情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和3年度秋期 午前Ⅱ 問6: ファイアウォールにおけるステートフルパケットインスペクションの特徴はどれか。
←情報処理安全確保支援士試験 令和3年度秋期 午前Ⅱ
におけるステートフルパケットの特徴はどれか。
選択肢
- ア.IP アドレスの変換が行われることによって,内部のネットワーク構成を外部から隠蔽できる。
- イ.暗号化されたパケットのデータ部を復号して,許可された通信かどうかを判断できる。
- ウ.過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる。
- エ.パケットのデータ部をチェックして,アプリケーション層での不正なアクセスを防止できる。
正解
ウ. 過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる。
解説
ステートフルパケットインスペクションは、通信のコネクション状態(セッション)を記録し、過去に許可した要求に対応する戻りパケットだけを動的に通す仕組み。ウが正しい。静的フィルタより安全に応答を許可でき、不要な戻り口を開けずに済む点が利点で、現在のファイアウォールの基本機能となっている。
選択肢ごとの解説
- ア.IPアドレス変換で内部構成を隠すのはNATの機能で、状態追跡を行うSPIの特徴ではないため誤り。
- イ.暗号化データを復号して検査するのは復号機能を持つプロキシやTLSインスペクションの説明で誤り。
- ウ.通過済み要求に対応する戻りパケットを動的に通す点が、状態管理を行うSPIの特徴で正解。
- エ.データ部を見てアプリ層の不正を防ぐのはアプリケーションゲートウェイ等の機能でSPIとは異なり誤り。
情報処理安全確保支援士試験 令和3年度秋期 午前Ⅱ の過去問一覧へ戻る・問6