令和6年秋期試験問題 午前Ⅱ 問13

インラインモードで動作するアノマリ型IPSはどれか。

  • IPSが監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続される。異常な通信を定義し,それと合致する通信を不正と判断して遮断する。
  • IPSが監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続される。通常時の通信を定義し,それから外れた通信を不正と判断して遮断する。
  • IPSが監視対象の通信を通過させるように通信経路上に設置される。異常な通信を定義し,それと合致する通信を不正と判断して遮断する。
  • IPSが監視対象の通信を通過させるように通信経路上に設置される。通常時の通信を定義し,それから外れた通信を不正と判断して遮断する。
正解 問題へ
分野 :テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ対策
解説
IDSやIPSでは、ヘッダー情報やペイロード部分など全内容の確認・トラフィック状況の監視などで不正侵入かどうかを判断します。その判断方法の違いによってシグネチャ型とアノマリ型に分類されます。
シグネチャ型
不正侵入に現れる特徴的なパターンをあらかじめシグネチャファイルに登録しておき、登録したパターンにマッチした通信を異常と判断する。新たに発生した登録されていない異常パターンなどが見逃される偽陰性に注意する必要がある
アノマリ型
TCP/IPプロトコルの標準仕様が記載されたRFC等で規定される手順を踏まない通信や、トラフィック量の急激な増加や通常とは異なるアクセスなど、正常な状態から逸脱している通信を異常と判断する。しきい値の設定によっては、誤って異常となる疑陽性が発生するので注意が必要である
また、IPSは設置場所の違いにより、プロミスキャスモードとインラインモードに分類されます。
プロミスキャスモード(ステルスモード)
通信経路上にあるスイッチのミラーポートにIPSを接続することで、本来の経路上を流れる全てのパケットのコピーを監視する。異常な通信を検知しても遮断することはできないので、基本的にはNIDSと同様に監視が主な役割となる
インラインモード
IPSをそのまま監視対象の通信経路上に設置します。異常を検知した場合はすぐに通信が遮断され、異常パケットの進入を防げるが、プロミスキャスモードに比べ、IPSの処理性能や信頼性がネットワークの性能に与える影響が大きい
インラインモードは、通信経路を遮るように設置して通過するパケットを検査する方式、アノマリ型は、通常時から外れた異常な通信パターンを処置対象とする方式なので「エ」が正しい記述です。
  • プロミスキャスモードで動作するシグネチャ型IPSです。
  • プロミスキャスモードで動作するアノマリ型IPSです。
  • インラインモードで動作するシグネチャ型IPSです。
  • 正しい。インラインモードで動作するアノマリ型IPSです。

Pagetop