ホーム > 情報処理安全確保支援士試験 > 2011年 春期
情報処理安全確保支援士試験 2011年 春期 午前2 問09
ウイルスの検出手法であるビヘイビア法を説明したものはどれか。
ア:あらかじめ特徴的なコードをパターンとして登録したウイルス定義ファイルを用いてウイルス検査対象と比較し,同じパターンがあれば感染を検出する。
イ:ウイルスに感染していないことを保証する情報をあらかじめ検査対象に付加しておき,検査時に不整合があれば感染を検出する。
ウ:ウイルスの感染が疑わしい検査対象を、安全な場所に保管する原本と比較し,異なっていれば感染を検出する。
エ:ウイルスの感染や発病によって生じるデータ書込み動作の異常や通信量の異常増加などの変化を監視して,感染を検出する。(正解)
解説
ウイルスの検出手法であるビヘイビア法を説明したものはどれか【午前2 解説】
要点まとめ
- 結論:ビヘイビア法はウイルスの動作や振る舞いの異常を監視して感染を検出する手法です。
- 根拠:ウイルス定義ファイルを使うパターンマッチング法とは異なり、未知のウイルスも検出可能な点が特徴です。
- 差がつくポイント:動作の異常検知に注目し、コードのパターンではなく「行動」を監視する点を理解することが重要です。
正解の理由
選択肢エは「ウイルスの感染や発病によって生じるデータ書込み動作の異常や通信量の異常増加などの変化を監視して感染を検出する」とあります。これはビヘイビア法の本質である「ウイルスの振る舞い(ビヘイビア)を監視し、異常を検出する」ことを正確に表現しています。未知のウイルスや亜種にも対応できるため、近年注目されている検出手法です。
よくある誤解
ビヘイビア法は単なるパターンマッチングではなく、動作の異常を検知するため、定義ファイルが不要と誤解されがちですが、実際には動作の基準となる正常な振る舞いのモデルが必要です。
解法ステップ
- 問題文の「ビヘイビア法」の意味を確認する。
- 各選択肢の説明が「コードパターン」「付加情報」「原本比較」「動作監視」のどれに該当するか分類する。
- ビヘイビア法は「動作監視」に該当するため、該当する選択肢を特定する。
- 選択肢エが動作の異常監視を説明しているため正解と判断する。
選択肢別の誤答解説
- ア:ウイルス定義ファイルを用いたパターンマッチング法であり、ビヘイビア法ではありません。
- イ:検査対象に付加情報を付けて不整合を検出する方法で、ビヘイビア法とは異なります。
- ウ:原本と比較して異なりを検出する方法で、ファイルの整合性チェックに近くビヘイビア法ではありません。
- エ:動作の異常を監視するビヘイビア法の説明として正しいです。
補足コラム
ビヘイビア法は未知のウイルスや亜種の検出に強みがありますが、正常な動作の変化を誤検知するリスクもあります。そのため、誤検知を減らすために機械学習やAI技術と組み合わせるケースも増えています。
FAQ
Q: ビヘイビア法は既知のウイルスだけを検出できますか?
A: いいえ。ビヘイビア法はウイルスの動作異常を検知するため、未知のウイルスも検出可能です。
A: いいえ。ビヘイビア法はウイルスの動作異常を検知するため、未知のウイルスも検出可能です。
Q: パターンマッチング法とビヘイビア法の違いは何ですか?
A: パターンマッチング法は既知のウイルスコードの特徴を検出するのに対し、ビヘイビア法はウイルスの動作異常を監視して検出します。
A: パターンマッチング法は既知のウイルスコードの特徴を検出するのに対し、ビヘイビア法はウイルスの動作異常を監視して検出します。
関連キーワード: ビヘイビア法, ウイルス検出, 動作監視, パターンマッチング, セキュリティ対策