ホーム > 情報処理安全確保支援士試験 > 2024年 秋期
情報処理安全確保支援士試験 2024年 秋期 午前2 問13
インラインモードで動作するアノマリ型IPSはどれか。
ア:IPSが監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続される。異常な通信を定義しそれと合致する通信を不正と判断して遮断する。
イ:IPSが監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続される。通常時の通信を定義しそれから外れた通信を不正と判断して遮断する。
ウ:IPSが監視対象の通信を通過させるように通信経路上に設置される。異常な通信を定義しそれと合致する通信を不正と判断して遮断する。
エ:IPSが監視対象の通信を通過させるように通信経路上に設置される。通常時の通信を定義しそれから外れた通信を不正と判断して遮断する。(正解)
解説
インラインモードで動作するアノマリ型IPS(Intrusion Prevention System:侵入防止システム)について解説します。
1. IPSの動作モードの種類
IPSには大きく分けて2つの設置モードがあります。
-
インラインモード
通信経路の途中に設置され、実際の通信パケットがIPSを必ず通過します。これにより不正なパケットを即座に検知・遮断できます。 -
ミラーモード(経路外モード)
通信経路の端からミラーポートなどを通じて通信パケットをコピーし、そのコピーをIPSが解析します。オリジナルの通信はIPSを通らないため即時遮断はできません。
2. 検知方法の違い:シグネチャ型とアノマリ型
-
シグネチャ型
既知の攻撃パターン(シグネチャ)を定義し、それにあてはまる通信を不正と判断します。 -
アノマリ型
通常の「正常な」通信パターンを学習・定義し、それと乖離した(異常な)通信を不正とみなします。これにより未知の攻撃の検知も可能です。
3. 問題で問われていること
問題の選択肢にある特徴は以下の通りです。
4. インラインモードかつアノマリ型IPSの特徴
-
インラインモードの場合、IPSは実際の通信経路上に置かれ通信を直接監視・制御できるため、不正通信を見つけたら「即座に」通信を遮断できます。
-
アノマリ型の場合、正常な通信のパターンを学習しておき、それと異なる挙動を示す通信を不正と判定します。
そのため、インラインモードかつアノマリ型のIPSは、「正常時の通信を定義し、それから外れた通信を不正と判断して遮断する」ものになります。
5. なぜエが正解なのか
-
ア・イはミラーモードのため、インライン動作ではありません。
-
ウはインラインモードですが、異常な通信を基準に判断するシグネチャ型です。
-
エはインラインモードであり、正常な通信を基準に異常を見つけて遮断するアノマリ型であるため、問題で求められている「インラインモードで動作するアノマリ型IPS」に該当します。
まとめ
- インラインモード:通信経路上に配置し、リアルタイムに遮断可能。
- アノマリ型:正常通信を学習し、異常を検知。
- よって、「インラインモードで動作するアノマリ型IPS」は、正常な通信を定義したうえで異常を検知し遮断するタイプなので、選択肢の中では「エ」が正しい答えです。
この理解を元に、実際の試験問題では設置位置(インライン or ミラー)と検知方式(シグネチャ or アノマリ)を見極めることが重要です。