ステートフルインスペクション|情報処理安全確保支援士試験 令和3年秋期午前Ⅱ 問6
出典:令和3年秋期 午前Ⅱ 問6
分野:セキュリティ / 情報セキュリティ対策
ファイアウォールにおけるステートフルパケットインスペクションの特徴はどれか。
- ア:IPアドレスの変換が行われることによって,内部のネットワーク構成を外部から隠蔽できる。
- イ:暗号化されたパケットのデータ部を復号して,許可された通信かどうかを判断できる。
- ウ:過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる。
- エ:パケットのデータ部をチェックして,アプリケーション層での不正なアクセスを防止できる。
TSUNAGARU-ADVICE
まず押さえたいこと
ステートフルパケットインスペクションは、通信の状態を管理し、過去に通過した通信と対応する戻りのパケットを許可する方式です。例えば、内部PCから外部サーバへ送ったリクエストに対する応答は、関連する戻り通信として通過させることができます。
迷ったときの判断軸
IPアドレス変換で内部構成を隠すのはNATやNAPT、暗号化通信を復号して内容を見るのはSSL/TLSインスペクション、データ部を見てアプリケーション層の不正を防ぐのはWAFやアプリケーションゲートウェイの考え方です。ステートフルは、通信の状態やセッションの対応関係を見ると判断しましょう。
科目Bにつなげるために
科目Bでは、ファイアウォールの通信許可ルールや戻り通信の扱いを読み取る場面があります。単に送信元・宛先・ポートだけを見るのではなく、そのパケットが既に許可された通信の応答かどうかを確認する視点を持ちましょう。
ステートフルインスペクションは、通信の状態を記録しながら、通してよいパケットかどうかを判断するファイアウォールの方式です。
通常のパケットフィルタリングでは、送信パケットと戻りパケットの両方について、あらかじめ許可ルールを設定する必要があります。
一方、ステートフルインスペクションでは、通信の開始時だけを許可しておけば、その通信に対する応答パケットは、ファイアウォールが状態を見て自動的に許可します。
このように、通信の流れを見ながら動的にポートを開閉するため、ダイナミックパケットフィルター方式とも呼ばれます。
ステートフルインスペクションを使うと、ルール設定を簡単にできるだけでなく、不自然な順序のパケットや、不正な戻り通信を防ぎやすくなります。
つまりステートフルインスペクションは、「通信の状態を覚えておき、正しい流れの通信だけを通すファイアウォール方式」と考えると分かりやすいです。
したがって、ウが適切です。
❌他選択肢が誤りの理由ア:IPアドレスの変換が行われることによって,内部のネットワーク構成を外部から隠蔽できる。
⇒NATやNAPTの説明です。内部IPアドレスを外部向けのIPアドレスに変換することで、内部ネットワーク構成を見えにくくできますが、通信状態を管理して戻りパケットを通過させるステートフルパケットインスペクションの説明ではありません。
イ:暗号化されたパケットのデータ部を復号して,許可された通信かどうかを判断できる。
⇒TLS復号を行うプロキシ型の検査などに関する説明です。ステートフルパケットインスペクションは、通信の状態を追跡して判断する方式であり、暗号化されたデータ部を復号して内容を検査すること自体を特徴とするものではありません。
エ:パケットのデータ部をチェックして,アプリケーション層での不正なアクセスを防止できる。
⇒アプリケーションゲートウェイやWAF、IDS/IPSなどの説明に近いです。ステートフルパケットインスペクションは、主にIPアドレス、ポート番号、通信状態などを基に判断し、アプリケーション層の不正な内容まで詳しく検査する方式ではありません。