情報処理安全確保支援士試験 2021年 秋期 午前2 問06
ファイアウォールにおけるステートフルパケットインスペクションの特徴はどれか。
ア:IPアドレスの変換が行われることによって,内部のネットワーク構成を外部から隠蔽できる。
イ:暗号化されたパケットのデータ部を復号して,許可された通信かどうかを判断できる。
ウ:過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる。(正解)
エ:パケットのデータ部をチェックして,アプリケーション層での不正なアクセスを防止できる。
解説
ファイアウォールにおけるステートフルパケットインスペクションの特徴【午前2 解説】
要点まとめ
- 結論:ステートフルパケットインスペクションは、通信の状態を追跡し、対応する戻りパケットを許可する機能を持ちます。
- 根拠:通信の開始から終了までのセッション情報を管理し、単一パケットだけでなく通信の流れ全体を監視するためです。
- 差がつくポイント:単純なパケットフィルタリングと異なり、通信の状態を理解して戻り通信を正しく許可できる点が重要です。
正解の理由
選択肢ウは「過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる」とあります。これはステートフルパケットインスペクション(SPI)の本質的な特徴です。SPIは通信の状態(ステート)を保持し、リクエストに対するレスポンスを正しく識別して許可するため、双方向通信の管理が可能です。これにより、単なるパケット単位のフィルタリングよりも高度なセキュリティを実現します。
よくある誤解
- IPアドレスの変換(NAT)はファイアウォールの機能の一部ですが、SPIの特徴ではありません。
- 暗号化されたパケットの復号はファイアウォールの標準機能ではなく、専用の装置や設定が必要です。
解法ステップ
- 問題文の「ステートフルパケットインスペクション」の意味を確認する。
- SPIは通信の状態を追跡し、戻りパケットを識別して許可する技術であることを理解する。
- 選択肢の内容をSPIの特徴と照らし合わせる。
- 「戻りのパケットを通過させる」機能がSPIの本質であることから正解を選ぶ。
選択肢別の誤答解説ステップ
- ア:IPアドレスの変換(NAT)はネットワークの隠蔽に役立ちますが、SPIの特徴ではありません。
- イ:暗号化パケットの復号はファイアウォールの標準機能ではなく、SPIの説明として誤りです。
- ウ:通信の状態を管理し、戻りパケットを許可するSPIの特徴を正確に表しています。
- エ:アプリケーション層の不正アクセス防止は次世代ファイアウォール(NGFW)などの高度な機能であり、SPIの基本機能ではありません。
補足コラム
ステートフルパケットインスペクションは、OSI参照モデルのトランスポート層(TCP/UDP)に着目し、通信のセッション情報を管理します。これにより、単なるパケット単位のフィルタリングよりも柔軟かつ安全な通信制御が可能です。近年はNGFWによりアプリケーション層の検査も行われますが、SPIはその基盤技術として重要です。
FAQ
Q: ステートフルパケットインスペクションはどの層の情報を使いますか?
A: 主にトランスポート層の情報(TCP/UDPのセッション状態)を利用して通信の状態を管理します。
A: 主にトランスポート層の情報(TCP/UDPのセッション状態)を利用して通信の状態を管理します。
Q: SPIとNATは同じものですか?
A: いいえ。NATはIPアドレスの変換技術であり、SPIは通信の状態を追跡して戻りパケットを許可する技術です。
A: いいえ。NATはIPアドレスの変換技術であり、SPIは通信の状態を追跡して戻りパケットを許可する技術です。
関連キーワード: ステートフルパケットインスペクション, ファイアウォール, 通信セッション管理, ネットワークセキュリティ, パケットフィルタリング