情報セキュリティ

基本情報技術者試験IDS」の問題

情報セキュリティ情報セキュリティ難易度:hard
C社では、本番稼働中の基幹システムへの不審な通信を把握したいが、検知の仕組みが正常な業務通信を誤って遮断し業務が止まることだけは絶対に避けたい。まず導入する仕組みとして最も適切なものはどれか。
ミラーポートで通信の複製を受けて解析し、判定結果は管理者への通知にとどめる仕組みを置く。
通信経路上に挿入して全通信を通過させ、判定が黒なら当該通信をその場で落とす仕組みを置く。
利用者の本人確認に複数の要素を課し、なりすましによる不正ログインを成立させない仕組みを置く。
日次でデータの複製を別媒体へ保存し、被害が出てから取り戻せるようにする仕組みを置く。
正解
ミラーポートで通信の複製を受けて解析し、判定結果は管理者への通知にとどめる仕組みを置く。

ミラーポートで通信の複製を受けて解析し、判定を通知にとどめる構成はIDSにあたる。経路外で観測するため判定が誤っても本物の業務通信は流れ続け、まず不審通信を可視化したい一方で誤遮断による停止を許容できない要件に合致する。

?選択肢ごとの解説

ア ○ミラーポートで通信の複製を受けて解析し、判定を通知にとどめる構成はIDSにあたる。経路外で観測するため判定が誤っても本物の業務通信は流れ続け、まず不審通信を可視化したい一方で誤遮断による停止を許容できない要件に合致する。
イ ×経路上に挿入し黒判定をその場で落とす構成はIPSであり、誤検知が起きると正常な業務通信まで遮断され、業務停止を絶対避けたい要件に真っ向から反する。
ウ ×本人確認の多要素化はなりすましログイン対策で、不審な通信全般を検知・把握するという今回の目的とは対象が異なる。
エ ×データ複製の退避は被害発生後に取り戻すための事後策で、不審通信を検知・把握する目的そのものを満たさない。

くわしく

IDS(検知)とIPS(防御)の違いは『遮断するか否か』と『経路上か経路外か』である。IPSは即応性が高い反面、誤検知(フォールスポジティブ)が業務停止に直結する。可用性を最優先する場面ではまずIDSで監視し、運用が安定してからIPS化する段階的導入が定石である。

本番での押さえどころ

試験のコツ

『遮断で業務を止めたくない/まず把握したい』ならIDS。自動遮断で能動防御まで踏み込むならIPS。誤検知の影響で選ぶ。

覚え方

IDSは『見張り(通報のみ)』、IPSは『門番(その場で止める)』。止めたくないなら見張り。

よくある誤り

『防御が強いほど良い』とIPSを選びがちだが、誤遮断のリスクを許容できない要件ではIDSが適する。要件の制約条件を読む。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0087

【基本情報技術者試験】IDSの問題 — 解答・解説|ukamiru 過去問