sg sg-security-measures network_security firewall access_control
まず結論
ステートフルインスペクションとは、通信の状態を記録しながら、パケットを通すか止めるかを判断する仕組みです。
SG試験では、パケットフィルタリングとの違いが重要です。
パケットフィルタリングが主にヘッダー情報を見るのに対して、ステートフルインスペクションはその通信が正しい流れの中にあるかも確認します。
直感的な説明
ステートフルインスペクションは、受付係が入館記録も見ながら判断するイメージです。
単純なパケットフィルタリングでは、次のような情報を見ます。
- どこから来たか
- どこへ行くのか
- どのポート番号を使うのか
- どのプロトコルか
一方で、ステートフルインスペクションでは、それに加えて次のように考えます。
この通信は、さっき内側から始まった通信の返事なのか?
たとえば、社内PCからWebサイトへアクセスした場合、Webサーバから社内PCへ戻りの通信が返ってきます。
この戻り通信は、外部から内部への通信に見えますが、実際には社内PCが開始した通信への返事です。
ステートフルインスペクションは、このような通信の流れを見て、必要な戻り通信を許可できます。
定義・仕組み
ステートフルインスペクションでは、通信の状態を管理するために、通信ごとの情報を一時的に記録します。
この記録は、一般に状態テーブルのようなものとして考えると分かりやすいです。
状態テーブルには、たとえば次のような情報が記録されます。
| 記録する情報 | 内容 |
|---|---|
| 送信元IPアドレス | 通信を始めた端末 |
| 宛先IPアドレス | 通信先のサーバ |
| 送信元ポート番号 | 送信側のポート番号 |
| 宛先ポート番号 | サービスのポート番号 |
| プロトコル | TCP、UDPなど |
| 通信の状態 | 通信開始中、確立済みなど |
そして、戻ってきたパケットがこの状態テーブルに合っていれば、正しい通信の返事として許可します。
つまり、ステートフルインスペクションは、単に1個のパケットだけを見るのではなく、前後の流れをふまえて判断する仕組みです。
どんな場面で使う?
ステートフルインスペクションは、ファイアウォールでよく使われる通信制御の方式です。
内部から開始した通信の戻りを許可する
社内PCから外部のWebサイトにアクセスした場合、外部から社内PCへ返事の通信が戻ってきます。
この戻り通信まで毎回細かくルール設定するのは大変です。
ステートフルインスペクションを使うと、内部から始まった通信の返事として判断し、必要な戻り通信を許可できます。
不自然な外部からの通信を遮断する
外部から突然、社内PCへ通信が来た場合、それが正しい通信の返事なのか、不審な通信なのかを判断する必要があります。
状態テーブルにない通信であれば、正しい流れにない通信として遮断しやすくなります。
ルールを管理しやすくする
単純なパケットフィルタリングだけで戻り通信まで管理しようとすると、許可ルールが複雑になりやすいです。
ステートフルインスペクションでは、通信状態を見て判断できるため、通信制御をより実用的に行いやすくなります。
よくある誤解・混同
誤解1:パケットフィルタリングと同じ意味である
完全に同じではありません。
どちらもパケットを通すか止めるかを判断する仕組みですが、見る範囲が違います。
| 用語 | 判断の中心 |
|---|---|
| パケットフィルタリング | IPアドレス、ポート番号などのヘッダー情報 |
| ステートフルインスペクション | ヘッダー情報に加えて、通信の状態や流れ |
SG試験では、通信状態を管理するという説明があれば、ステートフルインスペクションを疑います。
誤解2:通信内容の本文まで詳しく検査する
これは少し注意が必要です。
ステートフルインスペクションは、通信の状態を見ますが、通信内容の本文を深く解析する仕組みではありません。
通信内容をアプリケーション層まで詳しく見る仕組みは、アプリケーションゲートウェイ、WAF、IDS/IPSなどと関連します。
ステートフルインスペクションは、あくまで通信の流れが自然かどうかを見ると押さえるとよいです。
誤解3:暗号化して通信を守る仕組みである
これも誤りです。
ステートフルインスペクションは、通信を暗号化する仕組みではありません。
通信を暗号化する代表例は、TLSやVPNなどです。
ステートフルインスペクションの役割は、暗号化ではなく、通信状態をもとに通過可否を判断することです。
誤解4:不正な通信を必ず検知できる
ステートフルインスペクションは便利ですが、万能ではありません。
正しい通信の流れに見える攻撃や、許可された通信の中に含まれる不正な内容までは、これだけで十分に検出できないことがあります。
そのため、必要に応じてIDS、IPS、WAF、ログ監視などと組み合わせて対策します。
パケットフィルタリングとの違い
試験では、ここが一番大切です。
| 比較項目 | パケットフィルタリング | ステートフルインスペクション |
|---|---|---|
| 見る情報 | ヘッダー情報中心 | ヘッダー情報+通信状態 |
| 判断方法 | ルールに一致するか | 通信の流れとして自然かも見る |
| 戻り通信 | ルール設定が必要になりやすい | 通信状態から判断しやすい |
| 代表的な表現 | IPアドレス、ポート番号で制御 | 状態を管理、セッションを追跡 |
ざっくり言うと、次のように整理できます。
パケットフィルタリング = 1個のパケットの情報を見る
ステートフルインスペクション = 通信の流れも見て判断する
この違いを押さえておくと、選択肢を切りやすくなります。
試験での判断ポイント
SG試験では、次のような表現が出たらステートフルインスペクションを疑います。
- 通信状態を管理する
- セッションの状態を確認する
- 内部から開始した通信の戻りを許可する
- 状態テーブルを使って判断する
- 通信の流れに合っているか確認する
反対に、次の表現は別の用語と切り分けます。
| 説明 | 該当しやすい用語 |
|---|---|
| IPアドレスやポート番号だけで通過可否を判断 | パケットフィルタリング |
| IPアドレスやポート番号を変換する | NAT、NAPT |
| Webアプリへの攻撃を検知・遮断する | WAF |
| 不正な通信を検知する | IDS |
| 不正な通信を検知して遮断する | IPS |
| 通信を暗号化する | TLS、VPN |
まとめ(試験直前用)
ステートフルインスペクションは、通信の状態を管理しながら、パケットの通過可否を判断する仕組みです。
試験直前は、次の3点で整理しておきましょう。
-
通信状態を見る
1個のパケットだけでなく、通信の流れやセッション状態を確認する。 -
戻り通信を判断しやすい
内部から開始した通信への返事かどうかを状態テーブルで確認できる。 -
本文の深い検査や暗号化ではない
通信内容を詳しく解析する仕組みでも、通信を暗号化する仕組みでもない。
SG試験では、「状態を管理する」「通信の流れを見る」「戻り通信を判断する」という表現を手がかりにすると、パケットフィルタリングとの違いを切り分けやすくなります。
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
- 入退室管理とは?物理アクセス制御の基本【情報セキュリティマネジメント】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
- 入退室管理とは?物理アクセス制御の基本【情報セキュリティマネジメント】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】