ホーム > 情報処理安全確保支援士試験 > 2016年 秋期
情報処理安全確保支援士試験 2016年 秋期 午前2 問05
ファイアウォールにおけるダイナミックパケットフィルタリングの特徴はどれか。
ア:IPアドレスの変換が行われるのでファイアウォール内部のネットワーク構成を外部から隠蔽できる。
イ:暗号化されたパケットのデータ部を復号して許可された通信かどうかを判断できる。
ウ:パケットのデータ部をチェックしてアプリケーション層での不正なアクセスを防止できる。
エ:戻りのパケットに関しては過去に通過したリクエストパケットに対応付けられるものだけを通過させることができる。(正解)
解説
ファイアウォールにおけるダイナミックパケットフィルタリングの特徴【午前2 解説】
要点まとめ
- 結論:ダイナミックパケットフィルタリングは、戻りパケットを過去のリクエストに対応付けて通過を制御します。
- 根拠:状態を保持し、通信の開始から終了までの流れを監視するステートフル検査が特徴です。
- 差がつくポイント:単純なパケットフィルタリングとの違いを理解し、アプリケーション層の検査や暗号化復号とは区別することが重要です。
正解の理由
ダイナミックパケットフィルタリングは「ステートフルインスペクション」とも呼ばれ、通信の状態を管理します。具体的には、外部からの戻りパケットが、内部から送信されたリクエストに対応しているかを確認し、対応付けられたパケットのみを通過させます。これにより、不正なパケットの侵入を防ぎつつ、正当な通信を許可することが可能です。選択肢エはこの特徴を正確に表現しています。
よくある誤解
ダイナミックパケットフィルタリングはアプリケーション層の内容を解析するわけではなく、暗号化されたパケットの復号も行いません。単なるIPアドレスの変換機能とも異なります。
解法ステップ
- 問題文の「ダイナミックパケットフィルタリング」の意味を確認する。
- ステートフルインスペクションの特徴を思い出す。
- 各選択肢が示す機能とダイナミックパケットフィルタリングの特徴を比較する。
- 戻りパケットの対応付けを説明している選択肢を選ぶ。
- 選択肢エが該当するため正解と判断する。
選択肢別の誤答解説
- ア: IPアドレスの変換はNAT(ネットワークアドレス変換)の機能であり、ダイナミックパケットフィルタリングの特徴ではありません。
- イ: 暗号化されたパケットの復号はファイアウォールの基本機能ではなく、専用の復号装置やプロキシが必要です。
- ウ: アプリケーション層の不正アクセス防止は「アプリケーション層ゲートウェイ」や「プロキシファイアウォール」の役割であり、ダイナミックパケットフィルタリングの範囲外です。
- エ: 戻りパケットを過去のリクエストに対応付けて通過させる機能は、ダイナミックパケットフィルタリングの本質的な特徴です。
補足コラム
ダイナミックパケットフィルタリングは「ステートフルパケットインスペクション」とも呼ばれ、従来の「スタティックパケットフィルタリング」と比較して高度なセキュリティを提供します。通信の状態を追跡することで、単なるパケットのヘッダ情報だけでなく、通信の流れ全体を把握し、不正アクセスを効果的に防止します。
FAQ
Q: ダイナミックパケットフィルタリングはどの層で動作しますか?
A: 主にネットワーク層とトランスポート層で動作し、通信の状態を管理します。
A: 主にネットワーク層とトランスポート層で動作し、通信の状態を管理します。
Q: 暗号化された通信はダイナミックパケットフィルタリングで解析できますか?
A: いいえ。暗号化されたデータ部の復号はできません。別途SSL/TLSインスペクションなどが必要です。
A: いいえ。暗号化されたデータ部の復号はできません。別途SSL/TLSインスペクションなどが必要です。
Q: スタティックパケットフィルタリングとの違いは何ですか?
A: スタティックは単一パケットのヘッダ情報のみで判断しますが、ダイナミックは通信の状態を追跡し、戻りパケットの正当性を確認します。
A: スタティックは単一パケットのヘッダ情報のみで判断しますが、ダイナミックは通信の状態を追跡し、戻りパケットの正当性を確認します。
関連キーワード: ダイナミックパケットフィルタリング, ステートフルインスペクション, ファイアウォール, ネットワークセキュリティ, スタティックパケットフィルタリング