情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和5年度春期 午前Ⅱ 問12: インラインモードで動作するシグネチャ型 IPS の特徴はどれか。

問題本文

インラインモードで動作するシグネチャ型 IPS の特徴はどれか。

選択肢

• ア.IPS が監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続され，通常時の通信から外れた通信を不正と判断して遮断する。
• イ.IPS が監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続され，定義した異常な通信と合致する通信を不正と判断して遮断する。
• ウ.IPS が監視対象の通信を通過させるように通信経路上に設置され，通常時の通信から外れた通信を不正と判断して遮断する。
• エ.IPS が監視対象の通信を通過させるように通信経路上に設置され，定義した異常な通信と合致する通信を不正と判断して遮断する。

正解

エ. IPS が監視対象の通信を通過させるように通信経路上に設置され，定義した異常な通信と合致する通信を不正と判断して遮断する。

解説

IPSの設置形態にはインラインモードとプロミスキャス(ミラーポート)モードがある。インラインは通信経路上に直列配置し、通過するパケットを検査して遮断できる。検知方式のうちシグネチャ型は、定義済みの攻撃パターンと合致した通信を不正と判断する。よってインライン×シグネチャを述べたエが正解。ミラーポート接続や、通常との差で判断するアノマリ型は別概念。実務では遮断可否と誤検知影響を踏まえ配置と方式を選ぶ。

選択肢ごとの解説

• ア.ミラーポート接続かつ通常との差で判断する説明でインラインでもシグネチャ型でもなく誤り。
• イ.ミラーポート接続のシグネチャ型でありインラインではない。設置形態が異なり誤り。
• ウ.インラインだが通常との差で判断するアノマリ型の説明でシグネチャ型ではなく誤り。
• エ.通信経路上に設置し定義済み攻撃パターンと合致を遮断する点でインライン×シグネチャ型で正しい。