情報セキュリティ

基本情報技術者試験IPS」の問題

情報セキュリティ情報セキュリティ難易度:hard
K社では通信経路上にIPSをインライン構成で導入し自動遮断を有効にしている。導入後、ある特定の業務システムへの正規通信が攻撃と誤判定されて遮断され、業務に支障が出た。この誤検知への運用対応として、最も適切なものはどれか。
支障が出るたびにIPSの稼働を一時的に丸ごと止め、業務側の手作業でその場をしのぐ。
検知ルールを一律ですべて無効にし、判定そのものが起こらない状態へ切り替える。
原因の検知ルールを特定し、当該の正規通信だけを例外として除外する調整を加える。
IPSは触らず、遮断対象になった業務システムの利用自体をやめて回避する。
正解
原因の検知ルールを特定し、当該の正規通信だけを例外として除外する調整を加える。

原因の検知ルール(シグネチャ)を特定し当該の正規通信だけを例外として除外する調整は、その通信を遮断対象から外しつつ他の攻撃への検知・防御能力は保つ。防御を緩めずに誤遮断だけを解消する正攻法であり、可用性と防御を両立させる。

?選択肢ごとの解説

ア ×支障のたびにIPSを丸ごと止めると、その間あらゆる攻撃を素通りさせる無防備状態を繰り返し作り、防御の意味を失う。
イ ×検知ルールの一律無効化は誤検知も真の検知も一切なくす極端な対応で、IPSを実質的に無力化し本末転倒である。
ウ ○原因の検知ルール(シグネチャ)を特定し当該の正規通信だけを例外として除外する調整は、その通信を遮断対象から外しつつ他の攻撃への検知・防御能力は保つ。防御を緩めずに誤遮断だけを解消する正攻法であり、可用性と防御を両立させる。
エ ×業務システムの利用停止は、防御機器の誤りのために本来必要な業務を犠牲にする転倒した対応で、調整で両立できる以上不適切である。

くわしく

IPS/IDS運用の核心は導入後の継続的なチューニングである。誤検知は防御を緩める方向(全停止・全無効化)でなく、個別ルールの精査と例外設定で『正規は通し、攻撃は止める』精度を高めて解消する。防御強度と可用性の両立が運用の目標である。

本番での押さえどころ

試験のコツ

IPS/IDSの誤検知は該当シグネチャの精査・例外設定(チューニング)で対応。全停止や全無効化は防御放棄で誤り。

覚え方

誤検知対応は『鳴りすぎる警報を全部切る』のでなく『誤作動の一つだけ調整』。防御は残す。

よくある誤り

誤検知を嫌って機能を止める・無効化する方向に走る。防御を犠牲にせず個別調整で解決するのが運用の基本である点を見落とす。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0095

【基本情報技術者試験】IPSの問題 — 解答・解説|ukamiru 過去問