ホーム > 情報処理安全確保支援士試験 > 2010年 春期
情報処理安全確保支援士試験 2010年 春期 午前2 問11
DMZ上のコンピュータがインターネットからのpingに応答しないようにファイアウォールのセキュリティルールを定めるとき,“通過禁止”に設定するものはどれか。
ア:ICMP(正解)
イ:TCP及びUDPのポート番号53
ウ:TCPのポート番号21
エ:UDPのポート番号123
解説
DMZ上のコンピュータがインターネットからのpingに応答しないようにファイアウォールのセキュリティルールを定めるときの設定【午前2 解説】
要点まとめ
- 結論:ping応答を禁止するにはICMPを通過禁止に設定することが最も効果的です。
- 根拠:pingはICMPプロトコルのエコー要求・応答メッセージを利用しており、これを遮断すれば応答しません。
- 差がつくポイント:TCP/UDPの特定ポートを遮断してもpingは止まらず、ICMPの理解が合否を分けます。
正解の理由
pingはネットワークの疎通確認に使われるICMP(Internet Control Message Protocol)のエコー要求(Echo Request)とエコー応答(Echo Reply)メッセージを利用しています。したがって、DMZ上のコンピュータがインターネットからのpingに応答しないようにするには、ファイアウォールでICMPパケットの通過を禁止する必要があります。TCPやUDPの特定ポートを遮断してもpingには影響しません。よって、正解はア: ICMPです。
よくある誤解
pingはTCPやUDPのポート番号に関係すると誤解されがちですが、実際はICMPプロトコルの一種であり、ポート番号は存在しません。
解法ステップ
- pingの動作原理を理解する(ICMPのエコー要求・応答を利用)。
- ファイアウォールで遮断すべきプロトコルを特定する(ICMP)。
- TCPやUDPのポート番号はpingに影響しないことを確認する。
- 選択肢の中からICMPを通過禁止に設定するものを選ぶ。
選択肢別の誤答解説
- ア: ICMP
→ 正解。pingはICMPのエコー要求・応答を使うため、これを遮断すれば応答しません。 - イ: TCP及びUDPのポート番号53
→ DNSのポート番号であり、pingとは無関係です。遮断してもpingは止まりません。 - ウ: TCPのポート番号21
→ FTPの制御用ポートであり、pingには影響しません。 - エ: UDPのポート番号123
→ NTP(時刻同期)用のポートであり、pingとは関係ありません。
補足コラム
DMZ(非武装地帯)は外部ネットワークと内部ネットワークの間に設置される中間ゾーンで、外部からの攻撃を防ぐためにファイアウォールで厳密なアクセス制御が行われます。ping応答を禁止することで、攻撃者にネットワーク機器の存在を悟られにくくするセキュリティ対策の一つとなります。
FAQ
Q: pingを禁止するとネットワークの監視に支障はありませんか?
A: 一部の監視ツールはpingを使いますが、代替手段としてTCPポートの監視やSNMPなどを利用することが多いです。
A: 一部の監視ツールはpingを使いますが、代替手段としてTCPポートの監視やSNMPなどを利用することが多いです。
Q: ICMPを完全に遮断するとどんな問題がありますか?
A: ネットワークの経路制御や障害検知にICMPが使われるため、完全遮断はトラブルシューティングを難しくする場合があります。
A: ネットワークの経路制御や障害検知にICMPが使われるため、完全遮断はトラブルシューティングを難しくする場合があります。
関連キーワード: ICMP, ping, ファイアウォール, DMZ, ネットワークセキュリティ, TCP, UDP, ポート番号