最終更新日:2026年5月10日
sg sg-security-measures unauthorized_access network access_control
まず結論
サーキットレベルゲートウェイ方式とは、クライアントとサーバの間に入り、コネクションの確立を制御するファイアウォール方式です。
SG試験では、次の表現が出てきたらサーキットレベルゲートウェイ方式を考えます。
- コネクションを中継する
- クライアントからの接続要求を受け付ける
- 目的サーバに改めて接続する
- アプリケーションの中身までは詳しく見ない
- TCP接続などの成立を制御する
判断のポイントは、通信内容の細かい検査ではなく、接続の成立を管理することです。
直感的な説明
サーキットレベルゲートウェイ方式は、受付でいうと、相手につなぐ前に、接続してよい相手かを確認する交換手のようなものです。
たとえば、クライアントが外部サーバへ接続したい場合を考えます。
- クライアントはゲートウェイに接続を要求する
- ゲートウェイが接続してよいかを確認する
- 問題なければ、ゲートウェイが目的サーバへ接続する
- その後の通信を中継する
つまり、クライアントとサーバを直接つなぐのではなく、ゲートウェイが間に入って接続を成立させる方式です。
アプリケーションゲートウェイ方式と似ていますが、サーキットレベルゲートウェイ方式の中心は、通信内容の詳しい検査ではなく、接続の制御です。
定義・仕組み
サーキットレベルゲートウェイ方式では、クライアントからのコネクション要求をゲートウェイが受け付けます。
その後、ゲートウェイが目的のサーバに対して、改めてコネクションを確立します。
このため、クライアントとサーバは直接接続しているように見えても、実際にはゲートウェイが間に入っています。
主な特徴は、次のとおりです。
- クライアントとサーバの間で接続を中継する
- コネクションの確立可否を制御する
- 内部ネットワークの情報を隠しやすい
- アプリケーションの内容までは詳しく検査しない
サーキットレベルゲートウェイ方式の代表例として、SOCKSプロキシが説明されることがあります。
参考として、NISTのファイアウォールに関する文書でも、ファイアウォール技術の例として、パケットフィルタリング、ステートフルインスペクション、アプリケーションプロキシゲートウェイなどが整理されています。
NIST SP 800-41 Rev.1 Guidelines on Firewalls and Firewall Policy
ファイアウォール方式の切り分け
| 方式 | 見ているもの | 試験での判断基準 |
|---|---|---|
| パケットフィルタリング方式 | IPアドレス、ポート番号、プロトコルなど | パケット単体の条件で判断する |
| ステートフルインスペクション方式 | 通信セッションの状態 | 通信の流れ・状態を見て判断する |
| アプリケーションゲートウェイ方式 | アプリケーションプロトコルの内容 | プロキシとして中継し、内容を詳しく検査する |
| サーキットレベルゲートウェイ方式 | コネクションの確立可否 | 接続の成立を見て制御する |
| WAF | Webアプリケーションへの通信内容 | Webアプリへの攻撃を防ぐ |
| 次世代ファイアウォール(NGFW) | アプリケーション識別、利用者、脅威情報など | 従来型FWに加えて、より細かい通信制御を行う |
| UTM | 複数のセキュリティ機能 | FW、ウイルス対策、IPSなどをまとめて提供する |
SG試験では、選択肢に「コネクション」「接続要求」「目的サーバに改めて接続」といった表現があれば、サーキットレベルゲートウェイ方式を考えます。
どんな場面で使う?
サーキットレベルゲートウェイ方式は、クライアントと外部サーバの接続を直接行わせず、ゲートウェイ経由にしたい場面で使われます。
たとえば、次のような場面です。
- 内部ネットワークの端末を外部に直接見せたくない
- 外部サーバへの接続をゲートウェイ経由にしたい
- 接続の成立可否を制御したい
- アプリケーションの中身までは細かく見なくてよい
ポイントは、通信内容の詳細検査より、接続を中継・制御することが主目的という点です。
そのため、アプリケーションゲートウェイ方式より処理は軽くなりやすい一方で、アプリケーション層の細かい検査には向きません。
Webアプリケーションへの攻撃を検査したい場合は、WAFの役割になります。
よくある誤解・混同
アプリケーションゲートウェイ方式との混同
サーキットレベルゲートウェイ方式とアプリケーションゲートウェイ方式は、どちらもクライアントとサーバの間に入るため混同しやすいです。
切り分けのポイントは、何を見ているかです。
- コネクションの成立を見る → サーキットレベルゲートウェイ方式
- アプリケーションプロトコルの内容を見る → アプリケーションゲートウェイ方式
選択肢に「アプリケーションプロトコルごとにプロキシプログラムを用意」とあれば、アプリケーションゲートウェイ方式です。
ステートフルインスペクション方式との混同
ステートフルインスペクション方式は、通信セッションの状態を見て、通信の流れに合っているかを判断します。
一方、サーキットレベルゲートウェイ方式は、ゲートウェイが間に入り、コネクションの確立を中継・制御する点が特徴です。
選択肢に「過去に通過したパケット」「通信セッションの状態」とあれば、ステートフルインスペクション方式を考えます。
パケットフィルタリング方式との混同
パケットフィルタリング方式は、IPアドレスやポート番号などのパケットヘッダ情報を見て判断します。
サーキットレベルゲートウェイ方式は、単にパケット単体を見るのではなく、接続をゲートウェイで受けて中継するところがポイントです。
WAFとの混同
WAFは、Webアプリケーションを狙う攻撃を防ぐために、HTTPリクエストなどの内容を検査します。
サーキットレベルゲートウェイ方式は、Webアプリケーションへの攻撃内容を詳しく見る方式ではありません。
選択肢に「SQLインジェクション」「クロスサイトスクリプティング」「Webアプリへの不正な入力」とあれば、WAFを考えます。
まとめ(試験直前用)
サーキットレベルゲートウェイ方式は、クライアントとサーバの間に入り、コネクションの確立を制御する方式です。
試験直前は、次の基準で切り分けましょう。
- IPアドレス・ポート番号を見るなら、パケットフィルタリング方式
- 通信の状態・流れを見るなら、ステートフルインスペクション方式
- アプリケーションごとのプロキシなら、アプリケーションゲートウェイ方式
- コネクションの確立を見るなら、サーキットレベルゲートウェイ方式
- Webアプリへの攻撃を見るなら、WAF
特に、選択肢に「クライアントからのコネクション要求を受け付ける」「目的サーバに改めて接続する」「接続を中継する」とあれば、サーキットレベルゲートウェイ方式を選ぶ手がかりになります。
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【SG試験】
- 入退室管理とは?物理アクセス制御の基本【SG試験】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【SG試験】
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】