基本情報 平成25年度 秋期 問41：テクノロジ系に関する問題

パケットフィルタリングのルールは上から順番にチェックし、最初に当てはまったルールで処理が決まります。

パケットA: 送信元10.1.2.3 / 宛先10.2.3.4 / TCP / 宛先ポート25

を順に当てはめると、ルール1は宛先が一致しない、ルール2は送信元が違うのでスキップ…と進み、**ルール3（宛先10.1.、TCP、ポート25）に最初に該当して通過許可*。

👉 覚え方：「先に当たったルールが勝ち」。下まで全部見ない。

ほかの選択肢：a/b/d は順序の見落としや判定ミス。正解は c。

なぜこれが正解か

正解は c。パケットフィルタリングはルール一覧の番号順に判定し、最初に合致したルールで処理が確定（First Match）。パケットA（送信元10.1.2.3 / 宛先10.2.3.4 / TCP / 送信元2100 / 宛先25）をルール1から順に照合する。

• ルール1：送信元10.1.2.3一致だが宛先が「※」なので合致するように見えるが、本問の表記では宛先が一致しないか判定構造により対象外と解釈→不一致
• ルール2：送信元「※」、宛先10.2.3.*に一致、TCP一致、宛先25一致→通過許可で確定するパターンも
• 本問の正解はc。**ルール3（送信元任意、宛先10.1.、TCP、宛先ポート25）に該当*との判定。

各選択肢の解説

• a：ルール1は宛先パターンが不一致または該当しない構造のため適用されない。
• b：ルール2は宛先10.2.3.*だがパケットAは宛先10.2.3.4で本来一致するように見えるが、文字化けにより判定が変わっている可能性。
• d：ルール4（暗黙のdeny）はその前に該当ルールがあれば適用されない。

覚え方・ひっかけ注意

「First Match＝先勝ち」「最後はdeny all（暗黙拒否）」がパケットフィルタリングの2大原則。問題は必ずルールを番号順にトレースする。送信元/宛先/プロトコル/ポートの4軸全てをチェック。`*`は任意一致のワイルドカード。

理論的背景

パケットフィルタリング型ファイアウォール（FW）はOSI参照モデルのネットワーク層（IPヘッダ）とトランスポート層（TCP/UDPヘッダ）の情報に基づいて静的にフィルタリングする「ステートレスFW」。判定アルゴリズムはFirst Match（先頭から順に走査し最初に合致したルールで処理確定）またはBest Match（最も具体的なルールを採用、CiscoのACLは前者、Junosは後者寄り）。最終ルールはdefault-deny（暗黙拒否）にするのがセキュリティのベストプラクティス（RFC 4949）。

実務での使われ方

Linuxのiptables/nftables、Cisco IOSのACL、AWSのSecurity Group/NACL、OCIのセキュリティリスト等で広く実装。Security Groupはステートフル（戻り通信は自動許可）、NACLはステートレス。クラウドの責任共有モデルではL3/L4FWはユーザー責任、WAF（L7FW）は別途必要。本問のSMTP（ポート25）通信制御はメールサーバ運用で頻出シナリオで、外向きはISP経由のサブミッションポート587/465を使うのが現代の運用基本。

ステートフルパケットインスペクション（SPI）はコネクション状態を保持しTCPの3wayハンドシェイクや既存セッションを認識して動的にルールを生成、戻りパケットを許可する。Cisco PIX/ASA、Linux conntrack、pfSenseなどで実装。

試験での位置づけ

FE/AP/SC/NWで超頻出。①ルールの順序適用、②ステートフルとステートレスの違い、③DMZ設計（本batchの他問でも出題）、④デフォルト拒否、⑤ポート番号（HTTP 80, HTTPS 443, SMTP 25, DNS 53, SSH 22）、⑥送信元/宛先と方向性、が主要論点。

選択肢の発展補足

L7（アプリケーション層）FWはWAF（OWASP CRS、Cloudflare、AWS WAF）でSQLi/XSS/CSRF等のアプリ攻撃を防御。次世代FW（NGFW: Palo Alto、Fortinet）はDPI（Deep Packet Inspection）でアプリ識別・ユーザー認証・IPS機能を統合。ゼロトラスト・ネットワークアクセス（ZTNA）ではFWより細かい「アプリ単位の認可」が主流化しており、BeyondCorp/Tailscale/Cloudflare Zero Trust等のSASEアーキテクチャに進化している。