情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成28年度春期 午前Ⅱ 問15: DMZ 上のコンピュータがインターネットからの ping に応答しないようにしたいとき，ファイアウォールのルールで“通過禁止”に設定するものはどれか。

問題本文

DMZ 上のコンピュータがインターネットからの ping に応答しないようにしたいとき，ファイアウォールのルールで“通過禁止”に設定するものはどれか。

選択肢

• ア.ICMP
• イ.TCP のポート番号 21
• ウ.TCP のポート番号 110
• エ.UDP のポート番号 123

正解

ア. ICMP

解説

pingはICMPのエコー要求/応答を用いる到達確認コマンド。DMZ上の機器がインターネットからのpingに応答しないようにするには、ファイアウォールでICMPの通過を禁止すればよい。ポート21はFTP、110はPOP3、123はNTPで、いずれもpingとは無関係。実務ではICMPを過度に遮断すると経路MTU探索などに支障が出る場合があるため、必要なタイプは許可しつつエコー要求だけ止めるなどの調整が行われる。

選択肢ごとの解説

• ア.pingはICMPを用いるため、ICMPを通過禁止にすれば応答しなくなり正しい。
• イ.ポート21はFTPの制御用でICMPを使うpingとは無関係なため誤り。
• ウ.ポート110はPOP3でメール受信用であり、pingの遮断とは関係なく誤り。
• エ.UDP123はNTPの時刻同期用でpingとは無関係なため誤り。