この記事は約12分で読めます。
筆者プロフィール: ソフトウェアエンジニア。「知った気にならない。いつまでも学び続ける」を信条に、業務と個人開発の両輪で技術を磨いています。AI 駆動開発で複数の個人開発アプリを構築・運用中。
👉 ポートフォリオ: 筆者ホームページ
生成AIに「中学生にもわかりやすいように解説して!」と頼んだら、とても読みやすい記事ができました。情報処理安全確保支援士試験の不正解・未回答の問題を、やさしい解説付きでまとめています。
学習の背景
2026年秋の 情報処理安全確保支援士 試験合格を目指して、現在学習中です。本記事は、学習過程で遭遇した過去問の中から、つまずいた問題・未回答だった問題を整理し、生成AIに「中学生にもわかりやすく」解説してもらった内容をまとめたものです。
学習全体の進め方・学習記録・他分野の解説記事は、以下のまとめ記事で随時更新しています。
問1: 令和2年秋期 問14(セキュリティ)
問題文: セキュリティ対策として、次の条件の下でデータベース(DB)サーバをDMZから内部ネットワークに移動するようなネットワーク構成の変更を計画している。このとき、ステートフルパケットインスペクション型のファイアウォール(FW)において、必要となるフィルタリングルールの変更のうちの一つはどれか。
〔条件〕
- WebAPサーバを、インターネットに公開する。
- WebAPサーバ上のプログラムだけがDBサーバ上のDBに接続でき、ODBCを使用して特定のポート間で通信する。
- SSHを使用して各サーバに接続できるのは、運用管理PCだけである。
- フィルタリングルールは、必要な通信だけを許可する設定にする。
選択肢:
- ア: インターネットからWebAPサーバへのHTTP通信を許可する。
- イ: 運用管理PCからDBサーバへのSSH通信の許可ルールを削除する。
- ウ: WebAPサーバからDBサーバへのSSH通信を許可する。
- エ: インターネットからWebAPサーバへのODBC通信を許可する。
正解: イ
やさしい解説:
この問題は「DBサーバ(データベースを管理するコンピュータ)をDMZ(外から見える場所)から内部ネットワーク(外から見えない安全な場所)に引っ越しさせたとき、ファイアウォール(通信の門番)のルールをどう変えるか」という問題です。
DBサーバが内部ネットワークに移動すると、運用管理PCも同じ内部ネットワークにあるため、ファイアウォールを通らずに直接SSH(安全なリモート接続)で接続できるようになります。つまり、ファイアウォールに「運用管理PCからDBサーバへのSSH通信を通してね」というルールがもう不要になります。だからイの「許可ルールを削除する」が正解です。
たとえると、同じ家の中にいる人同士が話すのに、わざわざ玄関のインターホンを使う必要がなくなった、というイメージです。
問2: 令和5年春期 問12(セキュリティ)
問題文: インラインモードで動作するシグネチャ型IPSの特徴はどれか。
選択肢:
- ア: IPSが監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続され,通常時の通信から外れた通信を不正と判断して遮断する。
- イ: IPSが監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続され,定義した異常な通信と合致する通信を不正と判断して遮断する。
- ウ: IPSが監視対象の通信を通過させるように通信経路上に設置され,通常時の通信から外れた通信を不正と判断して遮断する。
- エ: IPSが監視対象の通信を通過させるように通信経路上に設置され,定義した異常な通信と合致する通信を不正と判断して遮断する。
正解: エ
やさしい解説:
IPS(Intrusion Prevention System:侵入防止システム)は、ネットワークへの不正アクセスを検知して止める装置です。
この問題では2つのポイントを理解する必要があります:
1. 設置方式:
- インラインモード(正解のエ・ウ):通信経路の「真ん中」に設置。すべての通信がIPSを通過します。道路の検問所のようなもので、全車両をチェックできます。
- ミラーポート接続(ア・イ):通信のコピーを受け取って監視。道路の脇から車を見ているだけなので、実際に止めることは難しいです。
2. 検知方式:
- シグネチャ型(正解のエ・イ):「こういう攻撃パターンがある」と事前に登録しておき、それに一致する通信を不正と判断します。指名手配犯の写真と照合するようなものです。
- アノマリ型(ア・ウ):「普段の通信」を学習しておき、それから外れた通信を不正と判断します。「いつもと違う行動をしている人」を怪しむようなものです。
「インラインモード」×「シグネチャ型」= エが正解です。
問3: 令和6年秋期 問13(セキュリティ)
問題文: インラインモードで動作するアノマリ型IPSはどれか。
選択肢:
- ア: IPSが監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続される。異常な通信を定義し,それと合致する通信を不正と判断して遮断する。
- イ: IPSが監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続される。通常時の通信を定義し,それから外れた通信を不正と判断して遮断する。
- ウ: IPSが監視対象の通信を通過させるように通信経路上に設置される。異常な通信を定義し,それと合致する通信を不正と判断して遮断する。
- エ: IPSが監視対象の通信を通過させるように通信経路上に設置される。通常時の通信を定義し,それから外れた通信を不正と判断して遮断する。
正解: エ
やさしい解説:
この問題は問35(令和5年春期問12)と似ていますが、今回は「シグネチャ型」ではなく「アノマリ型」を聞いています。
もう一度2つのポイントを整理します:
1. 設置方式:
- インラインモード(ウ・エ):通信経路の「真ん中」に設置して、すべての通信がIPSを通過する。道路の検問所。
- ミラーポート接続(ア・イ):通信のコピーを脇から見る。道路の脇から双眼鏡で監視する感じ。
2. 検知方式:
- シグネチャ型(ア・ウ):「こういう攻撃パターン」と事前に定義した異常な通信に一致するものを検出。指名手配犯の写真リストと照合。
- アノマリ型(イ・エ):「普段の正常な通信」を定義して、そこから外れたものを不正と判断。「いつもと違う行動」を検出。
「インラインモード」×「アノマリ型」= エが正解です。
問35では「インラインモード」×「シグネチャ型」= エでしたが、今回は検知方式がアノマリ型に変わっている点に注意しましょう。アノマリ型は「普通を知って、普通じゃないものを見つける」方式です。
問4: 平成21年春期 問9(セキュリティ)
問題文: DMZ上の公開Webサーバで入力データを受け付け,内部ネットワークのDBサーバにそのデータを蓄積するシステムがある。DBサーバへの不正侵入対策の一つとして,ファイアウォールの最も有効な設定はどれか。
選択肢:
- ア: DBサーバの受信ポートを固定にし,WebサーバからDBサーバの受信ポートへ発信された通信だけをファイアウォールで通す。
- イ: DMZからDBサーバあての通信だけをファイアウォールで通す。
- ウ: Webサーバの発信ポートは任意のポート番号を使用し,ファイアウォールでは,いったん終了した通信と同じ発信ポートを使った通信を拒否する。
- エ: Webサーバの発信ポートを固定し,その発信ポートの通信だけをファイアウォールで通す。
正解: ア
やさしい解説:
DMZ(非武装地帯)は、インターネットと社内ネットワークの間に置かれるエリアで、公開サーバを置く場所です。ここにあるWebサーバが乗っ取られた場合、内部のDBサーバ(データベースサーバ)が攻撃されるリスクがあります。
最も有効な対策は、「WebサーバからDBサーバの決まったポート(接続口)への通信だけを許可する」ことです。
たとえるなら、オフィスビルで「1階の受付(Webサーバ)から金庫室(DBサーバ)への専用通路だけを開けておき、他のドアは全部ロックする」ようなものです。イは「DMZ全体からの通信」を許可してしまうので範囲が広すぎます。ウやエは発信ポートだけを制限しても、宛先が制限されないので不十分です。
問5: 令和5年秋期 問17(セキュリティ)
問題文: セキュリティ対策として、DBサーバをDMZから内部ネットワークに移動するようなネットワーク構成の変更を計画している。このとき、ステートフルパケットインスペクション型のファイアウォールにおいて、必要となるフィルタリングルールの変更のうちの一つはどれか。
(条件: WebAPサーバをHTTPSで公開、WebAPサーバだけがDBにODBCで接続可能、SSHは運用管理PCだけが使用可能、必要な通信だけを許可する設定)
選択肢:
- ア〜エ: (表形式のフィルタリングルール)
正解: イ
やさしい解説:
この問題は、DMZ(外部と内部の中間にある緩衝地帯のようなエリア)にあったDBサーバを、より安全な内部ネットワークに移すときに、ファイアウォール(通信の門番)のルールをどう変えるかを問うています。
DBサーバが内部に移動すると、それまでDMZにいたDBサーバ宛てのSSH通信ルール(運用管理PCからの接続許可)は、ファイアウォールを通らなくなるため不要になります。「必要な通信だけを許可する」という原則に従い、不要なルールは削除しなければなりません。
ポイント: ファイアウォールのルールは「必要最小限」が原則です。不要なルールを残すとセキュリティホール(抜け穴)になりかねません。
問6: 平成22年秋期 問7(セキュリティ)
問題文: ファイアウォールにおいて、自ネットワークのホストへの侵入を防止する対策のうち、IPスプーフィング(spoofing)攻撃に有効なものはどれか。
選択肢:
- ア: 外部から入るTCPコネクション確立要求パケットのうち、外部へのインターネットサービスの提供に必要なもの以外を阻止する。
- イ: 外部から入るUDPパケットのうち、外部へのインターネットサービスの提供や利用したいインターネットサービスに必要なもの以外を阻止する。
- ウ: 外部から入るパケットのあて先IPアドレスが、インターネットとの直接の通信をすべきでない自ネットワークのホストのものであれば、そのパケットを阻止する。
- エ: 外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば、そのパケットを阻止する。
正解: エ
やさしい解説:
IPスプーフィング(IP詐称)は、攻撃者が自分のIPアドレスを偽って、あたかも内部のコンピュータからの通信であるかのように見せかける攻撃です。たとえるなら、外部の人が社員証を偽造して会社に入ろうとするようなものです。
対策として、ファイアウォール(通信の門番)で「外部から来ているのに、送信元が内部のアドレスになっているパケット」を見つけたら、それは偽装されたものなので止めます。外から来た人が社内の社員証を見せたら「おかしい、偽物だ」と止めるのと同じ発想です。
- アが不十分な理由: TCPの接続要求を制限するだけでは、偽装されたIPアドレスの問題は解決しません。
- イが不十分な理由: UDPパケットを制限するだけでは、IP詐称自体を防げません。
- ウが不十分な理由: あて先のチェックは別の対策であり、送信元の詐称を検出するものではありません。
問7: 平成24年春期 問7(セキュリティ)
問題文: ファイアウォールにおいて,自ネットワークのホストへの侵入を防止する対策のうち,IPスプーフィング(spoofing)攻撃の対策について述べたものはどれか。
選択肢:
- ア: 外部から入るTCPコネクション確立要求パケットのうち,外部へのインターネットサービスの提供に必要なもの以外を破棄する。
- イ: 外部から入るUDPパケットのうち,外部へのインターネットサービスの提供や利用したいインターネットサービスに必要なもの以外を破棄する。
- ウ: 外部から入るパケットのあて先IPアドレスが,インターネットとの直接の通信をすべきでない自ネットワークのホストのものであれば,そのパケットを破棄する。
- エ: 外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば,そのパケットを破棄する。
正解: エ
やさしい解説:
IPスプーフィングとは、送信元のIPアドレス(インターネット上の住所のようなもの)を偽装する攻撃のことです。「スプーフィング」は「なりすまし」という意味です。
たとえるなら、外部の人が手紙を送るときに、差出人の住所を「あなたの会社の社員の住所」に書き換えるようなものです。これにより、会社のファイアウォール(門番)が「社内の人からの手紙だ」と勘違いして通してしまいます。
対策は簡単です。外から届いたパケット(データの小包)なのに、送信元が自分のネットワークのアドレスになっている場合は、明らかにおかしいので捨てる(破棄する)のです。外からの手紙なのに差出人が社内の住所だったら、偽物だとわかりますよね。これがエの説明です。
問8: 平成26年春期 問9(セキュリティ)
問題文: ファイアウォールにおいて,自ネットワークのホストへの侵入を防止する対策のうち,IPスプーフィング(spoofing)攻撃の対策について述べたものはどれか。
選択肢:
- ア: 外部から入るTCPコネクション確立要求パケットのうち,外部へのインターネットサービスの提供に必要なもの以外を破棄する。
- イ: 外部から入るUDPパケットのうち,外部へのインターネットサービスの提供や利用したいインターネットサービスに必要なもの以外を破棄する。
- ウ: 外部から入るパケットのあて先IPアドレスが,インターネットとの直接の通信をすべきでない自ネットワークのホストのものであれば,そのパケットを破棄する。
- エ: 外部から入るパケットの送信元IPアドレスが自ネットワークのものであれば,そのパケットを破棄する。
正解: エ
やさしい解説:
IPスプーフィング(なりすまし)攻撃とは、パケットの送信元IPアドレスを偽装して、あたかも内部のコンピュータから送られたように見せかける攻撃です。
- エが正解の理由: 外部から来たパケットなのに、送信元IPアドレスが「自分のネットワークのアドレス」になっているのは明らかにおかしいです。外部から来たのに「内部から送りました」と嘘をついているわけです。このようなパケットを破棄するのがIPスプーフィング対策です。たとえるなら、マンションの外から来た人が「私はこのマンションの住人です」と嘘の住所を名乗っている場合、管理人が「外から来たのにこのマンションの住所を名乗るのはおかしい」と見抜いて追い返すようなものです。
- アが間違いの理由: これはTCPのフィルタリング対策で、IPスプーフィング固有の対策ではありません。
- イが間違いの理由: これはUDPのフィルタリング対策で、IPスプーフィング固有の対策ではありません。
- ウが間違いの理由: これは内部ホストへの不正アクセス防止策で、IPアドレス偽装の検出とは異なります。