最終更新日:2026年5月10日
sg sg-security-measures unauthorized_access network access_control
まず結論
ステートフルインスペクション方式とは、ファイアウォールを通過する通信について、通信セッションの状態を記録し、その状態に合っているパケットだけを通す方式です。
SG試験では、ステートフルインスペクション方式そのものよりも、次のようなファイアウォール方式との切り分けがよく問われます。
- パケットフィルタリング方式
- アプリケーションゲートウェイ方式
- サーキットレベルゲートウェイ方式
- WAF
- 次世代ファイアウォール(NGFW)
判断のポイントは、何を見て通すかです。
ステートフルインスペクション方式は、単にIPアドレスやポート番号を見るだけでなく、通信が正しい流れの中にあるかを見ます。
直感的な説明
ステートフルインスペクション方式は、受付でいうと、入退場の流れを覚えている受付のようなものです。
たとえば、社内からWebサイトへアクセスしたとします。
- 社内PCからWebサーバへ通信を開始する
- ファイアウォールが「この通信は社内PCから始まった」と記録する
- Webサーバからの返答が戻ってくる
- 記録と合っていれば通す
このように、過去に通過した通信の情報をもとに、戻りの通信を許可するか判断するのが特徴です。
単純なパケットフィルタリング方式では、パケットごとに条件を見ます。
一方、ステートフルインスペクション方式では、パケット単体ではなく、通信のつながりを見ます。
定義・仕組み
ステートフルインスペクション方式は、ファイアウォールが通信の状態を管理する方式です。
ここでいう「状態」とは、たとえば次のような情報です。
- 通信元IPアドレス
- 通信先IPアドレス
- 通信元ポート番号
- 通信先ポート番号
- 通信の向き
- セッションが確立済みかどうか
これらをもとに、ファイアウォールはステートテーブルと呼ばれる管理情報を持ちます。
通信が通過すると、ファイアウォールはその通信を記録します。次に戻ってきたパケットが、その記録と合っていれば「正しい通信の続き」と判断して通します。
参考として、NISTのファイアウォールに関する文書でも、ファイアウォール技術の例として、パケットフィルタリング、ステートフルインスペクション、アプリケーションプロキシゲートウェイなどが整理されています。
NIST SP 800-41 Rev.1 Guidelines on Firewalls and Firewall Policy
ファイアウォール方式の切り分け
| 方式 | 見ているもの | 試験での判断基準 |
|---|---|---|
| パケットフィルタリング方式 | IPアドレス、ポート番号、プロトコルなど | パケット単体の条件で判断する |
| ステートフルインスペクション方式 | 通信セッションの状態 | 通信の流れ・状態を見て判断する |
| アプリケーションゲートウェイ方式 | アプリケーションプロトコルの内容 | プロキシとして中継し、内容を詳しく検査する |
| サーキットレベルゲートウェイ方式 | コネクションの確立可否 | 接続の成立を見て制御する |
| WAF | Webアプリケーションへの通信内容 | Webアプリへの攻撃を防ぐ |
| 次世代ファイアウォール(NGFW) | アプリケーション識別、利用者、脅威情報など | 従来型FWに加えて、より細かい通信制御を行う |
| UTM | 複数のセキュリティ機能 | FW、ウイルス対策、IPSなどをまとめて提供する |
SG試験では、選択肢の文章に出てくる「見ている対象」に注目すると切り分けやすくなります。
どんな場面で使う?
ステートフルインスペクション方式は、一般的なネットワーク境界のファイアウォールで広く使われます。
たとえば、社内ネットワークとインターネットの境界で、次のような制御を行う場面です。
- 社内から外部Webサイトへの通信は許可する
- その通信に対する戻りの通信は許可する
- 外部から突然始まる不要な通信は遮断する
ポイントは、戻りの通信をむやみに開けっぱなしにしないことです。
単純なパケットフィルタリング方式では、戻り通信のために広い範囲のポートを許可してしまうと、設定不備につながることがあります。
ステートフルインスペクション方式では、通信の状態を見て判断できるため、必要な通信だけを通しやすいという利点があります。
ただし、万能ではありません。
たとえば、WebアプリケーションへのSQLインジェクションやクロスサイトスクリプティングのように、HTTP通信の中身を詳しく見る必要がある攻撃には、WAFの役割が重要になります。
SG試験では、ステートフルインスペクション方式は通信状態を見る。Webアプリの中身を見るのはWAFと切り分けると判断しやすいです。
よくある誤解・混同
パケットフィルタリング方式との混同
パケットフィルタリング方式は、基本的にパケット単体の情報を見て判断します。
一方、ステートフルインスペクション方式は、そのパケットが通信の流れとして自然かを見ます。
選択肢で「過去に通過したパケットから通信セッションを認識する」と書かれていれば、ステートフルインスペクション方式を考えます。
アプリケーションゲートウェイ方式との混同
アプリケーションゲートウェイ方式は、クライアントとサーバの間に入り、プロキシとして通信を中継します。
ステートフルインスペクション方式は、通信の状態を見ますが、基本の判断軸はセッション状態です。
選択肢で「アプリケーションプロトコルごとにプロキシプログラムを用意する」とあれば、アプリケーションゲートウェイ方式です。
サーキットレベルゲートウェイ方式との混同
サーキットレベルゲートウェイ方式は、特定のアプリケーションプロトコルの中身というより、コネクションの確立を制御します。
選択肢で「クライアントからのコネクション要求を受け付け、目的サーバに改めて接続する」といった表現があれば、サーキットレベルゲートウェイ方式を考えます。
WAFとの混同
WAFは、Web Application Firewallの略で、Webアプリケーションを狙う攻撃を防ぐための仕組みです。
ステートフルインスペクション方式は、通信の状態を見ます。
WAFは、HTTPリクエストの内容など、Webアプリケーション層の内容を見ます。
SG試験では、次のように切ると分かりやすいです。
- 通信の状態を見る → ステートフルインスペクション方式
- Webアプリへの不正な入力を検査する → WAF
- アプリケーションごとにプロキシを用意する → アプリケーションゲートウェイ方式
- パケット単体のIPアドレスやポートを見る → パケットフィルタリング方式
まとめ(試験直前用)
ステートフルインスペクション方式は、通信セッションの状態を管理して、通信の流れに合うパケットだけを通す方式です。
試験直前は、次の基準で切り分けましょう。
- パケット単体を見るなら、パケットフィルタリング方式
- 通信の状態・流れを見るなら、ステートフルインスペクション方式
- アプリケーションごとのプロキシなら、アプリケーションゲートウェイ方式
- コネクションの確立を見るなら、サーキットレベルゲートウェイ方式
- Webアプリへの攻撃を見るなら、WAF
特に、選択肢に「過去に通過したパケット」「通信セッション」「状態に照らして判断」とあれば、ステートフルインスペクション方式を選ぶ手がかりになります。
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【SG試験】
- 入退室管理とは?物理アクセス制御の基本【SG試験】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【SG試験】
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】