ホーム > システムアーキテクト試験 > 2009年
システムアーキテクト試験 2009年 午前2 問25
パケットフィルタリング型ファイアウォールのフィルタリングルールを用いて、本来必要なサービスに影響を及ぼすことなく防げるものはどれか。
ア:外部に公開していないサービスへのアクセス(正解)
イ:サーバで動作するソフトウェアのセキュリティの脆弱性を突く攻撃
ウ:電子メールに添付されたファイルのマクロウイルスの侵入
エ:電子メール爆弾などのDoS攻撃
解説
パケットフィルタリング型ファイアウォールのフィルタリングルールを用いて、本来必要なサービスに影響を及ぼすことなく防げるものはどれか【午前2 解説】
要点まとめ
- 結論:パケットフィルタリング型ファイアウォールは、外部に公開していないサービスへのアクセスを防ぐことができる。
- 根拠:パケットフィルタリングはIPアドレスやポート番号などのヘッダ情報を基に通信を許可・拒否するため、不要なサービスへのアクセスを遮断可能。
- 差がつくポイント:アプリケーション層の攻撃やウイルス、DoS攻撃はパケットフィルタリングだけでは防ぎきれず、より高度な対策が必要になる点を理解すること。
正解の理由
ア: 外部に公開していないサービスへのアクセスが正解です。パケットフィルタリング型ファイアウォールは、IPアドレスやポート番号を基に通信を制御します。公開していないサービスのポートを閉じることで、そのサービスへのアクセスを防げます。これにより、本来必要なサービスには影響を与えずに不要なアクセスを遮断可能です。
よくある誤解
パケットフィルタリングはすべての攻撃を防げると誤解されがちですが、アプリケーション層の攻撃やウイルス感染、DoS攻撃には効果が限定的です。
解法ステップ
- パケットフィルタリングの基本機能を理解する(IPアドレス・ポート番号による制御)。
- 各選択肢の攻撃手法や特徴を確認する。
- パケットフィルタリングで防げる範囲(ネットワーク層・トランスポート層)を把握する。
- 公開していないサービスへのアクセス遮断が可能かを判断する。
- アプリケーション層の攻撃やウイルス、DoS攻撃は別の対策が必要と認識する。
選択肢別の誤答解説
- ア: 正解。ポート番号やIPアドレスでアクセス制御できるため、公開していないサービスへのアクセスを防げる。
- イ: 誤り。ソフトウェアの脆弱性を突く攻撃はアプリケーション層の問題であり、パケットフィルタリングだけでは防げない。
- ウ: 誤り。マクロウイルスは電子メールの添付ファイルに含まれるため、パケットフィルタリングでは検知・防御できない。
- エ: 誤り。電子メール爆弾などのDoS攻撃は大量のトラフィックを伴うため、パケットフィルタリングだけで完全に防ぐのは困難。
補足コラム
パケットフィルタリング型ファイアウォールはOSI参照モデルのネットワーク層やトランスポート層で動作し、IPアドレスやポート番号を基に通信を制御します。一方、アプリケーション層の攻撃やウイルス感染には、アプリケーション層ゲートウェイ(プロキシ)やアンチウイルスソフト、IDS/IPSなどの多層防御が必要です。
FAQ
Q: パケットフィルタリング型ファイアウォールはどの層で動作しますか?
A: ネットワーク層とトランスポート層で動作し、IPアドレスやポート番号を基に通信を制御します。
A: ネットワーク層とトランスポート層で動作し、IPアドレスやポート番号を基に通信を制御します。
Q: DoS攻撃はパケットフィルタリングで防げますか?
A: 一部の単純な攻撃は防げる場合もありますが、大規模なDoS攻撃には専用の対策が必要です。
A: 一部の単純な攻撃は防げる場合もありますが、大規模なDoS攻撃には専用の対策が必要です。
関連キーワード: パケットフィルタリング, ファイアウォール, ネットワークセキュリティ, ポート制御, DoS攻撃, マクロウイルス, アプリケーション層攻撃