最終更新日:2026年5月10日
sg sg-security-measures unauthorized_access network access_control
まず結論
パケットフィルタリング方式とは、通信の最小単位であるパケットの情報を見て、通すか遮断するかを判断するファイアウォール方式です。
主に見ているのは、次のような情報です。
- 送信元IPアドレス
- 宛先IPアドレス
- 送信元ポート番号
- 宛先ポート番号
- プロトコル
SG試験では、パケットフィルタリング方式は、パケット単体の条件で判断する方式と押さえるのが大切です。
ステートフルインスペクション方式との違いは、通信の状態を覚えて判断するかどうかです。
直感的な説明
パケットフィルタリング方式は、受付でいうと、名簿や条件だけを見て通す受付のようなものです。
たとえば、次のようなルールを作ります。
- 社内から外部のWebサイトへの通信は許可
- 外部から社内への不要な通信は遮断
- 特定のポート番号への通信だけ許可
このように、あらかじめ決めた条件に合うかどうかで判断します。
ただし、パケットフィルタリング方式は、基本的にそのパケットがどの通信の続きなのかまでは詳しく見ません。
そのため、通信の流れまで考えて判断するステートフルインスペクション方式とは、ここが大きな違いです。
定義・仕組み
パケットフィルタリング方式では、ファイアウォールにアクセス制御ルールを設定します。
そして、通過しようとするパケットのヘッダ情報を見て、ルールに合っているかを確認します。
たとえば、次のようなルールです。
| 条件 | 動作 |
|---|---|
| 社内PCから外部WebサーバへのHTTP通信 | 許可 |
| 外部から社内PCへの不要な通信 | 遮断 |
| 管理用ポートへの外部からの通信 | 遮断 |
ここで重要なのは、主にヘッダ情報を見る点です。
通信の本文や、Webアプリケーションへの入力内容を詳しく検査する方式ではありません。
参考として、NISTのファイアウォールに関する文書でも、ファイアウォール技術の例として、パケットフィルタリング、ステートフルインスペクション、アプリケーションプロキシゲートウェイなどが整理されています。
NIST SP 800-41 Rev.1 Guidelines on Firewalls and Firewall Policy
ファイアウォール方式の切り分け
| 方式 | 見ているもの | 試験での判断基準 |
|---|---|---|
| パケットフィルタリング方式 | IPアドレス、ポート番号、プロトコルなど | パケット単体の条件で判断する |
| ステートフルインスペクション方式 | 通信セッションの状態 | 通信の流れ・状態を見て判断する |
| アプリケーションゲートウェイ方式 | アプリケーションプロトコルの内容 | プロキシとして中継し、内容を詳しく検査する |
| サーキットレベルゲートウェイ方式 | コネクションの確立可否 | 接続の成立を見て制御する |
| WAF | Webアプリケーションへの通信内容 | Webアプリへの攻撃を防ぐ |
| 次世代ファイアウォール(NGFW) | アプリケーション識別、利用者、脅威情報など | 従来型FWに加えて、より細かい通信制御を行う |
| UTM | 複数のセキュリティ機能 | FW、ウイルス対策、IPSなどをまとめて提供する |
SG試験では、選択肢の中に「IPアドレス」「ポート番号」「プロトコル」「パケットヘッダ」といった言葉があれば、パケットフィルタリング方式を考えます。
どんな場面で使う?
パケットフィルタリング方式は、ネットワークの基本的なアクセス制御に使われます。
たとえば、次のような場面です。
- 外部から社内ネットワークへの不要な通信を遮断する
- 社内から外部への通信を必要なものだけ許可する
- 特定のサーバに対して、特定のポートだけ開ける
- ルータやファイアウォールで基本的な通信制御を行う
設定ルールが比較的シンプルなので、基本的な制御には向いています。
一方で、通信の中身を細かく見たり、Webアプリケーションへの攻撃を検査したりする目的には向きません。
そのため、SG試験では、基本的な通信の入口管理はパケットフィルタリング、Webアプリの攻撃対策はWAFと切り分けると分かりやすいです。
よくある誤解・混同
ステートフルインスペクション方式との混同
パケットフィルタリング方式は、基本的にパケット単体の条件で判断します。
一方、ステートフルインスペクション方式は、通信セッションの状態を記録し、その通信の流れに合うかどうかを判断します。
選択肢に「過去に通過したパケット」「通信セッション」「状態に照らして判断」とあれば、ステートフルインスペクション方式です。
アプリケーションゲートウェイ方式との混同
アプリケーションゲートウェイ方式は、クライアントとサーバの間に入り、プロキシとして通信を中継します。
パケットフィルタリング方式は、アプリケーションごとにプロキシを用意する方式ではありません。
選択肢に「アプリケーションプロトコルごとにプロキシプログラムを用意」とあれば、アプリケーションゲートウェイ方式です。
WAFとの混同
WAFは、Web Application Firewallの略で、Webアプリケーションを狙う攻撃を防ぐ仕組みです。
たとえば、SQLインジェクションやクロスサイトスクリプティングなど、Webアプリへの不正な入力を検査します。
パケットフィルタリング方式は、主にIPアドレスやポート番号などを見ます。
つまり、通信の入口をざっくり制御するのがパケットフィルタリング、Webアプリの中身を守るのがWAFです。
「簡単だから不要」と考える誤解
パケットフィルタリング方式は基本的な方式ですが、不要という意味ではありません。
ネットワークの入口で、不要な通信を遮断する基本対策として重要です。
ただし、これだけで高度な攻撃をすべて防げるわけではないため、他の対策と組み合わせて使うことが大切です。
まとめ(試験直前用)
パケットフィルタリング方式は、IPアドレスやポート番号など、パケットの情報をもとに通信を許可・遮断する方式です。
試験直前は、次の基準で切り分けましょう。
- IPアドレス・ポート番号・プロトコルを見るなら、パケットフィルタリング方式
- 通信の状態・流れを見るなら、ステートフルインスペクション方式
- アプリケーションごとのプロキシなら、アプリケーションゲートウェイ方式
- コネクションの確立を見るなら、サーキットレベルゲートウェイ方式
- Webアプリへの攻撃を見るなら、WAF
特に、選択肢に「パケットヘッダ」「送信元IPアドレス」「宛先ポート番号」といった表現があれば、パケットフィルタリング方式を選ぶ手がかりになります。
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【SG試験】
- 入退室管理とは?物理アクセス制御の基本【SG試験】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【SG試験】
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】