ホーム > 情報処理安全確保支援士試験 > 2012年 春期
情報処理安全確保支援士試験 2012年 春期 午前2 問10
DMZ 上のコンピュータがインターネットからの ping に応答しないようにファイアウォールのセキュリティルールを定めるとき, “通過禁止” に設定するものはどれか。
ア:ICMP(正解)
イ:TCP 及び UDP のポート番号 53
ウ:TCP のポート番号 21
エ:UDP のポート番号123
解説
DMZ 上のコンピュータがインターネットからの ping に応答しないようにファイアウォールのセキュリティルールを定めるとき, “通過禁止” に設定するものはどれか。【午前2 解説】
要点まとめ
- 結論:インターネットからの ping 応答を防ぐには ICMP を通過禁止に設定する必要があります。
- 根拠:ping は ICMP プロトコルのエコー要求・応答を利用しており、これを遮断すれば応答しません。
- 差がつくポイント:TCP/UDP の特定ポートを遮断しても ping 応答は止まらず、ICMP の理解が重要です。
正解の理由
ping は ICMP(Internet Control Message Protocol)のエコー要求(Echo Request)とエコー応答(Echo Reply)を使って通信相手の到達性を確認します。DMZ 上のコンピュータがインターネットからの ping に応答しないようにするには、ICMP のパケットをファイアウォールで通過禁止に設定する必要があります。TCP や UDP の特定ポートを遮断しても ping 応答は止まらないため、選択肢アが正解です。
よくある誤解
ping は TCP や UDP のポート番号に関係すると誤解されがちですが、実際は ICMP プロトコルを使います。ポート番号は TCP/UDP の通信にのみ関係します。
解法ステップ
- ping の通信プロトコルを確認する(ICMPであることを理解)。
- ファイアウォールで遮断すべきプロトコルを特定する(ICMP)。
- TCP/UDP のポート番号は ping に関係ないことを確認する。
- 選択肢の中から ICMP を通過禁止に設定するものを選ぶ。
選択肢別の誤答解説
- ア: ICMP は ping の通信に使われるため通過禁止にすべき正解です。
- イ: TCP/UDP のポート番号 53 は DNS 通信に使われ、ping とは無関係です。
- ウ: TCP のポート番号 21 は FTP 通信に使われ、ping とは関係ありません。
- エ: UDP のポート番号 123 は NTP(時刻同期)に使われ、ping とは無関係です。
補足コラム
DMZ(非武装地帯)は外部ネットワークと内部ネットワークの間に設置される中間ゾーンで、外部からの攻撃を防ぐためにファイアウォールで通信制御が行われます。ping 応答を禁止することで、ネットワークの存在を隠蔽し、攻撃者の情報収集を困難にします。
FAQ
Q: ping を禁止するとネットワークの監視に支障は出ますか?
A: 一部の監視ツールは ping を使いますが、代替手段として TCP/UDP のポート監視や SNMP 監視があります。
A: 一部の監視ツールは ping を使いますが、代替手段として TCP/UDP のポート監視や SNMP 監視があります。
Q: ICMP を完全に遮断しても問題はありませんか?
A: ICMP は経路制御やエラーメッセージにも使われるため、完全遮断はネットワークトラブルの原因になることがあります。必要に応じて制限を検討してください。
A: ICMP は経路制御やエラーメッセージにも使われるため、完全遮断はネットワークトラブルの原因になることがあります。必要に応じて制限を検討してください。
関連キーワード: ICMP, ping, ファイアウォール, DMZ, ネットワークセキュリティ, TCP, UDP, ポート番号