情報処理安全確保支援士試験 令和6年秋期午前Ⅱ アノマリ型ISP
出典:令和6年秋期 午前Ⅱ 問13
分野:セキュリティ / 情報セキュリティ対策
インラインモードで動作するアノマリ型IPSはどれか。
- ア:IPSが監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続される。異常な通信を定義し,それと合致する通信を不正と判断して遮断する。
- イ:IPSが監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続される。通常時の通信を定義し,それから外れた通信を不正と判断して遮断する。
- ウ:IPSが監視対象の通信を通過させるように通信経路上に設置される。異常な通信を定義し,それと合致する通信を不正と判断して遮断する。
- エ:IPSが監視対象の通信を通過させるように通信経路上に設置される。通常時の通信を定義し,それから外れた通信を不正と判断して遮断する。
TSUNAGARU-ADVICE
まず押さえたいこと
インラインモードのIPSは、監視対象の通信を実際に通過させる形で通信経路上に設置され、不正と判断した通信をその場で遮断できる仕組みです。
迷ったときの判断軸
インラインモードかどうかは「経路上に設置されるか」で判断し、アノマリ型かどうかは「通常時の通信から外れたものを不正と見るか」で判断します。したがって、通信経路上に設置され、通常時の通信から外れた通信を遮断する説明が適切です。
科目Bにつなげるために
科目Bでは、IDSやIPSを名前で覚えるだけでなく、監視だけなのか遮断できるのか、シグネチャ型なのかアノマリ型なのかを切り分ける力が問われます。設置位置と検知方式を別々の軸で整理しておきましょう。
インラインモードのIPSは、監視対象の通信がIPSを通過するように、通信経路上に設置されます。これにより、不正と判断した通信をその場で遮断できます。
また、アノマリ型は、あらかじめ通常時の通信状態を定義し、それから外れた通信を異常として検知する方式です。
したがって、エが適切です。
❌他選択肢が誤りの理由ア:IPSが監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続される。異常な通信を定義し,それと合致する通信を不正と判断して遮断する。
⇒ミラーポートに接続される、という点で違います。これはインラインモードではなく、経路外で監視する方式です。また、異常な通信パターンとの照合はシグネチャ型に近い説明です。
イ:IPSが監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続される。通常時の通信を定義し,それから外れた通信を不正と判断して遮断する。
⇒ミラーポートに接続される、という点で違います。アノマリ型の説明は含まれていますが、インラインモードではありません。
ウ:IPSが監視対象の通信を通過させるように通信経路上に設置される。異常な通信を定義し,それと合致する通信を不正と判断して遮断する。
⇒異常な通信を定義し、それと合致する通信を検知する、という点で違います。これはシグネチャ型に近い説明であり、アノマリ型ではありません。