ホーム > 情報処理安全確保支援士試験 > 2013年秋期

情報処理安全確保支援士試験 2013年秋期午前2 問08

DMZ上のコンピュータがインターネットからのpingに応答しないようにファイアウォールのルールを定めるとき、“通過禁止”に設定するものはどれか。

ア：ICMP（正解）

イ：TCPのポート番号21

ウ：TCP及びUDPのポート番号53

エ：UDPのポート番号123

解説

DMZ上のコンピュータがインターネットからのpingに応答しないようにファイアウォールのルールを定めるとき、“通過禁止”に設定するものはどれか【午前2 解説】

要点まとめ

結論：ping応答を遮断するにはICMPを通過禁止に設定する必要があります。
根拠：pingはICMPプロトコルのエコー要求・応答メッセージを利用しているため、ICMPを遮断すれば応答しません。
差がつくポイント：TCPやUDPの特定ポートを遮断してもpingは止まらず、ICMPの役割を正確に理解しているかが問われます。

正解の理由

pingはネットワークの疎通確認に使われるICMP（Internet Control Message Protocol）のエコー要求（Echo Request）とエコー応答（Echo Reply）メッセージを送受信します。
したがって、DMZ上のコンピュータがインターネットからのpingに応答しないようにするには、ファイアウォールでICMPパケットの通過を禁止する必要があります。
TCPのポート21（FTP）、TCP/UDPのポート53（DNS）、UDPのポート123（NTP）はpingとは直接関係がありません。

よくある誤解

pingはTCPやUDPの特定ポート番号に関係すると誤解されがちですが、実際はICMPプロトコルの一種であり、ポート番号は存在しません。

解法ステップ

pingの動作原理を理解する（ICMPのエコー要求・応答を利用）。
ファイアウォールで遮断すべきプロトコルを特定する（ICMP）。
選択肢の中からICMPを選ぶ。
TCPやUDPのポート番号はpingに影響しないことを確認する。

選択肢別の誤答解説

ア: ICMP
→ 正解。pingはICMPのエコー要求・応答で動作するため、ICMPを遮断すれば応答しません。
イ: TCPのポート番号21
→ FTPの制御用ポートであり、pingとは無関係です。遮断してもping応答は止まりません。
ウ: TCP及びUDPのポート番号53
→ DNSのポート番号で、名前解決に使われます。pingには影響しません。
エ: UDPのポート番号123
→ NTP（時刻同期）用のポートであり、pingとは関係ありません。

補足コラム

DMZ（非武装地帯）は外部ネットワークと内部ネットワークの間に設置される中間ゾーンで、外部からのアクセスを制御するためにファイアウォールルールが重要です。
ping応答を禁止することで、ネットワークの存在を隠蔽し、攻撃者によるスキャンを防ぐ効果があります。
ただし、ICMPを完全に遮断するとネットワーク障害の診断が難しくなるため、運用ポリシーに応じて適切に設定しましょう。

FAQ

Q: pingはどのプロトコルを使っていますか？
A: ICMP（Internet Control Message Protocol）を使い、エコー要求と応答で通信確認を行います。

Q: TCPやUDPのポート番号を遮断すればpingは止まりますか？
A: いいえ。pingはポート番号を使わないICMPプロトコルのため、TCP/UDPのポート遮断では止まりません。

Q: DMZでpingを遮断するメリットは何ですか？
A: ネットワークの存在を隠し、攻撃者によるスキャンや攻撃のリスクを減らせます。

関連キーワード: ICMP, ping, ファイアウォール, DMZ, ネットワークセキュリティ, エコー要求, エコー応答

← 前の問題へ次の問題へ →

情報処理安全確保支援士試験 2013年 秋期 午前2 問08

解説