シグネチャ型IPS|情報処理安全確保支援士試験 令和5年春期午前Ⅱ 問12
出典:令和5年春期 午前Ⅱ 問12
分野:セキュリティ / 情報セキュリティ対策
インラインモードで動作するシグネチャ型IPSの特徴はどれか。
- ア:IPSが監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続され,通常時の通信から外れた通信を不正と判断して遮断する。
- イ:IPSが監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続され,定義した異常な通信と合致する通信を不正と判断して遮断する。
- ウ:IPSが監視対象の通信を通過させるように通信経路上に設置され,通常時の通信から外れた通信を不正と判断して遮断する。
- エ:PSが監視対象の通信を通過させるように通信経路上に設置され,定義した異常な通信と合致する通信を不正と判断して遮断する。
TSUNAGARU-ADVICE
まず押さえたいこと
インラインモードのIPSは、監視対象の通信が実際に通過する経路上に設置されます。さらにシグネチャ型は、定義済みの攻撃パターンに合致する通信を不正と判断する方式です。
迷ったときの判断軸
まず、インラインモードならミラーポートではなく通信経路上に設置されます。次に、シグネチャ型なら通常時から外れた通信ではなく、定義済みの異常な通信パターンとの一致を見ます。したがって、経路上に設置され、定義した異常通信と合致するものを遮断する説明が該当します。
科目Bにつなげるために
科目Bでは、IDSとIPS、インラインモードとミラーポート接続、シグネチャ型とアノマリ型を組み合わせて問われることがあります。検知・遮断の可否、設置場所、判断基準を分けて、どの方式の説明なのかを切り分けるようにしましょう。
IDSやIPSは、ネットワーク上の通信を監視し、不正な通信がないかを判断する仕組みです。通信のヘッダーや中身、通信量などを確認して、攻撃の可能性を見つけます。
不正通信の判断方法には、主にシグネチャ型とアノマリ型があります。
シグネチャ型は、ウイルス対策ソフトのパターンファイルのように、攻撃の特徴をあらかじめ登録しておきます。そのため、既知の攻撃には強い一方、新しい攻撃を見逃す可能性があります。
アノマリ型は、通常の通信状態から外れた動きを検知します。未知の攻撃にも対応しやすい一方で、しきい値の設定によっては正常な通信まで異常と判断することがあります。
また、IPSは設置方法によって、プロミスキャスモードとインラインモードに分かれます。
プロミスキャスモードは、通信のコピーを見るだけなので、ネットワークへの影響は小さいですが、異常通信を直接止めることはできません。
インラインモードは、通信経路上にIPSを置くため、異常通信をすぐに遮断できます。ただし、IPSの処理性能や障害がネットワーク全体に影響する可能性があります。
つまり、検知方法では「既知の攻撃を見るシグネチャ型」と「普段と違う動きを見るアノマリ型」、設置方法では「コピーを監視するプロミスキャスモード」と「通信経路上で遮断できるインラインモード」を押さえると分かりやすいです。
したがって、「通信経路上に設置される」「定義した異常な通信と合致する通信を遮断する」の両方を満たす、エが適切です。
❌他選択肢が誤りの理由ア:IPSが監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続され,通常時の通信から外れた通信を不正と判断して遮断する。
⇒ミラーポートに接続して経路外からキャプチャする方式は、インラインモードではありません。また、通常時の通信から外れた通信を不正と判断するのは、シグネチャ型ではなくアノマリ型の考え方です。
イ:IPSが監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続され,定義した異常な通信と合致する通信を不正と判断して遮断する。
⇒定義した異常な通信と照合する点はシグネチャ型に合っていますが、ミラーポートに接続して経路外から監視する点がインラインモードではありません。インラインモードでは、IPSを通信経路上に設置して通信を通過させます。
ウ:IPSが監視対象の通信を通過させるように通信経路上に設置され,通常時の通信から外れた通信を不正と判断して遮断する。
⇒通信経路上に設置される点はインラインモードに合っていますが、通常時の通信から外れた通信を不正と判断する点はアノマリ型の説明です。シグネチャ型は、既知の攻撃パターンや定義済みの異常な通信と照合して検知します。