目次 [ close ]
  1. 対象試験と出題頻度
  2. 用語の定義
  3. 解説
    1. ファイアウォールの基本機能
    2. パケットフィルタリング型ファイアウォール
    3. アプリケーションゲートウェイ型ファイアウォール
    4. DMZ(非武装地帯)とは?
    5. WAF(Web Application Firewall)との違い
  4. 試験ではこう出る!
  5. 【確認テスト】理解度チェック

対象試験と出題頻度

ファイアウォールは、ITパスポート・情報セキュリティマネジメント・基本情報技術者・応用情報技術者のすべての試験で頻出する超重要用語です。

頻出度はSランク(絶対に覚える必要あり)。ネットワークセキュリティの基本中の基本であり、DMZやパケットフィルタリングと合わせて出題されることが非常に多いです。

詳細をクリックして確認
対象試験:
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
出題頻度:
★★★★★
ランクS(絶対に覚える必要あり)

用語の定義

ファイアウォール(Firewall)とは、一言で言うと

「外部ネットワーク(インターネット)と内部ネットワーク(社内LAN)の間に設置し、不正な通信を遮断してネットワークを保護するセキュリティ機器・ソフトウェア」

のことです。

 

イメージとしては、「会社の入口に立つ警備員」のようなものです。

 

入ってくる人(通信)をチェックし、許可された人だけを通し、怪しい人は入口で止める役割を果たします。名前の由来は「防火壁」であり、火災(不正アクセス)が燃え広がるのを防ぐという意味が込められています。

ファイアウォールには様々な種類がありますが、試験で特に問われるのは「パケットフィルタリング型」「アプリケーションゲートウェイ型」、そして「DMZ(非武装地帯)」との関係です。

📊 ファイアウォールの種類と特徴(試験頻出!)

種類 動作する層 特徴
パケットフィルタリング型 ネットワーク層トランスポート層 IPアドレス・ポート番号でフィルタリング。高速だが細かい制御は苦手
アプリケーションゲートウェイ型 アプリケーション層 通信内容を詳細にチェック。セキュリティは高いが処理に時間がかかる
サーキットレベルゲートウェイ型 トランスポート層 TCPセッション単位で制御。IPアドレス偽装を防げる

解説

情報処理試験を勉強していると、「ファイアウォールの種類が多すぎて覚えられない…」と感じる人も多いのではないでしょうか。

結論から言うと、ITパスポート・基本情報レベルでは

「パケットフィルタリング型」と「DMZ」

の2つを完璧に押さえておけば、ほとんどの問題に対応できます。

 

ファイアウォールの基本機能

ファイアウォールの基本的な機能は以下の4つです。

フィルタリング機能:設定したルール(ACL:アクセス制御リスト)に基づいて、通信を許可するか遮断するかを判断します。これがファイアウォールの最も重要な機能です。

ログ取得機能:通過・遮断した通信の記録を残します。不正アクセスの調査や、セキュリティインシデント発生時の証拠として使用します。

アドレス変換機能(NAT/NAPT):内部ネットワークのIPアドレスを外部に隠蔽し、セキュリティを向上させます。

監視機能:通信状態を監視し、異常を検知した場合にアラートを発します。

 

パケットフィルタリング型ファイアウォール

最も基本的で広く使われているタイプです。

パケットのヘッダ情報(送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号など)を確認し、あらかじめ設定されたルールに従って通過・遮断を判断します。

 

パケットフィルタリングには、静的フィルタリングと動的フィルタリングの2種類があります。

静的(スタティック)フィルタリング:行きと戻りのルールをそれぞれ手動で設定します。設定がシンプルで高速ですが、戻りパケットの偽装には対応できません。

動的(ダイナミック)フィルタリング:通信の状態を監視し、行きの通信に対応する戻りの通信だけを自動的に許可します。より安全ですが、処理負荷が高くなります。

💡 ステートフルインスペクションとは?

動的フィルタリングの発展形がステートフルインスペクションです。パケットのヘッダ情報だけでなく、通信の「文脈(コンテキスト)」まで監視します。

例えば、TCPの3ウェイハンドシェイクで最初のSYNパケットを記憶し、それに対応するSYN+ACKやACKパケットだけを通過させます。応用情報以上では、この用語が出題されることがあります。

アプリケーションゲートウェイ型ファイアウォール

アプリケーション層(OSI参照モデルの第7層)で動作し、通信の内容まで詳細にチェックするタイプです。HTTP、SMTP、FTPなど、アプリケーションごとに細かい制御ルールを設定できます。

一般的にはプロキシサーバーの形で実装されます。

内部ネットワークのクライアントは直接外部と通信せず、プロキシサーバー(代理サーバー)を経由します。これにより、内部ネットワークの情報を外部に隠すことができます。

⚠️ プロキシサーバーとリバースプロキシサーバーの違い

プロキシサーバーは、内部から外部への通信を代理します。社員がWebサイトを閲覧するときに使います。一方、リバースプロキシサーバーは、外部から内部への通信を代理します。

外部ユーザーが自社のWebサーバーにアクセスするときに使います。この2つは「逆向き」の関係にあり、試験でよく問われます。

DMZ(非武装地帯)とは?

DMZ(DeMilitarized Zone:非武装地帯)は、外部ネットワークと内部ネットワークの中間に設ける「緩衝地帯」です。外部に公開する必要があるサーバー(Webサーバー、メールサーバー、DNSサーバーなど)をDMZに配置します。

 

DMZを設ける理由は明確です。

公開サーバーは外部からアクセスされる必要がありますが、もし公開サーバーが攻撃されて乗っ取られた場合、そこから内部ネットワークに侵入されるリスクがあります。

DMZを設けることで、公開サーバーが侵害されても内部ネットワークへの直接アクセスを防ぐことができます。

 

📊 DMZの構成パターン

構成 特徴
ファイアウォール1台 1台のファイアウォールに3つのインターフェース(外部・DMZ・内部)を接続。設定が複雑になるが、コストは低い
ファイアウォール2台

外部側と内部側に1台ずつ設置し、その間にDMZを配置。異なる製品を使えば、1台が突破されても2台目で防御可能

WAF(Web Application Firewall)との違い

ファイアウォールと似た名前の「WAF」も試験に出ることがあります。

WAFは、Webアプリケーションを狙った攻撃(SQLインジェクション、クロスサイトスクリプティングなど)を防ぐ専用のファイアウォールです。

 

通常のファイアウォールがネットワーク層トランスポート層で動作するのに対し、WAFはアプリケーション層でHTTPの通信内容を詳細に検査します。守る対象が異なるため、両方を組み合わせて使うのが一般的です。

試験ではこう出る!

ファイアウォールはすべての試験区分で頻出です。

特にパケットフィルタリングとDMZの関係を問う問題が多いので、以下のキーワードを確実に覚えましょう。

【重要キーワード】

  • ファイアウォール:不正な通信を遮断してネットワークを保護する機器
  • パケットフィルタリング:IPアドレスやポート番号で通信を制御
  • ACL(アクセス制御リスト):フィルタリングのルールを定義したリスト
  • ステートフルインスペクション:通信の文脈まで監視する動的フィルタリング
  • DMZ(非武装地帯):公開サーバーを配置する緩衝地帯
  • プロキシサーバー:内部から外部への通信を代理
  • リバースプロキシサーバー:外部から内部への通信を代理

試験問題で「IPアドレスやポート番号に基づいて通信を制御するファイアウォールの方式」と問われたら「パケットフィルタリング型」、

「外部公開サーバーを配置する、外部と内部の中間に位置するネットワーク」と問われたら「DMZ」

と答えましょう。

📊 ファイアウォールとWAF・IDS/IPSの比較

セキュリティ機器 主な役割 動作する層
ファイアウォール 不正な通信の遮断 ネットワーク層〜トランスポート層
WAF Webアプリへの攻撃防御 アプリケーション層
IDS/IPS 侵入検知・侵入防止 ネットワーク層〜アプリケーション層

📝 IPA試験での出題パターン

ファイアウォールの問題は、「パケットフィルタリングの仕組み」「DMZに配置するサーバーの選択」「プロキシサーバーとリバースプロキシサーバーの違い」の3パターンが中心です。

応用情報以上では、ACLの具体的な設定内容やステートフルインスペクションの詳細が問われることもあります。まずは基本の用語と役割を完璧に覚えましょう。

【確認テスト】理解度チェック

ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。

Q. ファイアウォールに関する説明として、最も適切なものはどれでしょうか?

  • A. DMZは内部ネットワークの最も安全な場所であり、機密性の高いデータベースサーバーを配置する
  • B. プロキシサーバーは外部から内部への通信を代理し、リバースプロキシサーバーは内部から外部への通信を代理する
  • C. パケットフィルタリング型ファイアウォールは、送信元IPアドレス、宛先IPアドレス、ポート番号などのヘッダ情報に基づいて通信の通過・遮断を判断する

正解と解説を見る

正解:C

解説:
パケットフィルタリング型ファイアウォールは、OSI参照モデルのネットワーク層〜トランスポート層で動作し、パケットのヘッダ情報(送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルなど)を確認して、ACL(アクセス制御リスト)に設定されたルールに従って通過・遮断を判断します。高速に処理できますが、通信内容の詳細までは検査できません。
選択肢Aは誤りです。DMZ(非武装地帯)は外部と内部の中間に位置する緩衝地帯であり、外部に公開するWebサーバーやメールサーバーを配置します。機密性の高いデータベースサーバーは内部ネットワークに配置するのが一般的です。選択肢Bは、プロキシサーバーとリバースプロキシサーバーの説明が逆です。プロキシサーバーは内部から外部への通信を代理し、リバースプロキシサーバーは外部から内部への通信を代理します。