情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成28年度秋期 午前Ⅱ 問5: ファイアウォールにおけるダイナミックパケットフィルタリングの特徴はどれか。
←情報セキュリティスペシャリスト試験 平成28年度秋期 午前Ⅱ
におけるダイナミックの特徴はどれか。
選択肢
- ア.IP アドレスの変換が行われるので,ファイアウォール内部のネットワーク構成を外部から隠蔽できる。
- イ.暗号化されたパケットのデータ部を復号して,許可された通信かどうかを判断できる。
- ウ.パケットのデータ部をチェックして,アプリケーション層での不正なアクセスを防止できる。
- エ.戻りのパケットに関しては,過去に通過したリクエストパケットに対応付けられるものだけを通過させることができる。
正解
エ. 戻りのパケットに関しては,過去に通過したリクエストパケットに対応付けられるものだけを通過させることができる。
解説
ダイナミックパケットフィルタリング(ステートフルインスペクション)は、通過した通信のセッション状態を記憶し、その状態に対応する戻りパケットだけを動的に許可する方式。これにより一時的なポート開放を安全に扱える。よってエが正解。実務では静的フィルタより安全で、応答パケットの不正な通過を防げる。
選択肢ごとの解説
- ア.IPアドレス変換による内部隠蔽はNATの機能で、本方式の特徴ではない。
- イ.暗号化データ部の復号判定はSSLインスペクション等の機能で本方式ではない。
- ウ.アプリケーション層の不正検知はWAFやアプリゲートウェイの役割で誤り。
- エ.過去のリクエストに対応する戻りパケットだけを通す状態管理が正解。
情報セキュリティスペシャリスト試験 平成28年度秋期 午前Ⅱ の過去問一覧へ戻る・問5