイント:アプリケーション層の内容解析はできないため、ウイルスやDoS攻撃などの高度な攻撃は防げません。
正解の理由
ア: 外部に公開していないサービスへのアクセス。
パケットフィルタリング型ファイアウォールは、通信の送信元・宛先IPアドレスやポート番号を基に通信を制御します。公開していないサービスのポートを閉じることで、そのサービスへのアクセスを防げます。これにより、本来必要なサービスには影響を与えずに不要なアクセスを遮断可能です。
パケットフィルタリング型ファイアウォールは、通信の送信元・宛先IPアドレスやポート番号を基に通信を制御します。公開していないサービスのポートを閉じることで、そのサービスへのアクセスを防げます。これにより、本来必要なサービスには影響を与えずに不要なアクセスを遮断可能です。
よくある誤解
パケットフィルタリング型ファイアウォールは通信内容の詳細な検査はできず、ウイルスやアプリケーションの脆弱性を突く攻撃を防げると誤解されがちです。
解法ステップ
- パケットフィルタリング型ファイアウォールの機能を理解する(IP・ポートベースの制御)。
- 選択肢の攻撃手法を分類する(ネットワーク層かアプリケーション層か)。
- ネットワーク層で防げる攻撃は何かを考える。
- 「外部に公開していないサービスへのアクセス」がネットワーク層の制御で防げることを確認。
- 他の選択肢はアプリケーション層の攻撃であり、パケットフィルタリングでは防げないと判断。
選択肢別の誤答解説
- ア: 正解。ポート番号やIPアドレスでアクセス制御できるため、不要なサービスへのアクセスを防げる。
- イ: 誤り。ソフトウェアの脆弱性を突く攻撃はアプリケーション層の問題であり、パケットフィルタリングでは検知・防御できない。
- ウ: 誤り。マクロウイルスは電子メールの添付ファイル内部の問題であり、パケットフィルタリングでは内容を解析できない。
- エ: 誤り。電子メール爆弾などのDoS攻撃は大量のトラフィックを伴うが、単純なパケットフィルタリングでは効果的に防げない場合が多い。
補足コラム
パケットフィルタリング型ファイアウォールはOSI参照モデルのネットワーク層やトランスポート層の情報を基に通信制御を行います。一方、アプリケーション層の攻撃を防ぐには、状態監視型ファイアウォールやアプリケーションゲートウェイ型ファイアウォール、IDS/IPSなどの高度なセキュリティ機器が必要です。
FAQ
Q: パケットフィルタリング型ファイアウォールはどの層の通信を制御しますか?
A: 主にネットワーク層とトランスポート層のIPアドレスやポート番号を基に制御します。
A: 主にネットワーク層とトランスポート層のIPアドレスやポート番号を基に制御します。
Q: なぜマクロウイルスはパケットフィルタリングで防げないのですか?
A: マクロウイルスは電子メールの添付ファイル内部のコードであり、パケットフィルタリングは通信のヘッダ情報しか見ないため検知できません。
A: マクロウイルスは電子メールの添付ファイル内部のコードであり、パケットフィルタリングは通信のヘッダ情報しか見ないため検知できません。
関連キーワード: パケットフィルタリング, ファイアウォール, ネットワークセキュリティ, ポート制御, DoS攻撃, マクロウイルス, 脆弱性攻撃