最終更新日:2026年5月10日
sg sg-security-measures unauthorized_access network access_control
まず結論
アプリケーションゲートウェイ方式とは、クライアントとサーバの間に入り、アプリケーションごとのプロキシとして通信を中継するファイアウォール方式です。
SG試験では、次の言葉が出てきたらアプリケーションゲートウェイ方式を考えます。
- プロキシ
- 代理サーバ
- アプリケーションプロトコルごと
- 通信内容を詳しく検査
- クライアントとサーバの間で中継
判断のポイントは、単にパケットを通すのではなく、いったん代理で受け取ってから中継することです。
直感的な説明
アプリケーションゲートウェイ方式は、受付でいうと、本人の代わりに内容を確認して取り次ぐ受付のようなものです。
たとえば、クライアントがWebサーバにアクセスしたい場合を考えます。
- クライアントは直接Webサーバに接続しない
- アプリケーションゲートウェイが通信を受け取る
- 通信内容を確認する
- 問題なければ、目的のサーバへ中継する
つまり、クライアントとサーバの間で、代理人のように通信を取り次ぐ方式です。
パケットフィルタリング方式のように、IPアドレスやポート番号だけを見る方式よりも、通信内容を詳しく確認できます。
定義・仕組み
アプリケーションゲートウェイ方式では、HTTP、FTP、SMTPなど、アプリケーションプロトコルごとにプロキシ機能を用意します。
クライアントからの通信は、いったんアプリケーションゲートウェイで受け取られます。
その後、アプリケーションゲートウェイが目的のサーバに対して、改めて通信を行います。
このため、クライアントとサーバが直接つながるのではなく、間にゲートウェイが入ります。
主な特徴は、次のとおりです。
- アプリケーション層の内容を確認できる
- 通信内容に応じた細かい制御ができる
- クライアントとサーバを直接接続させない
- プロトコルごとの処理が必要になる
参考として、NISTのファイアウォールに関する文書でも、ファイアウォール技術の例として、パケットフィルタリング、ステートフルインスペクション、アプリケーションプロキシゲートウェイなどが整理されています。
NIST SP 800-41 Rev.1 Guidelines on Firewalls and Firewall Policy
ファイアウォール方式の切り分け
| 方式 | 見ているもの | 試験での判断基準 |
|---|---|---|
| パケットフィルタリング方式 | IPアドレス、ポート番号、プロトコルなど | パケット単体の条件で判断する |
| ステートフルインスペクション方式 | 通信セッションの状態 | 通信の流れ・状態を見て判断する |
| アプリケーションゲートウェイ方式 | アプリケーションプロトコルの内容 | プロキシとして中継し、内容を詳しく検査する |
| サーキットレベルゲートウェイ方式 | コネクションの確立可否 | 接続の成立を見て制御する |
| WAF | Webアプリケーションへの通信内容 | Webアプリへの攻撃を防ぐ |
| 次世代ファイアウォール(NGFW) | アプリケーション識別、利用者、脅威情報など | 従来型FWに加えて、より細かい通信制御を行う |
| UTM | 複数のセキュリティ機能 | FW、ウイルス対策、IPSなどをまとめて提供する |
SG試験では、選択肢に「アプリケーションプロトコルごとにプロキシプログラムを用意する」とあれば、アプリケーションゲートウェイ方式と判断しやすいです。
どんな場面で使う?
アプリケーションゲートウェイ方式は、通信内容を詳しく見て制御したい場面で使われます。
たとえば、次のような場面です。
- HTTP通信の内容を確認して中継する
- FTPなど特定プロトコルの通信を制御する
- 社内利用者の通信をプロキシ経由にする
- 外部サーバと直接通信させたくない
ポイントは、通信を直接通さず、いったんプロキシで受けることです。
そのため、単純なパケットフィルタリング方式よりも細かい制御ができます。
一方で、プロトコルごとに対応が必要になり、処理負荷も大きくなりやすい点には注意が必要です。
よくある誤解・混同
パケットフィルタリング方式との混同
パケットフィルタリング方式は、主にIPアドレスやポート番号などのパケットヘッダ情報を見て判断します。
一方、アプリケーションゲートウェイ方式は、アプリケーションプロトコルの内容を見て判断します。
選択肢に「プロキシ」「代理」「アプリケーションプロトコルごと」とあれば、アプリケーションゲートウェイ方式です。
ステートフルインスペクション方式との混同
ステートフルインスペクション方式は、通信セッションの状態を見ます。
たとえば、「この戻り通信は、先ほど社内から始まった通信の返答か」を判断します。
一方、アプリケーションゲートウェイ方式は、通信の状態だけでなく、アプリケーション層の内容をプロキシとして確認する点が特徴です。
サーキットレベルゲートウェイ方式との混同
サーキットレベルゲートウェイ方式も、クライアントとサーバの間に入る点では似ています。
ただし、サーキットレベルゲートウェイ方式は、主にコネクションの確立を見て制御します。
アプリケーションゲートウェイ方式は、アプリケーションプロトコルの内容まで見ます。
試験では、次のように切り分けます。
- コネクションの成立を見る → サーキットレベルゲートウェイ方式
- アプリケーションごとの内容を見る → アプリケーションゲートウェイ方式
WAFとの混同
WAFもアプリケーション層の内容を見ます。
ただし、WAFは特にWebアプリケーションを狙う攻撃を防ぐことが目的です。
アプリケーションゲートウェイ方式は、より広く、アプリケーションプロトコルごとのプロキシとして通信を中継する方式です。
選択肢で「Webアプリへの不正な入力を検査」とあれば、WAFを考えます。
まとめ(試験直前用)
アプリケーションゲートウェイ方式は、アプリケーションごとのプロキシとして通信を中継し、内容を検査する方式です。
試験直前は、次の基準で切り分けましょう。
- IPアドレス・ポート番号を見るなら、パケットフィルタリング方式
- 通信の状態・流れを見るなら、ステートフルインスペクション方式
- アプリケーションごとのプロキシなら、アプリケーションゲートウェイ方式
- コネクションの確立を見るなら、サーキットレベルゲートウェイ方式
- Webアプリへの攻撃を見るなら、WAF
特に、選択肢に「アプリケーションプロトコルごと」「プロキシプログラム」「クライアントとサーバの通信を中継」とあれば、アプリケーションゲートウェイ方式を選ぶ手がかりになります。
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【SG試験】
- 入退室管理とは?物理アクセス制御の基本【SG試験】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【SG試験】
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】