ホーム > 情報処理安全確保支援士試験 > 2017年 秋期
情報処理安全確保支援士試験 2017年 秋期 午前2 問09
ステートフルインスペクション方式のファイアウォールの特徴はどれか。
ア:Web クライアントと Web サーバとの間に配置され, リバースプロキシサーバとして動作する方式であり, Web クライアントからの通信を目的の Web サーバに中継する際に, 通信に不正なデータがないかどうかを検査する。
イ:アプリケーションプロトコルごとにプロキシソフトウェアを用意する方式であり、クライアントからの通信を目的のサーバに中継する際に, 通信に不正なデータがないかどうかを検査する。
ウ:特定のアプリケーションプロトコルだけを通過させるゲートウェイソフトウェアを利用する方式であり, クライアントからのコネクションの要求を受け付けて, 目的のサーバに改めてコネクションを要求することによって, アクセスを制御する。
エ:パケットフィルタリングを拡張した方式であり, 過去に通過したパケットから通信セッションを認識し, 受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断するかを判断する。(正解)
解説
ステートフルインスペクション方式のファイアウォールの特徴はどれか【午前2 解説】
要点まとめ
- 結論:ステートフルインスペクション方式は通信セッションの状態を管理し、パケットの通過可否を判断する方式です。
- 根拠:過去に通過したパケット情報を元に通信の状態を認識し、単純なパケットフィルタリングより高度な制御が可能です。
- 差がつくポイント:単なるパケットフィルタリングやプロキシ方式と異なり、通信の状態を追跡して動的に判断する点が特徴です。
正解の理由
選択肢エは「パケットフィルタリングを拡張した方式であり、過去に通過したパケットから通信セッションを認識し、受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断するかを判断する」と説明しています。これはステートフルインスペクション方式の本質を正確に表しており、通信の状態(ステート)を管理しながらパケットを検査するため、単純なパケットフィルタリングよりも安全性が高いです。
よくある誤解
ステートフルインスペクションはプロキシサーバのように全通信を中継するわけではなく、あくまでパケット単位で状態を管理しながら通過可否を判断します。プロキシ方式と混同しやすい点に注意が必要です。
解法ステップ
- 問題文の「ステートフルインスペクション方式」の意味を確認する。
- 各選択肢の説明がどの方式に該当するかを整理する。
- プロキシ方式やリバースプロキシ、ゲートウェイ方式との違いを理解する。
- ステートフルインスペクションは「通信セッションの状態を管理する」点が特徴であることを確認する。
- それに合致する選択肢を選ぶ。
選択肢別の誤答解説
- ア: リバースプロキシサーバの説明であり、ステートフルインスペクション方式とは異なります。
- イ: アプリケーションプロトコルごとにプロキシを用意する方式で、プロキシ方式の説明です。
- ウ: 特定アプリケーションのゲートウェイ方式で、通信を中継してアクセス制御する方式であり、ステートフルインスペクションではありません。
- エ: ステートフルインスペクション方式の正しい説明です。
補足コラム
ステートフルインスペクション方式は、OSI参照モデルのトランスポート層(第4層)までの情報を利用して通信の状態を追跡します。これにより、単純なパケットフィルタリング(第3層までの情報)よりも高度なセキュリティ制御が可能です。代表的な製品にはCisco ASAやCheckpoint Firewallなどがあります。
FAQ
Q: ステートフルインスペクション方式はどの層の情報を使いますか?
A: 主にOSI参照モデルの第3層(ネットワーク層)と第4層(トランスポート層)の情報を利用して通信の状態を管理します。
A: 主にOSI参照モデルの第3層(ネットワーク層)と第4層(トランスポート層)の情報を利用して通信の状態を管理します。
Q: ステートフルインスペクション方式とプロキシ方式の違いは何ですか?
A: ステートフルインスペクションはパケット単位で通信状態を追跡し通過可否を判断しますが、プロキシ方式は通信を中継して内容を検査します。
A: ステートフルインスペクションはパケット単位で通信状態を追跡し通過可否を判断しますが、プロキシ方式は通信を中継して内容を検査します。
関連キーワード: ステートフルインスペクション, ファイアウォール, パケットフィルタリング, 通信セッション管理, ネットワークセキュリティ