情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和6年度秋期 午前Ⅱ 問13: インラインモードで動作するアノマリ型 IPS はどれか。

問題本文

インラインモードで動作するアノマリ型 IPS はどれか。

選択肢

• ア.IPS が監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続される。異常な通信を定義し，それと合致する通信を不正と判断して遮断する。
• イ.IPS が監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続される。通常時の通信を定義し，それから外れた通信を不正と判断して遮断する。
• ウ.IPS が監視対象の通信を通過させるように通信経路上に設置される。異常な通信を定義し，それと合致する通信を不正と判断して遮断する。
• エ.IPS が監視対象の通信を通過させるように通信経路上に設置される。通常時の通信を定義し，それから外れた通信を不正と判断して遮断する。

正解

エ. IPS が監視対象の通信を通過させるように通信経路上に設置される。通常時の通信を定義し，それから外れた通信を不正と判断して遮断する。

解説

インラインモードは通信経路上にIPSを直列設置して全パケットを通過させ、リアルタイムに遮断できる構成。アノマリ型は正常時の通信(ベースライン)を定義し、それから外れた通信を異常とみなして検知・遮断する方式。両条件を満たすエが正解。実務では未知の攻撃も捉えやすい反面、誤検知が起きやすく、通常時の挙動を正確に学習させることが鍵となる。

選択肢ごとの解説

• ア.ミラーポート接続は経路外(IDS的)の構成でインラインでなく、また異常定義型はシグネチャ型寄りで二重に誤り。
• イ.アノマリ型(通常時を定義)は合うが、ミラーポート接続でインラインモードではないので誤り。
• ウ.インライン設置は正しいが、異常な通信を定義するのはシグネチャ型でアノマリ型ではなく誤り。
• エ.経路上に設置(インライン)し通常時から外れた通信を遮断(アノマリ型)で、両条件に合致し正しい。