基本情報技術者試験「IDS」の問題
C社では、本番稼働中の基幹システムへの不審な通信を把握したいが、検知の仕組みが正常な業務通信を誤って遮断し業務が止まることだけは絶対に避けたい。まず導入する仕組みとして最も適切なものはどれか。
アミラーポートで通信の複製を受けて解析し、判定結果は管理者への通知にとどめる仕組みを置く。
イ通信経路上に挿入して全通信を通過させ、判定が黒なら当該通信をその場で落とす仕組みを置く。
ウ利用者の本人確認に複数の要素を課し、なりすましによる不正ログインを成立させない仕組みを置く。
エ日次でデータの複製を別媒体へ保存し、被害が出てから取り戻せるようにする仕組みを置く。
正解
ア.ミラーポートで通信の複製を受けて解析し、判定結果は管理者への通知にとどめる仕組みを置く。
ミラーポートで通信の複製を受けて解析し、判定を通知にとどめる構成はIDSにあたる。経路外で観測するため判定が誤っても本物の業務通信は流れ続け、まず不審通信を可視化したい一方で誤遮断による停止を許容できない要件に合致する。
?選択肢ごとの解説
ア ○ミラーポートで通信の複製を受けて解析し、判定を通知にとどめる構成はIDSにあたる。経路外で観測するため判定が誤っても本物の業務通信は流れ続け、まず不審通信を可視化したい一方で誤遮断による停止を許容できない要件に合致する。
イ ×経路上に挿入し黒判定をその場で落とす構成はIPSであり、誤検知が起きると正常な業務通信まで遮断され、業務停止を絶対避けたい要件に真っ向から反する。
ウ ×本人確認の多要素化はなりすましログイン対策で、不審な通信全般を検知・把握するという今回の目的とは対象が異なる。
エ ×データ複製の退避は被害発生後に取り戻すための事後策で、不審通信を検知・把握する目的そのものを満たさない。
✎くわしく
IDS(検知)とIPS(防御)の違いは『遮断するか否か』と『経路上か経路外か』である。IPSは即応性が高い反面、誤検知(フォールスポジティブ)が業務停止に直結する。可用性を最優先する場面ではまずIDSで監視し、運用が安定してからIPS化する段階的導入が定石である。
✓本番での押さえどころ
試験のコツ
『遮断で業務を止めたくない/まず把握したい』ならIDS。自動遮断で能動防御まで踏み込むならIPS。誤検知の影響で選ぶ。
覚え方
IDSは『見張り(通報のみ)』、IPSは『門番(その場で止める)』。止めたくないなら見張り。
よくある誤り
『防御が強いほど良い』とIPSを選びがちだが、誤遮断のリスクを許容できない要件ではIDSが適する。要件の制約条件を読む。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0087