基本情報 平成27年度 春期 問44：テクノロジ系に関する問題

答えは a です（※本問は画像のルール表が省略されており、正答指定aに従います）。

パケットフィルタリング型ファイアウォールは「通信の通行手形チェック」みたいなもの。

ルール表に「この送信元・宛先・ポートはOK／NG」と書いてあって、上から順にチェックして、最初にマッチしたルールで通すか止めるかを決めます。

👉 覚え方：ファイアウォール＝順番にルールを見て、最初の一致で判定。

ほかの選択肢：b/c/d は本問では文字化け／部分表示のため、a が正答として登録されています。

なぜこれが正解か

正解は a（公式解答に従う。本問は表データが文字化けしており、正答ラベルベースで解説）。パケットフィルタリング型ファイアウォールは、ルールリスト（ACL：Access Control List）を上から順次照合し、最初にマッチしたルールを適用する「First Match」方式が一般的。マッチしない場合は「明示的に許可されない通信は拒否（Default Deny）」が原則。

各選択肢の解説

ルール照合の典型パターン：

• 送信元IP・宛先IP・送信元ポート・宛先ポート・プロトコルの5タプルで判定。
• 上位ルールほど優先される。
• 設計時は「より具体的なルールを上に、汎用ルールを下に」配置する。

覚え方・ひっかけ注意

パケットフィルタの3鉄則：(1) First Match、(2) Default Deny、(3) 必要最小限の許可（最小権限の原則）。ステートフルインスペクション型は「セッション状態」も保持し、戻り通信を自動許可する点がパケットフィルタとの違い。

理論的背景

ファイアウォールは進化段階で (1) パケットフィルタリング（L3-L4、ステートレス）、(2) ステートフルインスペクション（セッションテーブル管理）、(3) アプリケーションゲートウェイ（プロキシ型）（L7、コンテンツ検査）、(4) 次世代ファイアウォール（NGFW）（アプリ識別・IPS・URL Filter・SSL Decryption統合）、(5) WAF（Web Application Firewall）（HTTP特化）に分類される。

実務での使われ方

エンタープライズ環境では境界防御（Perimeter Defense）に加え、ゼロトラスト（Zero Trust：BeyondCorp）アプローチでマイクロセグメンテーションを実施。CASB／SASE／ZTNA（Zero Trust Network Access）が現代的アーキテクチャ。クラウド環境ではセキュリティグループ（AWS／Azure NSG／GCP Firewall Rules）がパケットフィルタの実装形態。Linux環境ではiptables／nftables／ufwで実現。

試験での位置づけ

情報セキュリティ・ネットワーク分野の頻出論点。基本情報・応用情報・情報処理安全確保支援士・ネットワークスペシャリストで毎期出題。ルール照合のシミュレーション問題は科目B（旧午後）にも登場する。

選択肢の発展補足

• ACLの設計指針：(1) 内向き（Inbound）と外向き（Outbound）を別管理、(2) 不要ルールの削除（Drift管理）、(3) ログ取得とSIEM連携、(4) 定期的なルール監査（PCI DSS等のコンプライアンス要件）。
• DMZ（DeMilitarized Zone）設計：3-leg FW構成 vs 2-leg FW二重構成の選定。
• ICMP制御の落とし穴：完全遮断するとPath MTU Discoveryが機能せず接続不能になる場合あり。Type 3 Code 4は許可推奨。
• 関連用語：IPS（Intrusion Prevention System）・IDS（Intrusion Detection System）・SIEM（Security Information and Event Management）・SOAR（Security Orchestration, Automation and Response）。