ITパスポート 令和4年度 問64：情報セキュリティ・ファイアウォールに関する問題

答えは a「a、b」 です。

ファイアウォール（防火壁）は、ネットの“門番”です。外の世界（インターネット）と社内のネットの間に立って、通っていい通信だけ通す仕組み。

・a DMZ（外に見せる用の安全地帯）を作れる ◯ … 門番が区画を分けてくれる

・b 外からの不正アクセスを防ぐ ◯ … まさに門番の仕事

でも c は『部屋のドアの入退室管理』＝物理的なカギの話なのでネットの門番とは別。d は『大量のアクセスを複数サーバに振り分ける』＝ロードバランサ（負荷分散装置）の仕事で、これも別物。だから a と b だけ。

👉 覚え方：ファイアウォール＝『ネットの出入りを見張る門番』。

なぜこれが正解か

正解は a（a、b）。ファイアウォールは、ネットワーク境界で通信を制御し、許可された通信だけを通す仕組み。

• a：外部公開用サーバを置くDMZ（非武装地帯）を構築できる。外部・内部・DMZの3領域に分け、外部から内部への直接アクセスを遮断しつつ公開サーバを運用できる。○
• b：外部ネットワークから内部への不正アクセスを防止する。これがファイアウォールの主目的。○

各選択肢の解説

• c：サーバルームの入退室管理は『物理的セキュリティ』であり、入退室管理システム（ICカード等）の役割。ファイアウォール（ネットワーク機器）では実現できない。
• d：大量要求を複数サーバへ動的に振り分ける負荷分散は、ロードバランサの機能。

覚え方・ひっかけ注意

『ファイアウォール＝ネットワークの通信制御（門番）』。cの物理入退室、dの負荷分散はそれぞれ別装置の機能を紛れ込ませた典型ひっかけ。“通信を通す/止める”話かどうかで切り分ける。

理論的背景

ファイアウォール（Firewall）はネットワーク間の通信を制御するセキュリティデバイスであり、パケットフィルタリング・ステートフルインスペクション・アプリケーション層フィルタリング（ALG/プロキシ型）の3つの主要な動作原理がある。本問の正解aは「DMZの構築」と「外部からの不正アクセス防止」の2項目のみがファイアウォールで実現できる事項として挙げられている。

DMZ（DeMilitarized Zone：非武装地帯）は、インターネット（外部）と内部ネットワークの間に設けられる中間ゾーンで、Webサーバ・メールサーバ・DNSサーバ等の公開サーバを配置するために使われる。ファイアウォールを2台（または三つのインターフェイスを持つ1台）使って「外部→DMZ」「DMZ→内部」「外部→内部」のトラフィックを個別にフィルタリングすることで、公開サーバが攻撃されても内部ネットワークへの侵害を防ぐ構成を実現する。

選択肢c「サーバルームの入り口に設置することによるアクセスを承認された人だけの入室」は「物理的なアクセス制御（入退室管理）」であり、ネットワーク機器であるファイアウォールでは実現できない。これを「ソフトウェアのファイアウォールで物理入室を制御できる」と混同させるひっかけとして配置されている。選択肢d「大量の要求を複数のサーバに動的に振り分けることによるサーバ負荷の分散」は「ロードバランサ（負荷分散装置）」の機能であり、ファイアウォールとは別のネットワーク機器が担う。

実務での使われ方

現代のNGFW（Next Generation Firewall：次世代ファイアウォール）はパケットフィルタリングに加えて、DPI（Deep Packet Inspection：パケットのペイロードまで検査）・SSL/TLS復号・マルウェアシグネチャ検査・IPS（侵入防止システム）・URLフィルタリング・アプリケーション識別（Netflix・YouTube等のアプリを識別して制御）を統合して提供する。代表的な製品としてPalo Alto NGFW・Fortinet FortiGate・Cisco Firepower・Check Point Next Generationがある。

クラウド環境ではSecurityGroup（AWS）・ネットワークセキュリティグループ（Azure）という仮想ファイアウォール機能が提供されており、仮想マシンごとまたはサブネットごとにインバウンド・アウトバウンドのトラフィックルールを定義できる。さらにAWS Network FirewallやAzure Firewallといったクラウドネイティブのマネージドファイアウォールサービスも普及しており、物理ファイアウォールと同等の機能をクラウド上で提供している。

ゼロトラスト・アーキテクチャの普及に伴い、「ネットワーク境界のファイアウォールだけでセキュリティを担保する」というペリメータ防衛モデルから、「すべての通信を常に検証する」モデルへの移行が進んでいる。SASE（Secure Access Service Edge）はクラウドベースのファイアウォール（FWaaS）・SWG・CASB・ZTNA を統合したセキュリティフレームワークで、リモートワーク普及後の現代企業のネットワークセキュリティ設計の基本モデルとなっている。

試験での位置づけ

ITパスポートの情報セキュリティ・ファイアウォール分野で「ファイアウォールで実現できること・できないことの識別」は頻出テーマである。本問のひっかけは「物理入室制御（c）をファイアウォールと混同」と「ロードバランシング（d）をファイアウォールの機能と混同」の2点である。「ファイアウォール＝ネットワーク通信の制御（論理的な制御）」「物理入室制御＝錠前・ICカード・生体認証（物理的な制御）」という制御の次元の違いを明確に区別することが正答への鍵となる。

基本情報技術者（FE）ではファイアウォールの種類（パケットフィルタリング型・ステートフルインスペクション型・アプリケーションゲートウェイ型）・ACL（Access Control List）の記述方法・DMZ設計のネットワーク図解読が問われる。情報処理安全確保支援士（SC）ではNGFWの機能詳細・WAF（Web Application Firewall）との違い・SSL/TLS復号の必要性とプライバシーリスクのトレードオフ・ゼロトラストアーキテクチャとの統合まで出題される。

選択肢の発展補足

選択肢dの「負荷分散装置（ロードバランサ）」はL4（トランスポート層：TCP/UDPポートベース）またはL7（アプリケーション層：HTTPヘッダ・URL・Cookieベース）でトラフィックを複数のサーバに振り分ける装置である。ラウンドロビン・最小コネクション・IPハッシュなどのアルゴリズムで振り分け方式を選択できる。SSL終端（クライアントとLBの間でSSL処理し、LBからサーバへは平文で転送）機能も持ち、ファイアウォールとは別の層で可用性・スケーラビリティを担保する。

ファイアウォールとロードバランサを組み合わせたネットワーク設計では「インターネット→ファイアウォール→ロードバランサ→Webサーバ群（DMZ）→ファイアウォール→DBサーバ（内部）」という典型的な多層防御アーキテクチャが企業Webサービスの標準構成となっている。この構成ではファイアウォールがセキュリティポリシーを強制し、ロードバランサが可用性・性能を確保するという明確な役割分担がある。