ホーム > 情報処理安全確保支援士試験 > 2023年 春期
情報処理安全確保支援士試験 2023年 春期 午前2 問12
インラインモードで動作するシグネチャ型IPSの特徴はどれか。
ア:IPSが監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続され,通常時の通信から外れた通信を不正と判断して遮断する。
イ:IPSが監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続され,定義した異常な通信と合致する通信を不正と判断して遮断する。
ウ:IPSが監視対象の通信を通過させるように通信経路上に設置され,通常時の通信から外れた通信を不正と判断して遮断する。
エ:IPSが監視対象の通信を通過させるように通信経路上に設置され,定義した異常な通信と合致する通信を不正と判断して遮断する。(正解)
解説
インラインモードで動作するシグネチャ型IPSの特徴はどれか【午前2 解説】
要点まとめ
- 結論:インラインモードのシグネチャ型IPSは通信経路上に設置され、定義した異常通信を検知して遮断します。
- 根拠:インライン配置により通信を直接監視・制御し、シグネチャ(パターン)照合で異常を特定するため誤検知を減らしつつ即時対応が可能です。
- 差がつくポイント:経路外のミラーポート接続では遮断できず、通常時の通信からの逸脱だけで判断するのは誤りです。
正解の理由
選択肢エは、IPSが通信経路上にインラインで設置されていること、そしてシグネチャ型であるため「定義した異常な通信」と合致した場合に遮断する点を正確に表しています。インラインモードは通信を通過させる形で動作し、異常検知時に即座に遮断可能です。シグネチャ型は既知の攻撃パターンに基づくため、単なる異常検知ではなくパターンマッチングが必須です。
よくある誤解
- ミラーポート接続は監視のみで遮断できないため、インラインモードとは異なります。
- 通常時の通信からの逸脱だけで判断すると誤検知が増え、シグネチャ型の特徴を活かせません。
解法ステップ
- IPSの動作モードを理解する(インラインか経路外か)。
- シグネチャ型IPSの特徴を確認する(パターンマッチングによる検知)。
- インラインモードは通信経路上に設置され、遮断可能であることを押さえる。
- 選択肢の表現がこれらの条件を満たしているかを比較する。
- 選択肢エが全ての条件を満たしているため正解と判断する。
選択肢別の誤答解説
- ア:ミラーポート接続は経路外監視で遮断不可。さらに「通常時の通信から外れた通信」を不正と判断するのは異常検知型の説明に近い。
- イ:ミラーポート接続で遮断可能と誤認。定義した異常通信で判断する点は正しいが、経路外では遮断できない。
- ウ:インライン設置で遮断可能だが、「通常時の通信から外れた通信」で判断するためシグネチャ型の特徴を満たさない。
- エ:インライン設置かつシグネチャ型の定義した異常通信で遮断する点が正確。
補足コラム
IPS(Intrusion Prevention System)は不正侵入検知システム(IDS)に遮断機能を加えたもので、インラインモードでは通信経路上に設置されリアルタイムで通信を制御します。シグネチャ型は既知の攻撃パターンを用いるため誤検知が少なく、異常検知型は未知の攻撃も検知可能ですが誤検知が多い傾向があります。ミラーポート接続はIDSでよく使われ、通信をコピーして監視するため遮断はできません。
FAQ
Q: インラインモードのIPSはなぜ遮断できるのですか?
A: 通信経路上に設置されているため、異常通信を検知した際に通信を直接遮断・破棄できます。
A: 通信経路上に設置されているため、異常通信を検知した際に通信を直接遮断・破棄できます。
Q: シグネチャ型IPSと異常検知型IPSの違いは何ですか?
A: シグネチャ型は既知の攻撃パターンに基づき検知し誤検知が少ない一方、異常検知型は正常通信の逸脱を検知し未知の攻撃も検出可能ですが誤検知が多いです。
A: シグネチャ型は既知の攻撃パターンに基づき検知し誤検知が少ない一方、異常検知型は正常通信の逸脱を検知し未知の攻撃も検出可能ですが誤検知が多いです。
関連キーワード: IPS, インラインモード, シグネチャ型, ミラーポート, 不正侵入防止, ネットワークセキュリティ