情報処理安全確保支援士 2014年 春期 午前2 問06
問題文
ファイアウォールにおけるダイナミックパケットフィルタリングの特徴はどれか。
選択肢
ア:IPアドレスの変換が行われるので、ファイアウォール内部のネットワーク構成を外部から隠蔽できる。
イ:暗号化されたパケットのデータ部を復号して、許可された通信かどうかを判断できる。
ウ:パケットのデータ部をチェックして、アプリケーション層での不正なアクセスを防止できる。
エ:戻りのパケットに関しては、過去に通過したリクエストパケットに対応付けられるものだけを通過させることができる。(正解)
ファイアウォールにおけるダイナミックパケットフィルタリングの特徴はどれか。【午前2 解説】
正解の理由
ダイナミックパケットフィルタリングは「ステートフル・パケットフィルタリング」と同義で、コネクションの状態情報を保持します。これにより、ファイアウォールは以前に内側から開始された接続に対応する戻りパケットのみを許可し、外部からの不正な開始や単発の応答パケットを拒否できます。したがって「戻りのパケットに関しては、過去に通過したリクエストパケットに対応付けられるものだけを通過させることができる」というエの説明が当てはまります。
解法ステップ
- 用語の確認:ダイナミックパケットフィルタリング=ステートフル(状態追跡)フィルタを理解する。
- 各選択肢をプロトコル層や機能で分類する(NAT、暗号化解除、アプリ層検査、ステートフル追跡)。
- ステートフルの定義に合致する選択肢を選ぶ(「過去のリクエストに対応付ける」)。
- 他選択肢が別機能に該当することを確認して除外する。
選択肢別の誤答解説
- ア: 「IPアドレスの変換が行われるので、ファイアウォール内部のネットワーク構成を外部から隠蔽できる。」
解説:これはNAT(ネットワークアドレス変換)の説明です。NATはIPアドレスを変換して内部構成を隠すが、ダイナミックパケットフィルタリングそのものの特徴ではありません。 - イ: 「暗号化されたパケットのデータ部を復号して、許可された通信かどうかを判断できる。」
解説:暗号化データの復号はTLS終端や中間解読プロキシなど特別な機能が必要で、一般的なパケットフィルタ(ステートフル含む)の標準機能ではありません。 - ウ: 「パケットのデータ部をチェックして、アプリケーション層での不正なアクセスを防止できる。」
解説:これはアプリケーションレイヤのプロキシやWAF(Web Application Firewall)、深刻なパケット検査(DPI: Deep Packet Inspection)の領域です。ダイナミックパケットフィルタリングは通常アプリ層の内容までは精査しません。 - エ: 「戻りのパケットに関しては、過去に通過したリクエストパケットに対応付けられるものだけを通過させることができる。」
解説:正解。ステートフルにコネクション情報を保持することで、適切に戻り通信を許可します。
よくある誤解
- 誤解1:ダイナミック=暗号化解除できる、と思う人がいるが誤り。暗号化解除はファイアウォール単体の基本機能ではなく、TLS中間解読など専用機能が必要です。
- 誤解2:ダイナミックはアプリ層まで深く見る(検査できる)と思われがちだが、通常はトランスポート層までの状態追跡で、アプリケーション層の内容検査は別の仕組み(プロキシやIDS/IPS)が必要です。
補足コラム
- ステートフル(ダイナミック)とステートレス(静的)フィルタの違い:
ステートレスは個々のパケットのヘッダ(送信元/宛先IP、ポート、プロトコル)だけで判断し、接続状態を追跡しません。ステートフルは接続の開始/維持/終了を監視し、関連するパケットのみを通すためセキュリティと利便性のバランスが良いです。 - 実務ではNATとステートフルフィルタが組み合わさることが多く、戻りトラフィックの許可は両者で整合される必要があります。
FAQ
Q: ダイナミックパケットフィルタはどの層まで検査しますか?
A: 主にネットワーク層(IP)とトランスポート層(TCP/UDP)のヘッダと接続状態を参照します。アプリ層の内容検査は別機能です。
A: 主にネットワーク層(IP)とトランスポート層(TCP/UDP)のヘッダと接続状態を参照します。アプリ層の内容検査は別機能です。
Q: ステートフルなファイアウォールでUDPの戻りパケットも扱えますか?
A: はい。ただしUDPはコネクションレスのため、タイマーや擬似セッションの管理で「関連する応答」と判断して許可する仕組みを使います。
A: はい。ただしUDPはコネクションレスのため、タイマーや擬似セッションの管理で「関連する応答」と判断して許可する仕組みを使います。
Q: ダイナミックとステートフルは同じ意味ですか?
A: 基本的に同義で、どちらも接続の状態を追跡してパケットを判断する方式を指します。
A: 基本的に同義で、どちらも接続の状態を追跡してパケットを判断する方式を指します。
関連キーワード: ダイナミックパケットフィルタリング、ステートフルファイアウォール、NAT、DPI、WAF

\ せっかくなら /
情報処理安全確保支援士を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

