ファイアウォールの種類として、パケットフィルタ型、ステートフルインスペクション型、アプリケーションゲートウェイ型などを整理します。SG試験で問われやすい見る情報の違い、通信制御の考え方、ひっかけポイントを解説します。

sg sg-security-measures network_security firewall access_control

まず結論

ファイアウォールの種類は、通信のどこまで見て、通すか止めるかを判断するかで整理できます。

SG試験では、特に次の切り分けが重要です。

種類 判断の中心
パケットフィルタ型 IPアドレス、ポート番号などのヘッダー情報
ステートフルインスペクション型 通信の状態や流れ
アプリケーションゲートウェイ型 アプリケーション層の内容

ざっくり言うと、下位の情報だけを見るほど軽く、上位の内容まで見るほど細かく制御できると考えると分かりやすいです。

直感的な説明

ファイアウォールは、ネットワークの入口にある関所のようなものです。

ただし、関所にも種類があります。

  • 名札だけを見る関所
  • 入退場の記録も見る関所
  • 持ち物や目的まで詳しく確認する関所

これをネットワークに置き換えると、次のようになります。

たとえ ファイアウォールの種類
名札だけを見る パケットフィルタ型
入退場の流れも見る ステートフルインスペクション型
目的や中身まで見る アプリケーションゲートウェイ型

つまり、ファイアウォールの種類は、確認する深さの違いとして理解すると整理しやすいです。

定義・仕組み

ファイアウォールは、内部ネットワークと外部ネットワークの境界などに置かれ、通信を許可・拒否する仕組みです。

ただし、すべてのファイアウォールが同じ見方をするわけではありません。

通信を制御するときに見る情報の範囲によって、いくつかの種類に分けられます。

パケットフィルタ型

パケットフィルタ型は、パケットのヘッダー情報を見て、通過可否を判断する方式です。

主に次の情報を見ます。

  • 送信元IPアドレス
  • 宛先IPアドレス
  • 送信元ポート番号
  • 宛先ポート番号
  • プロトコル
  • 通信の方向

たとえば、次のようなルールで制御します。

ルール例 意味
宛先ポート443番を許可 HTTPS通信を許可する
特定IPアドレスからの通信を拒否 怪しい通信元を遮断する
外部から内部への不要な通信を拒否 不正アクセスの入口を減らす

試験でのポイント

パケットフィルタ型は、通信内容の本文までは詳しく見ない点が重要です。

SG試験で、IPアドレスやポート番号をもとに通信を制御する説明が出たら、パケットフィルタ型を考えます。

ステートフルインスペクション型

ステートフルインスペクション型は、通信の状態を管理しながら、通過可否を判断する方式です。

単に1個のパケットだけを見るのではなく、通信の流れを確認します。

たとえば、社内PCから外部Webサイトへアクセスした場合、外部から戻り通信が返ってきます。
この戻り通信は外部から内部への通信に見えますが、実際には社内PCが開始した通信への返事です。

ステートフルインスペクション型では、状態テーブルを使って、正しい通信の返事かどうかを判断できます。

試験でのポイント

次の表現が出たら、ステートフルインスペクション型を疑います。

  • 通信状態を管理する
  • セッションの状態を確認する
  • 内部から開始した通信の戻りを許可する
  • 状態テーブルを使う

アプリケーションゲートウェイ型

アプリケーションゲートウェイ型は、アプリケーション層の内容まで確認して通信を制御する方式です。

パケットフィルタ型がIPアドレスやポート番号を見るのに対して、アプリケーションゲートウェイ型は、通信内容をより細かく確認します。

たとえば、次のような制御が考えられます。

  • HTTPの内容を確認する
  • 利用するアプリケーションごとに制御する
  • 不適切な通信内容を遮断する
  • 代理サーバとして通信を中継する

アプリケーションゲートウェイ型は、通信の中身を見て細かく判断できる一方で、処理が重くなりやすい点があります。

試験でのポイント

SG試験では、アプリケーション層の内容まで見るという表現が手がかりになります。

「IPアドレスやポート番号だけで判断する」ならパケットフィルタ型、
「アプリケーションの内容まで確認する」ならアプリケーションゲートウェイ型、と切り分けます。

サーキットレベルゲートウェイ型

サーキットレベルゲートウェイ型は、通信経路やセッションの確立を確認して制御する方式です。

アプリケーションの内容を細かく確認するというより、通信の接続関係が正しいかを確認します。

SG試験では、パケットフィルタ型やアプリケーションゲートウェイ型ほど頻出ではありませんが、比較として出ることがあります。

試験でのポイント

サーキットレベルゲートウェイ型は、次のように押さえておくと十分です。

  • 通信の接続状態を確認する
  • アプリケーション内容の詳細な検査ではない
  • パケットフィルタ型とアプリケーションゲートウェイ型の中間的な位置づけ

種類ごとの比較

試験では、種類を個別に覚えるより、何を見て判断するかで並べると切り分けやすいです。

種類 見る情報 特徴
パケットフィルタ型 IPアドレス、ポート番号など 基本的な通信制御。中身は詳しく見ない
ステートフルインスペクション型 通信状態、セッション状態 戻り通信を判断しやすい
サーキットレベルゲートウェイ型 接続状態 通信経路やセッション確立を確認する
アプリケーションゲートウェイ型 アプリケーション層の内容 細かく制御できるが処理は重くなりやすい

よくある誤解・混同

誤解1:ファイアウォールはすべて通信内容まで見る

これは誤りです。

パケットフィルタ型は、主にヘッダー情報を見て判断します。
通信内容の本文まで詳しく確認するとは限りません。

ファイアウォール=通信内容を全部見ると覚えると、試験で迷いやすくなります。

誤解2:パケットフィルタ型とステートフルインスペクション型は同じ

似ていますが、同じではありません。

用語 違い
パケットフィルタ型 ルールに基づき、主にヘッダー情報で判断
ステートフルインスペクション型 通信状態や流れも見て判断

「状態を管理する」「セッションを追跡する」という表現があれば、ステートフルインスペクション型を選びます。

誤解3:アプリケーションゲートウェイ型は暗号化の方式である

これも誤りです。

アプリケーションゲートウェイ型は、通信内容を確認して制御する方式です。
通信を暗号化する仕組みではありません。

暗号化の代表例は、TLSやVPNなどです。

誤解4:NAPTはファイアウォールの種類である

NAPTは、IPアドレスやポート番号を変換する仕組みです。

ファイアウォールと一緒に使われることはありますが、ファイアウォールの種類そのものとして覚えると混乱します。

用語 役割
ファイアウォール 通信を許可・拒否する
NAPT IPアドレスやポート番号を変換する

試験での判断ポイント

SG試験では、次のようにキーワードで判断すると選択肢を切りやすいです。

キーワード 選びやすい用語
IPアドレス、ポート番号、プロトコル パケットフィルタ型
通信状態、セッション、状態テーブル ステートフルインスペクション型
接続状態、通信経路 サーキットレベルゲートウェイ型
アプリケーション層、HTTPの内容、代理サーバ アプリケーションゲートウェイ型
IPアドレス変換、ポート番号変換 NAPT
不正通信を検知 IDS
不正通信を検知して遮断 IPS

特に、ポート番号を見るポート番号を変換するは混同しやすいです。

  • ポート番号を見る → パケットフィルタ型
  • ポート番号を変換する → NAPT

この違いを押さえておくと、ひっかけ問題に強くなります。

まとめ(試験直前用)

ファイアウォールの種類は、通信のどこまで見て判断するかで整理します。

試験直前は、次の3点を押さえておきましょう。

  • パケットフィルタ型はヘッダー情報を見る
    IPアドレス、ポート番号、プロトコルなどで通過可否を判断する。

  • ステートフルインスペクション型は通信状態も見る
    セッションや戻り通信を状態テーブルで確認する。

  • アプリケーションゲートウェイ型はアプリケーション層を見る
    通信内容をより細かく確認して制御する。

SG試験では、「何を見て判断しているか」に注目すると、ファイアウォールの種類を切り分けやすくなります。

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る