ホーム > システムアーキテクト試験 > 2022年
システムアーキテクト試験 2022年 午前2 問20
インターネットとの接続において、ファイアウォールのNAPT機能によるセキュリティ上の効果はどれか。
イ:インターネットから内部ネットワークへの侵入を検知し、検知後の通を遮断できる。
ウ:インターネット上の特定のWebサービスを利用するHTTP通信を検知し、遮断できる。
ア:DMZ上にある公開Webサーバの脆弱性を悪用する攻撃を防御できる。
エ:内部ネットワークからインターネットにアクセスする利用者PCについて、インターネットからの不正アクセスを困難にすることができる(正解)
解説
インターネットとの接続におけるファイアウォールのNAPT機能のセキュリティ効果【午前2 解説】
要点まとめ
- 結論:NAPT機能は内部ネットワークからの通信に対し、外部からの不正アクセスを困難にする効果がある。
- 根拠:NAPTは内部IPアドレスをグローバルIPに変換し、外部から直接内部機器へアクセスできない仕組みを提供するため。
- 差がつくポイント:NAPTは通信の変換とアドレス隠蔽が主目的であり、攻撃検知や遮断機能は持たない点を理解すること。
正解の理由
選択肢エは、NAPT(Network Address Port Translation)が内部ネットワークのプライベートIPアドレスをグローバルIPアドレスに変換し、外部から直接内部機器へアクセスできないようにすることで、不正アクセスを困難にする効果を正しく表しています。NAPTはアドレス変換により、外部からの直接的な通信を遮断し、内部ネットワークのセキュリティを向上させます。
よくある誤解
NAPTは通信の変換機能であり、攻撃の検知や遮断を行うIDS/IPSのような機能は持ちません。公開サーバの脆弱性防御や特定通信の遮断もNAPTの役割ではありません。
解法ステップ
- NAPTの基本機能を理解する(IPアドレスとポート番号の変換)。
- NAPTが提供するセキュリティ効果は何かを考える(アドレス隠蔽による不正アクセス防止)。
- 選択肢の内容をNAPTの機能と照らし合わせる。
- 攻撃検知や通信遮断などNAPT以外の機能を含む選択肢を除外する。
- 内部からのアクセスに対し外部からの不正アクセスを困難にする選択肢を選ぶ。
選択肢別の誤答解説
- ア: DMZの公開Webサーバの脆弱性を防ぐのはファイアウォールのアクセス制御やIDS/IPSの役割であり、NAPTの機能ではない。
- イ: 侵入検知と遮断はIDS/IPSの機能であり、NAPTは検知機能を持たない。
- ウ: 特定のHTTP通信を検知・遮断するのはアプリケーション層のファイアウォールやプロキシの役割で、NAPTの機能外。
- エ: 内部ネットワークからのアクセスに対し、NAPTが外部からの不正アクセスを困難にする効果を持つため正解。
補足コラム
NAPTはIPv4アドレス枯渇問題の解決策としても重要で、複数の内部IPを1つのグローバルIPで共有可能にします。これにより、内部ネットワークのIPアドレスを隠蔽し、外部からの直接アクセスを防ぐことでセキュリティ向上に寄与します。ただし、NAPT単体では攻撃検知や通信内容の制御はできないため、IDS/IPSやアプリケーション層のファイアウォールと組み合わせて利用されます。
FAQ
Q: NAPTはどの層で動作しますか?
A: NAPTはネットワーク層とトランスポート層で動作し、IPアドレスとポート番号を変換します。
A: NAPTはネットワーク層とトランスポート層で動作し、IPアドレスとポート番号を変換します。
Q: NAPTだけで完全なセキュリティ対策になりますか?
A: いいえ。NAPTはアドレス変換によるアクセス制限はできますが、攻撃検知や通信内容の制御は別のセキュリティ機器が必要です。
A: いいえ。NAPTはアドレス変換によるアクセス制限はできますが、攻撃検知や通信内容の制御は別のセキュリティ機器が必要です。
Q: DMZの公開サーバを守るには何が必要ですか?
A: ファイアウォールのアクセス制御やIDS/IPS、サーバの脆弱性対策が必要で、NAPTだけでは不十分です。
A: ファイアウォールのアクセス制御やIDS/IPS、サーバの脆弱性対策が必要で、NAPTだけでは不十分です。
関連キーワード: NAPT, ファイアウォール, 不正アクセス防止, IPアドレス変換, ネットワークセキュリティ