問題本文
ゼロデイ攻撃のような未知の脅威からシステムを守るための,振る舞い検知の技術に関する記述として,適切なものはどれか。
選択肢
- ア.PCが一定時間,操作されていないことを検知し,画面を自動的に暗くしたり,変化する画像を表示したりする。
- イ.Webサイトにおいて,誤ったパスワードの入力が連続し,定められた回数を超えたことを検知したら,そのアカウントを利用停止にする。
- ウ.プログラムの動きを常時監視し,意図しない外部への通信のような不審な動きを発見したときに,その動きを阻止する。
- エ.利用者がWebページに入力した内容に,処理の誤動作を招く有害な文字列を発見したら,無害な文字列に置き換える。
正解
ウ. プログラムの動きを常時監視し,意図しない外部への通信のような不審な動きを発見したときに,その動きを阻止する。
解説
振る舞い検知(Behavior-based Detection)はウイルス対策ソフトのシグネチャ(パターンマッチング)方式とは異なり,プログラムの実際の動作・振る舞いをリアルタイムに監視し,不審な挙動を検出して阻止する技術である。未知のマルウェア(ゼロデイ脅威)に対しても有効。正解はウ。
選択肢ごとの解説
- ア.一定時間操作がないことを検知して画面を暗くしたり,スクリーンセーバを起動したりする機能はOSの電源管理・画面保護機能である。セキュリティ上の脅威を検知して阻止する振る舞い検知技術とは目的・仕組みが異なる。
- イ.連続した誤パスワード入力を検知してアカウントをロックするのは認証失敗への対策であり,アカウントロックアウトポリシと呼ばれる。パスワード総当たり攻撃への対策として有効だが,プログラムの不審動作を監視する振る舞い検知とは別の仕組み。
- ウ.プログラムの動きを常時監視し,意図しない外部への通信(C&Cサーバへの通信,データ外部送信など)のような不審な挙動を発見したときに阻止するのが振る舞い検知である。ゼロデイ攻撃への有効な対策。正解。
- エ.Webページへの入力に含まれる有害な文字列を無害な文字列に置換する処理はサニタイジング(Sanitizing)またはエスケープ処理であり,SQLインジェクションやXSSの対策として使われる入力値検証の手法。振る舞い検知ではない。
ITパスポート 2017年 (平成29年 秋期) の過去問一覧へ戻る・問70