情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和3年度春期 午前Ⅱ 問6: ステートフルパケットインスペクション方式のファイアウォールの特徴はどれか。
←情報処理安全確保支援士試験 令和3年度春期 午前Ⅱ
ステートフルパケット方式のの特徴はどれか。
選択肢
- ア.Web クライアントと Web サーバとの間に配置され,リバースプロキシサーバとして動作する方式であり,Web クライアントからの通信を目的の Web サーバに中継する際に,受け付けたパケットに不正なデータがないかどうかを検査する。
- イ.アプリケーションプロトコルごとにプロキシソフトウェアを用意する方式であり,クライアントからの通信を目的のサーバに中継する際に,通信に不正なデータがないかどうかを検査する。
- ウ.特定のアプリケーションプロトコルだけを通過させるゲートウェイソフトウェアを利用する方式であり,クライアントからのコネクションの要求を受け付け,目的のサーバに改めてコネクションを要求することによって,アクセスを制御する。
- エ.パケットフィルタリングを拡張した方式であり,過去に通過したパケットから通信セッションを認識し,受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断するかを判断する。
正解
エ. パケットフィルタリングを拡張した方式であり,過去に通過したパケットから通信セッションを認識し,受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断するかを判断する。
解説
ステートフルパケットインスペクション(SPI)は、単純なパケットフィルタリングを拡張し、過去に通過したパケットから通信セッション(コネクションの状態)を記憶・追跡する方式。受け付けたパケットがその状態に整合するかを照合して通過可否を判断するため、戻りの通信などを安全に許可できる。これを述べたエが正解。実務では多くのファイアウォールの基本動作として広く使われている。
選択肢ごとの解説
- ア.リバースプロキシとしてWebを中継し検査するのはWAF/プロキシ型の説明で、SPIの特徴ではない。
- イ.プロトコルごとにプロキシを用意して中継・検査するのはアプリケーションゲートウェイ型で誤り。
- ウ.特定プロトコルを中継しコネクションを張り直すのもアプリケーションゲートウェイ型でSPIではない。
- エ.通過済みパケットからセッション状態を認識し照合して通過可否を決める点がSPIの特徴で、これが正解。
情報処理安全確保支援士試験 令和3年度春期 午前Ⅱ の過去問一覧へ戻る・問6