スポンサーリンク
TechGO(テックゴー)

【応用情報技術者試験】CPUの動作 実践問題10問(高難易度)

実践問題

解答&解説は第1問から第10問までを列挙しています。
まず問題を解いてから解答&解説を見ることを推奨します。

第1問

社内LANからインターネットへの通信を制御するステートフルインスペクション型ファイアウォールにおいて,次の通信のうち,通常「戻り通信」として自動許可されるものはどれか。

条件

  • 社内PC → 外部WebサーバへのHTTPS通信を開始
  • 外部からの新規接続は禁止

選択肢

  1. 外部Webサーバから社内PCへのTCP/443通信
  2. 外部Webサーバから社内PCへのTCP/49152通信
  3. 外部Webサーバから社内PCへのUDP/443通信
  4. 外部Webサーバから社内PCへのICMP Echo Request

解答&解説はこちら

第2問

パケットフィルタリング型ファイアウォールで,次のルールを上から順に適用する。

順番条件動作
1送信元192.168.1.0/24 → 任意 TCP/80許可
2送信元192.168.1.10 → 任意拒否
3全て拒否

192.168.1.10 のPCが外部WebサイトへHTTPアクセスした場合の結果として適切なものはどれか。

  1. 拒否される
  2. 許可される
  3. SYNパケットのみ許可される
  4. ACKパケットのみ拒否される

解答&解説はこちら

第3問

DMZ構成において,公開Webサーバが侵害された場合でも,内部ネットワークへの影響を最小化したい。

最も適切な設計はどれか。

  1. Webサーバを内部LANへ配置する
  2. WebサーバとDBサーバを同一セグメントへ配置する
  3. WebサーバをDMZへ配置し,内部DBへの必要最小限通信のみ許可する
  4. Webサーバから内部LANへの全通信を許可する

解答&解説はこちら

第4問

次のiptables設定を適用した。

-A INPUT -p tcp –dport 22 -j ACCEPT
-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -j DROP

この設定で可能な通信として適切なものはどれか。

  1. 外部からの全TCP通信
  2. 外部からのSSH接続
  3. 外部からのHTTP接続
  4. 外部からのDNS問い合わせ

解答&解説はこちら

第5問

NATとファイアウォールに関する記述として,適切なものはどれか。

  1. NATは通信内容を暗号化する
  2. NATは内部IPアドレスを外部へ直接公開しない効果を持つ
  3. NATはアプリケーション層の攻撃を防止する
  4. NATを使用するとファイアウォールは不要になる

解答&解説はこちら

第6問

アプリケーションゲートウェイ型ファイアウォール(プロキシ型)の特徴として,最も適切なものはどれか。

  1. IPアドレスのみを検査する
  2. TCPヘッダだけを解析する
  3. アプリケーションプロトコル内容を解析できる
  4. OSI参照モデルの物理層で動作する

解答&解説はこちら

第7問

次の通信要件を満たすファイアウォール設定として最も適切なものはどれか。

  • 社内PCから外部Web閲覧を許可
  • 外部から社内PCへの直接接続は禁止
  • 社内公開Webサーバのみ外部公開
  1. 全通信を許可する
  2. 外部→内部LANへの通信を全て許可する
  3. 公開WebサーバのみDMZに配置し,HTTP/HTTPSのみ許可する
  4. 社内PCをグローバルIPで直接公開する

解答&解説はこちら

第8問

ステートフルインスペクション型ファイアウォールで防御が難しい攻撃として,最も適切なものはどれか。

  1. SYN Flood攻撃
  2. SQLインジェクション
  3. 不正IPアドレスからの接続
  4. TCPフラグ異常パケット

解答&解説はこちら

第9問

ファイアウォールログに次の記録があった。

DENY TCP 203.0.113.10:52344 → 192.168.1.20:22

このログから判断できる内容として適切なものはどれか。

  1. 外部から内部SSH接続が拒否された
  2. 内部から外部SSH接続が拒否された
  3. HTTPS通信が許可された
  4. DNS通信が拒否された

解答&解説はこちら

第10問

ゼロトラストの考え方を踏まえたファイアウォール運用として,最も適切なものはどれか。

  1. 社内LANは完全に信頼する
  2. 一度認証した端末は全通信を許可する
  3. 通信ごとに認証・検査を行い最小権限で許可する
  4. VPN接続後は検査を省略する

解答&解説はこちら

解答&解説

解答:第1問

正解:2

HTTPS通信では,クライアント側は動的ポート(49152など)を使用する。
戻り通信はサーバTCP/443 → クライアント動的ポート宛になる。

ステートフルインスペクション型は「通信状態」を記録して戻り通信を許可する。

問題へ戻る

解答:第2問

正解:2

ルールは上から評価される。

192.168.1.10 は

  • まずルール1に一致
  • TCP/80通信が許可
  • その時点で処理終了

よって拒否ルールまで到達しない。

問題へ戻る

解答:第3問

正解:3

DMZの目的は「公開サーバ侵害時の内部保護」。

そのため:

  • WebサーバをDMZ配置
  • DB接続のみ最小限許可
  • 内部LANへの自由通信は禁止

が基本構成。

問題へ戻る

解答:第4問

正解:2

設定を読むと:

  • TCP/22(SSH)許可
  • ESTABLISHED/RELATED許可
  • それ以外DROP

したがってSSH接続のみ新規許可される。

問題へ戻る

解答:第5問

正解:2

NATは内部IPアドレスを変換し,直接露出を防ぐ。

ただし:

  • 暗号化機能なし
  • 攻撃検知機能なし
  • FW代替不可

は重要。

問題へ戻る

解答:第6問

正解:3

プロキシ型FWはアプリケーション層まで解析可能。

HTTP内容やコマンド解析もできるため,
高セキュリティ用途で利用される。

問題へ戻る

解答:第7問

正解:3

典型的な安全構成。

  • 公開サーバはDMZ
  • 必要ポートのみ許可
  • 内部LAN直接公開は禁止

が基本。

問題へ戻る

解答:第8問

正解:2

SQLインジェクションはHTTP内部のアプリケーションデータを悪用する攻撃。

通常のステートフルFWは通信状態中心であり,
SQL文の妥当性までは判断できない。

問題へ戻る

解答:第9問

正解:1

  • 宛先22番 → SSH
  • 203.0.113.10 → 外部IP
  • 192.168.1.20 → 内部IP

つまり:
「外部から内部SSH接続が拒否」

問題へ戻る

解答:第10問

正解:3

ゼロトラストでは
「内部だから安全」を前提にしない。

そのため:

  • 通信ごと検証
  • 最小権限
  • 継続的認証

が重要になる。

問題へ戻る

高難易度で特に重要なポイント

  • ステートフルインスペクション
  • 動的ポート番号
  • DMZ設計
  • NATの役割
  • ルール評価順序
  • ESTABLISHED/RELATED
  • プロキシ型FW
  • ゼロトラスト
  • ログ読解
  • L3/L4とL7防御の違い

この辺は応用情報で頻出+ひっかけが多い分野。

リンク一覧(実践問題)はこちら

知識に自信ができた方は、今度は自身のキャリアアップに向けて準備してみませんか?

未経験から、ITエンジニアへ。
「IT業界に興味はあるけれど、自分にできるか不安」「何から始めればいいのか分からない」そんな方のために、Tech GO は未経験からのIT転職を専門的にサポートします。求人を紹介するだけではなく、あなたの強みを整理し、応募準備から入社後の成…
manabi1029.com
2026.05.10

まずは無料でキャリア相談

コメント