ホーム > 情報処理安全確保支援士試験 > 2021年秋期

情報処理安全確保支援士試験 2021年秋期午前2 問06

ファイアウォールにおけるステートフルパケットインスペクションの特徴はどれか。

ア：IPアドレスの変換が行われることによって,内部のネットワーク構成を外部から隠蔽できる。

イ：暗号化されたパケットのデータ部を復号して,許可された通信かどうかを判断できる。

ウ：過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる。（正解）

エ：パケットのデータ部をチェックして,アプリケーション層での不正なアクセスを防止できる。

解説

ファイアウォールの「ステートフルパケットインスペクション（Stateful Packet Inspection）」は、単に個々のパケットの内容だけでなく、通信の状態（セッションや接続の状況）を把握してパケットの通過を判断する機能です。

通信の開始から終了までの流れを追跡する
ファイアウォールは、通信の最初のリクエストパケットを検査し、その情報を「状態テーブル（ステートテーブル）」に記録します。
これにより、その後に返ってくる戻りのパケット（レスポンス）は、状態テーブルと照合して通信の一部として認識できます。
戻りパケットの許可
通常のパケットフィルタリングは、送信元・宛先IPアドレスやポート番号だけで判断しますが、ステートフルインスペクションは「過去に許可した通信の戻り」を自動的に許可します。
これにより、意図しない通信の遮断や、逆に不正な通信の通過を防ぎつつ、正規の通信をスムーズに流せるようにします。

ア: IPアドレスの変換（NAT）は、内部ネットワークを外部から隠蔽する機能ですが、ステートフルパケットインスペクションの特徴とは異なります。
イ: 暗号化されたデータを復号して検査するのは一般的なファイアウォールの範囲外で、特にステートフルパケットインスペクションの機能ではありません。
ウ: 正しいです。ステートフルパケットインスペクションは、過去に通過したリクエストパケットに対応する戻りのパケットを認識し、許可します。
エ: アプリケーション層の不正アクセスを防止するのは、より高機能な「アプリケーション層ファイアウォール」や「プロキシサーバ」の役割に近く、ステートフルパケットインスペクションの範囲を超えます。

ステートフルパケットインスペクションは、単なるパケットごとのチェックではなく、通信の状態を管理し、双方向の通信を安全かつ効率的に制御する技術です。この特徴から、問題文の正解は「ウ」となります。