戦国IT

情報処理技術者試験の無料過去問対策サイト

ホーム > 情報処理安全確保支援士試験 > 2021年 春期

情報処理安全確保支援士試験 2021年 春期 午前206

ステートフルパケットインスペクション方式のファイアウォールの特徴はどれか。
Web クライアントと Web サーバとの間に配置され、リバースプロキシサーバとして動作する方式であり、Web クライアントからの通信を目的の Web サーバに中継する際に、受け付けたパケットに不正なデータがないかどうかを検査する。
アプリケーションプロトコルごとにプロキシソフトウェアを用意する方式であり、クライアントからの通信を目的のサーバに中継する際に、通信に不正なデータがないかどうかを検査する。
特定のアプリケーションプロトコルだけを通過させるゲートウェイソフトウェアを利用する方式であり、クライアントからのコネクションの要求を受け付け、目的のサーバに改めてコネクションを要求することによって、アクセスを制御する。
パケットフィルタリングを拡張した方式であり、過去に通過したパケットから通信セッションを認識し、受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断するかを判断する。(正解)

解説

ステートフルパケットインスペクション方式のファイアウォールの特徴【午前2 解説】

要点まとめ

  • 結論:ステートフルパケットインスペクションは通信セッションの状態を管理し、パケットの通過可否を判断する方式です。
  • 根拠:過去の通信履歴を参照し、単一パケットだけでなく通信全体の状態を考慮するため、不正アクセスをより正確に防げます。
  • 差がつくポイント:単なるパケットフィルタリングやプロキシ方式と異なり、通信の「状態」を追跡する点が特徴で、効率とセキュリティのバランスが優れていることを理解しましょう。

正解の理由

選択肢エは「パケットフィルタリングを拡張し、通信セッションの状態を認識してパケットの通過を判断する」とあり、これがステートフルパケットインスペクション(SPI)の本質です。SPIは単一パケットのヘッダ情報だけでなく、通信の開始から終了までの状態を追跡し、正当な通信かどうかを判断します。これにより、不正なパケットやセッションハイジャックを防止できるため、ファイアウォールの高度なセキュリティ機能として広く利用されています。

よくある誤解

ステートフルパケットインスペクションは単なるパケットフィルタリングの強化版と誤解されがちですが、通信の状態管理が加わることで、より高度な制御が可能になります。プロキシ方式とは異なり、通信の中継を必ずしも行いません。

解法ステップ

  1. 問題文の「ステートフルパケットインスペクション方式」のキーワードに注目する。
  2. SPIの特徴として「通信セッションの状態を管理する」点を思い出す。
  3. 選択肢の説明文を読み、通信セッションの状態を参照しているか確認する。
  4. 通信の状態を追跡しない選択肢(単なるパケットフィルタリングやプロキシ方式)は除外する。
  5. 状態管理を明示している選択肢エを正解と判断する。

選択肢別の誤答解説

  • ア:リバースプロキシサーバの説明であり、SPIの特徴ではありません。Web通信の中継と検査に特化しています。
  • イ:アプリケーションプロトコルごとのプロキシ方式で、通信の状態管理ではなく、プロトコル単位の検査に重点があります。
  • ウ:特定アプリケーションのゲートウェイ方式で、コネクションの再確立によるアクセス制御を行いますが、状態追跡の説明はありません。
  • :通信セッションの状態を認識し、パケットの通過を判断する点がSPIの本質であり正解です。

補足コラム

ステートフルパケットインスペクションはOSI参照モデルのトランスポート層(主にTCPのセッション管理)に着目し、通信の開始(SYN)、継続、終了(FIN)などの状態を追跡します。これにより、単純なパケットフィルタリングでは防げないセッションハイジャックや不正なパケットの侵入を防止可能です。近年は次世代ファイアウォール(NGFW)においても基本機能として組み込まれています。

FAQ

Q: ステートフルパケットインスペクションとパケットフィルタリングの違いは何ですか?
A: パケットフィルタリングは単一パケットのヘッダ情報のみで判断しますが、SPIは通信セッションの状態を追跡し、より正確に通過可否を判断します。
Q: プロキシ方式とステートフルパケットインスペクションはどう違いますか?
A: プロキシ方式は通信を中継し、アプリケーション層で検査しますが、SPIは中継せずトランスポート層の状態管理で制御します。
関連キーワード: ファイアウォール, ステートフルパケットインスペクション, パケットフィルタリング, 通信セッション管理, ネットワークセキュリティ
← 前の問題へ次の問題へ →

©︎2025 情報処理技術者試験対策アプリ