対象試験と出題頻度
パケットアナライザ(LANアナライザ)は、応用情報技術者で出題されるテーマです。
ネットワーク障害の調査手法やセキュリティ攻撃(スニッフィング)の文脈で登場し、「ミラーポート」「プロミスキャスモード」といった関連用語との組み合わせで問われます。
詳細をクリックして確認
応用情報技術者
★★☆☆☆
ランクC(応用)余裕があれば覚える
用語の定義
情報処理試験を勉強していると、「パケットアナライザって何のためのツール?LANアナライザとは違うの?」と疑問に思うことがあります。
パケットアナライザ(Packet Analyzer)とは、一言で言うと
「ネットワーク上を流れるパケットを取得(キャプチャ)し、その中身を解析するツールの総称」
のことです。
イメージとしては、「郵便局の仕分け室に設置した監視カメラ」です。
郵便物(パケット)が行き交う場所にカメラを置けば、どこからどこへ何が送られているかをすべて記録・確認できます。
パケットアナライザは、ネットワーク上のデータの流れをそのまま記録して中身を可視化するツールです。
📊 パケットアナライザの基本情報
| 項目 | 内容 |
|---|---|
| 別名 | LANアナライザ、プロトコルアナライザ、スニファ(Sniffer) |
| 代表的なツール | Wireshark(GUI)、tcpdump(CUI) |
| 主な用途 | ネットワーク障害の原因調査、通信内容のデバッグ、セキュリティ監査 |
| 悪用時の脅威 | スニッフィング(盗聴)によるパスワード等の不正取得 |
解説
ネットワーク上で通信トラブルが起きたとき、「どのパケットがどこで止まっているのか」「不正な通信が混ざっていないか」を調べるには、実際に流れているデータそのものを見る必要があります。
パケットアナライザは、NIC(ネットワークインタフェースカード)を「プロミスキャスモード(無差別受信モード)」に切り替えることで、本来は自分宛てでないパケットも含めてすべてのフレームを取り込みます。
取り込んだデータをOSI参照モデルの各層に分解し、送信元・宛先のIPアドレスやポート番号、ペイロード(データ本体)まで確認できる仕組みです。
▶ パケットキャプチャの方法(クリックで展開)
キャプチャ対象のパケットを取り込むには、物理的にパケットが届く環境を用意する必要があります。主な方法は3つです。
ミラーポート(ポートミラーリング):スイッチングハブ(L2スイッチ)の特定ポートを流れるパケットのコピーを、別のポートに転送する機能です。アナライザをこのミラーポートに接続すれば、対象の通信内容をすべて取得できます。IPA試験で最も頻繁に登場する方法です。
ネットワークタップ:LANケーブルの途中に物理的に挿入し、通過するパケットを分岐してアナライザに送る専用装置です。ミラーポートと異なり、スイッチの設定変更が不要な点がメリットです。
自端末での直接キャプチャ:自分のPC上でWiresharkやtcpdumpを起動し、そのPCが送受信するパケットをそのまま取得する方法です。自端末の通信トラブル調査に使います。
▶ 正当な用途と悪用(スニッフィング)の違い(クリックで展開)
では、この用語が試験でどのように出題されるか見ていきましょう。
💡 パケットアナライザの核心を3行で
・ネットワーク上のパケットを取得・解析するツール(代表例:Wireshark、tcpdump)
・ミラーポートやネットワークタップ経由でキャプチャし、障害調査やセキュリティ監査に使う
・悪用されるとスニッフィング(盗聴)になるため、管理者が厳格に管理する必要がある
試験ではこう出る!
パケットアナライザは、IPA試験では「LANアナライザ」という名称で繰り返し出題されています。
出題パターンは大きく2つに分かれます。
📊 過去問での出題実績(クリックして表示)
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| AP H22春 午前 問42 |
ミラーポートを用意してLANアナライザを使用するときの留意点を選ぶ問題。 | ・「盗聴に悪用されないよう注意する」が正解 ・パケットの破棄やケーブル切断はひっかけ選択肢 |
| AP H25春 午前 問41 |
H22春 問42と同一の問題(流用)。FE H27秋 問41でも再出題。 | ・AP・FE間で同一問題が出回る典型例 ・「盗聴リスクの管理」が繰り返し問われている |
| AP H25秋 午前 問44 |
スニッフィング・辞書攻撃・ブルートフォース攻撃と対策の組み合わせを選ぶ問題。 | ・スニッフィングの対策は「パスワードを平文で送信しない(暗号化する)」 ・パケットアナライザの悪用がスニッフィングである点の理解が前提 |
📝 IPA試験での出題パターン
パターン1:「LANアナライザ使用時の留意点を選べ」
ミラーポート経由でLANアナライザを使うときに何に注意すべきかを問う形式。正解は「盗聴に悪用されないよう管理する」。ひっかけ選択肢として「パケットが破棄される」「ケーブルを切断する必要がある」「利用者に保管場所を周知する」が登場する。
パターン2:「スニッフィングの対策を選べ」
パケットの盗聴(=パケットアナライザの悪用)への対策として「通信の暗号化」を選ばせる形式。辞書攻撃やブルートフォース攻撃の対策との区別が問われる。
試験ではここまででOKです。Wiresharkの操作方法やフィルタ構文まで問われることはないので、深追いは不要です。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. ネットワーク障害の原因調査でLANアナライザ(パケットアナライザ)を使用する際の留意点として、最も適切なものはどれでしょうか?
- A. 測定中はLANアナライザがパケットを破棄してしまうため、測定対象外のコンピュータの利用を事前に制限しておく必要がある。
- B. 測定にあたってLANケーブルを一時的に切断する必要があるため、ネットワーク利用者に測定日を事前に通知しておく必要がある。
- C. LANアナライザにはネットワークを通過するパケットの内容を表示できるため、盗聴などに悪用されないよう管理者が厳格に管理する必要がある。
正解と解説を見る
正解:C
解説:
LANアナライザ(パケットアナライザ)はネットワーク上のパケットを取得・表示できるため、第三者に悪用されるとスニッフィング(盗聴)の手段になります。管理者が保管場所やアクセス権限を厳格に管理することが不可欠です。
選択肢Aは誤りです。LANアナライザはパケットを「コピーして記録」するものであり、パケットを破棄する機能はありません。測定対象外のコンピュータの利用制限も不要です。選択肢Bも誤りです。ミラーポートやネットワークタップを使えば、LANケーブルを切断せずにパケットを取得できます。
よくある質問(FAQ)
Q. Wiresharkとtcpdumpはどちらもパケットアナライザですが、何が違いますか?
操作方法と表示形式が異なります。Wiresharkはグラフィカルなインタフェース(GUI)を備え、パケットの中身を色分け・ツリー表示で確認できるため、初心者でも直感的に使えます。一方、tcpdumpはコマンドライン(CUI)で動作し、テキストベースで結果を出力します。リモートサーバーなどGUIが使えない環境での利用に向いています。
Q. 「LANアナライザ」と「パケットアナライザ」と「プロトコルアナライザ」はすべて同じものですか?
ほぼ同義として使われます。「LANアナライザ」はLAN上の通信に焦点を当てた呼び方、「プロトコルアナライザ」は通信プロトコルの解析に重点を置いた呼び方ですが、実体としてはいずれもパケットを取得・解析するツールを指します。IPA試験では「LANアナライザ」と表記されることが多いので、この名称に慣れておいてください。
Q. 暗号化された通信(HTTPS等)でもパケットアナライザで中身は見えますか?
パケット自体は取得できますが、暗号化されたペイロード(データ本体)は解読できません。送信元・宛先のIPアドレスやポート番号、パケットサイズなどのヘッダ情報は確認できますが、通信内容の解読には復号鍵が必要です。これが「スニッフィング対策に暗号化が有効」とされる根拠です。
Q. プロミスキャスモードとは何ですか?
NIC(ネットワークインタフェースカード)の動作モードの一つで、自分宛て以外のパケットもすべて受信する設定です。通常、NICは自分のMACアドレス宛てのフレームだけを受け取りますが、プロミスキャスモードを有効にすると宛先に関係なくすべてのフレームを取り込みます。パケットアナライザはこの機能を利用してネットワーク全体の通信を監視します。
