HOME»情報処理安全確保支援士掲示板»午後2問2設問3の検知ルールについて
投稿する

午後2問2設問3の検知ルールについて [0986]

 さん(No.1) 
午後2問2設問3の検知ルールですが、TACやITECの解答を見ると、「1分以内に」異なるファイルの読み込み・書き込みを~と書いてあります。

問題を見ると、同じ時刻に異なるファイルの読み込み・書き込みを行っているので、「同時」とかじゃだめですかね。マルウェアの挙動も感染ファイルを読み込んだ時がトリガーになっているぽいので。

というのも、通常業務で1分以内に別ファイルを読み込む・書き込むはザラだと思いますし、実際には検知だらけになると思います。1分って結構長いですよね。
2022.10.15 00:25
ムンクの叫びさん(No.2) 
ログの実例から、1分以内に続けて読込と書出がされたものを検知するということは多くの人が理解したと思います。
「1分以内」と「続けて」のどちらを優先して書くか、ということだと思うんですが、「1分以内」の方がより具体的なんでしょうね。
「同時」は、どうでしょうね。順番の制約がなくなってしまうかなと。検知ルールでは発生したイベントの順番も定義出来るようですので。
通常の作業で1分以内に読込と書出は普通にするというご指摘については、後段の記載で、誤検知の検証にも言及されているので少し弱いかも。
まあ、これらに類する記述がされているのであれば、基本的には題意と解を理解していることになると思うので、正解にして欲しいですよね。ただ今回は問題が易化しているという巷の評価ですので、厳しい採点基準になるかもしれないですね。
2022.10.15 09:16
橙色文書さん(No.3) 
「同時」とは0分間以内というルールになるかと思いますが、秒でズレると検知漏れになりますね。

あくまで教材屋さんの私見であって模範解答ではありませんから、真剣に向き合うのは無意味です。
L社のような専門企業の見解ならともかく。
2022.10.15 21:15
唐揚げさん(No.4) 
あくまで機械が理解できるルールを記載する問題なので、同時は「0秒もずれない」って捉えられると思います。
問題文にも「~分以内」って例があるので明らかにこれを使ってくれという意図は絶対ありますので、減点にはなると思います
2022.10.16 01:30
橙色文書さん(No.5) 
IPAの模範解答は「1分以内」でした。
検知漏れが確実に発生する条件は論外でしょうから、1点でも部分点があれば幸運と考えるべきです。
2022.12.20 20:05
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop