ホーム > 情報処理安全確保支援士試験 > 2012年 秋期
情報処理安全確保支援士試験 2012年 秋期 午前2 問06
ファイアウォールにおけるダイナミックパケットフィルタリングの特徴はどれか。
ア:IPアドレスの変換が行われるので,ファイアウォール内部のネットワーク構成を外部から隠蔽できる。
イ:暗号化されたパケットのデータ部を復号して、許可された通信かどうかを判断できる。
ウ:戻りのパケットに関しては,過去に通過したリクエストパケットに対応したものだけを通過させることができる。(正解)
エ:パケットのデータ部をチェックして,アプリケーション層での不正なアクセスを防止できる。
解説
ファイアウォールにおけるダイナミックパケットフィルタリングの特徴【午前2 解説】
要点まとめ
- 結論:ダイナミックパケットフィルタリングは、過去の通信状態を記憶し、戻りパケットのみを許可することで安全性を高めます。
- 根拠:ステートフルインスペクションとも呼ばれ、通信の状態を追跡して不正なパケットを遮断する仕組みです。
- 差がつくポイント:単純なパケットフィルタリングとの違いを理解し、状態管理の有無で判断できることが重要です。
正解の理由
選択肢ウは「戻りのパケットに関しては、過去に通過したリクエストパケットに対応したものだけを通過させることができる」と述べています。これはダイナミックパケットフィルタリングの本質である「ステートフルインスペクション」の特徴を正確に表しています。通信の開始から終了までの状態を追跡し、正当な応答パケットのみを通すため、不正アクセスやセッションハイジャックを防止できます。
よくある誤解
ダイナミックパケットフィルタリングは単なるIPアドレスの変換や暗号化解除を行うものではありません。また、アプリケーション層の詳細な解析は行わず、主にネットワーク層とトランスポート層の状態管理に特化しています。
解法ステップ
- 問題文の「ダイナミックパケットフィルタリング」の意味を確認する。
- 各選択肢が示す機能がダイナミックパケットフィルタリングの特徴に合致するか検討する。
- 状態管理(ステートフル)に関する説明がある選択肢を探す。
- 状態追跡に基づく戻りパケットの許可を述べている選択肢を正解と判断する。
選択肢別の誤答解説
- ア: IPアドレスの変換はNAT(ネットワークアドレス変換)の機能であり、ダイナミックパケットフィルタリングの特徴ではありません。
- イ: 暗号化されたパケットの復号はファイアウォールの基本機能ではなく、専用の暗号化解除装置やプロキシが必要です。
- ウ: 正解。通信の状態を追跡し、戻りパケットのみを許可する特徴を正しく表しています。
- エ: アプリケーション層の不正アクセス防止はアプリケーション層ゲートウェイ(プロキシ)やIDS/IPSの役割であり、ダイナミックパケットフィルタリングの範囲外です。
補足コラム
ダイナミックパケットフィルタリングは「ステートフルファイアウォール」とも呼ばれ、単純なパケットフィルタリング(スタティック)と比較して高度なセキュリティを提供します。通信の開始から終了までの状態を管理するため、許可されていないパケットの侵入を効果的に防止できます。近年では、これに加えてアプリケーション層の解析を行う次世代ファイアウォール(NGFW)が普及しています。
FAQ
Q: ダイナミックパケットフィルタリングとスタティックパケットフィルタリングの違いは何ですか?
A: スタティックは単純にパケットのヘッダ情報だけを基に許可・拒否を判断しますが、ダイナミックは通信の状態を追跡し、戻りパケットのみを許可するため安全性が高いです。
A: スタティックは単純にパケットのヘッダ情報だけを基に許可・拒否を判断しますが、ダイナミックは通信の状態を追跡し、戻りパケットのみを許可するため安全性が高いです。
Q: ダイナミックパケットフィルタリングはアプリケーション層の通信も解析できますか?
A: いいえ。基本的にはネットワーク層とトランスポート層の状態管理に特化しており、アプリケーション層の詳細解析は行いません。
A: いいえ。基本的にはネットワーク層とトランスポート層の状態管理に特化しており、アプリケーション層の詳細解析は行いません。
関連キーワード: ファイアウォール, ステートフルインスペクション, パケットフィルタリング, ネットワークセキュリティ, NAT, NGFW