基本情報技術者試験「IPS」の問題
K社では通信経路上にIPSをインライン構成で導入し自動遮断を有効にしている。導入後、ある特定の業務システムへの正規通信が攻撃と誤判定されて遮断され、業務に支障が出た。この誤検知への運用対応として、最も適切なものはどれか。
ア支障が出るたびにIPSの稼働を一時的に丸ごと止め、業務側の手作業でその場をしのぐ。
イ検知ルールを一律ですべて無効にし、判定そのものが起こらない状態へ切り替える。
ウ原因の検知ルールを特定し、当該の正規通信だけを例外として除外する調整を加える。
エIPSは触らず、遮断対象になった業務システムの利用自体をやめて回避する。
正解
ウ.原因の検知ルールを特定し、当該の正規通信だけを例外として除外する調整を加える。
原因の検知ルール(シグネチャ)を特定し当該の正規通信だけを例外として除外する調整は、その通信を遮断対象から外しつつ他の攻撃への検知・防御能力は保つ。防御を緩めずに誤遮断だけを解消する正攻法であり、可用性と防御を両立させる。
?選択肢ごとの解説
ア ×支障のたびにIPSを丸ごと止めると、その間あらゆる攻撃を素通りさせる無防備状態を繰り返し作り、防御の意味を失う。
イ ×検知ルールの一律無効化は誤検知も真の検知も一切なくす極端な対応で、IPSを実質的に無力化し本末転倒である。
ウ ○原因の検知ルール(シグネチャ)を特定し当該の正規通信だけを例外として除外する調整は、その通信を遮断対象から外しつつ他の攻撃への検知・防御能力は保つ。防御を緩めずに誤遮断だけを解消する正攻法であり、可用性と防御を両立させる。
エ ×業務システムの利用停止は、防御機器の誤りのために本来必要な業務を犠牲にする転倒した対応で、調整で両立できる以上不適切である。
✎くわしく
IPS/IDS運用の核心は導入後の継続的なチューニングである。誤検知は防御を緩める方向(全停止・全無効化)でなく、個別ルールの精査と例外設定で『正規は通し、攻撃は止める』精度を高めて解消する。防御強度と可用性の両立が運用の目標である。
✓本番での押さえどころ
試験のコツ
IPS/IDSの誤検知は該当シグネチャの精査・例外設定(チューニング)で対応。全停止や全無効化は防御放棄で誤り。
覚え方
誤検知対応は『鳴りすぎる警報を全部切る』のでなく『誤作動の一つだけ調整』。防御は残す。
よくある誤り
誤検知を嫌って機能を止める・無効化する方向に走る。防御を犠牲にせず個別調整で解決するのが運用の基本である点を見落とす。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0095