基本情報技術者 2018年秋期午前（科目A）問42

問題文

IDSの機能はどれか。

選択肢

ア：PCにインストールされているソフトウェア製品が最新のバージョンであるかどうかを確認する。

イ：検査対象の製品にテストデータを送り、製品の応答や挙動から脆弱性を検出する。

ウ：サーバやネットワークを監視し、侵入や侵害を検知した場合に管理者へ通知する。（正解）

エ：情報システムの運用管理状況などの情報セキュリティ対策状況と企業情報を入力し、組織の情報セキュリティへの取組み状況を自己診断する。

IDSの機能はどれか。【午前2 解説】

要点まとめ

結論：IDSはサーバやネットワークを監視して侵入や侵害を検知し、管理者へ通知する検出・監視が主目的です。
根拠：IDSは攻撃の痕跡や異常な振る舞いをログやアラートで検出するツールで、遮断は通常行いません。
差がつくポイント：IDSとIPS、脆弱性診断や資産管理ツールの役割を正確に区別できることが合格に直結します。

正解の理由

選択肢の中でIDS（Intrusion Detection System）の定義に合致するのは、サーバやネットワークを監視して侵入や侵害を検知し、管理者へ通知する機能を示す選択肢です。IDSは通信やログを解析して不正アクセスや攻撃の兆候を検出し、アラートを生成します。攻撃を検出することが主目的であり、ブロックや遮断は通常行わないため、検出と通知を明示した選択肢が正解になります。

よくある誤解

IDSは攻撃を自動で止めると思い込みやすいが、基本的には検出・通知が役割であり防御（遮断）はIPSの領域です。
「テストデータを送って脆弱性を探す」行為をIDSと混同する受験者がいるが、それは脆弱性診断やペネトレーションテストの説明です。
資産の自己診断や運用状況の入力による評価はリスク評価・自己診断ツールであり、IDSとは別物です。

解法ステップ

問題文で「IDSの機能はどれか」を確認し、IDSの略（Intrusion Detection System）を思い出す。
各選択肢の役割を簡潔に把握する（資産管理、脆弱性検査、監視・検知、自己診断）。
IDSの定義「監視して侵入や侵害を検知し、管理者へ通知する」と一致する選択肢を選ぶ。
IPS（遮断機能）や脆弱性診断との違いを念頭に、誤答になりやすい選択肢を排除する。

選択肢別の誤答解説

ア: PCにインストールされているソフトウェア製品が最新か確認する。
→ これはパッチ管理や資産管理、ソフトウェア管理ツールの機能であり、IDSの説明ではありません。
イ: 検査対象にテストデータを送り、応答や挙動から脆弱性を検出する。
→ これは脆弱性診断やファジング、ペネトレーションテストの手法で、IDSの監視・検出とは別です。
ウ: サーバやネットワークを監視し、侵入や侵害を検知した場合に管理者へ通知する。
→ これがIDSの典型的な機能説明であり、正解です。
エ: 運用管理状況などを入力して自己診断する。
→ これは自己診断ツールやセキュリティ評価フォームの説明であり、IDSとは異なります。

補足コラム

IDSには主に2種類あります。NIDS（Network-based IDS）はネットワークのトラフィックを監視し、HIDS（Host-based IDS）はサーバや端末のログやファイル改変、プロセスを監視します。検出方式はシグネチャ（既知攻撃パターン）ベースと異常検知（振る舞いベース）があります。代表的な製品・OSSにはSnort、Suricata（NIDS系）やOSSEC（HIDS系）などがあり、SIEMと連携して検知ログを一元管理する運用が一般的です。

FAQ

Q: IDSとIPSの違いは何ですか？
A: IDSは検出・通知が主で、IPSは検出に加えて攻撃の遮断や通信の阻止を行う点で異なります。

Q: IDSは誤検知（false positive）が多いですか？
A: シグネチャベースでは既知攻撃には強いが未知攻撃は弱く、異常検知は誤検知が出やすいためチューニングが重要です。

Q: IDSを導入したら何をすべきですか？
A: アラートの優先度設定、ログの定期確認、SIEMとの連携、自動化された運用ルールの整備が必要です。

関連キーワード: IDS、IPS、侵入検知、NIDS、HIDS、シグネチャ検出、異常検知、Snort、Suricata、OSSEC、SIEM

← 前の問題へ次の問題へ →

\ せっかくなら /

基本情報技術者を
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！