情報処理安全確保支援士令和5年春期 午前U 問12

問12

インラインモードで動作するシグネチャ型IPSの特徴はどれか。
  • IPSが監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続され,通常時の通信から外れた通信を不正と判断して遮断する。
  • IPSが監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続され,定義した異常な通信と合致する通信を不正と判断して遮断する。
  • IPSが監視対象の通信を通過させるように通信経路上に設置され,通常時の通信から外れた通信を不正と判断して遮断する。
  • IPSが監視対象の通信を通過させるように通信経路上に設置され,定義した異常な通信と合致する通信を不正と判断して遮断する。

分類

テクノロジ系 » セキュリティ » 情報セキュリティ対策

正解

解説

IDSやIPSでは、ヘッダ情報やペイロード部分など全内容の確認・トラフィック状況の監視などで不正侵入かどうかを判断します。その判断方法の違いによってシグニチャ型とアノマリ型に分類されます。
シグニチャ型
不正侵入に現れる特徴的なパターンをあらかじめシグニチャファイルに登録しておき、登録したパターンにマッチした通信を異常と判断する。あらたに発生した登録されていない異常パターンなどが見逃される偽陰性に注意する必要がある
アノマリ型
TCP/IPプロトコルの標準仕様が記載されたRFC等で規定される手順を踏まない通信や、トラフィック量の急激な増加や通常とは異なるアクセスなど、正常な状態から逸脱している通信を異常と判断する。しきい値の設定によっては、誤って異常となる疑陽性が発生するので注意が必要である
またIPSは、設置場所の違いによりプロミスキャスモードとインラインモードに分類されます。
プロミスキャスモード
通信経路上にあるスイッチのミラーポートにIPSを接続することで、本来の経路上を流れる全てのパケットのコピーを監視する。異常な通信を検知しても遮断することはできないので、基本的にはNIDSと同様に監視が主な役割となる
インラインモード
IPSをそのまま監視対象の通信経路上に設置します。異常を検知した場合はすぐに通信が遮断され、異常パケットの進入を防げるが、プロミスキャスモードに比べ、IPSの処理性能や信頼性がネットワークの性能に与える影響が大きい
インラインモードは、通信経路を遮るように設置して通過するパケットを検査する方式、シグネチャ型は、異常な通信パターンを登録しておき、それに合致したときに処置を行う方式なので「エ」が正しい記述です。
  • プロミスキャスモードで動作するアノマリ型IPSです。
  • プロミスキャスモードで動作するシグネチャ型IPSです。
  • インラインモードで動作するアノマリ型IPSです。
  • 正しい。インラインモードで動作するシグネチャ型IPSです。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop