2024年(令和6年) 秋期情報処理安全確保支援士試験午前問13

インラインモードで動作するアノマリ型IPSはどれか。

　ア

　IPSが監視対象の通信経路を流れてくる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続される。異常な通信を定義し、それと合致する通信を不正と判断して遮断する。

　イ

　IPSが監視対象の通信経路を流れてくる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続される。通常時の通信を定義し、それから外れた通信を不正と判断して遮断する。

　ウ

　IPSが監視対象を通過させるように通信経路上に設置される。異常な通信を定義し、それと合致する通信を不正と判断して遮断する。

　エ

　IPSが監視対象を通過させるように通信経路上に設置される。通常時の通信を定義し、それから外れた通信を不正と判断して遮断する。

答え　エ

【解説】

ア	IPSが監視対象の通信経路を流れてくる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続される。異常な通信を定義し、それと合致する通信を不正と判断して遮断するのは、プロミスキャスモードで動作するシグネチャ型IPSです。(×)
イ	IPSが監視対象の通信経路を流れてくる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続される。通常時の通信を定義し、それから外れた通信を不正と判断して遮断するのは、プロミスキャスモードで動作するアノマリ型IPSです。(×)
ウ	IPSが監視対象を通過させるように通信経路上に設置される。異常な通信を定義し、それと合致する通信を不正と判断して遮断するのは、インラインモードで動作するシグネチャ型IPSです。(×)
エ	IPSが監視対象を通過させるように通信経路上に設置される。通常時の通信を定義し、それから外れた通信を不正と判断して遮断するのは、インラインモードで動作するアノマリ型IPSです。(〇)

アノマリ型の不正検出とは通常時の通信から外れた通信を不正と判断する方法で、の不正検出とは不正パターンを予め設定して、設定したパターンと一致するものを不正と判断するのはシグネチャ型です。
インラインモードは監視対象を通過させるように通信経路上に設置する方法で、監視対象の通信経路を流れてくる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続すのはプロミスキャスモードです。
プロミスキャスモードでは遮断できない通信が発生してしまうので、IPSよりIDSで採用される方法です。

【キーワード】
・IPS
・ミラーポート

キーワードの解説

IPS(Intrusion Prevention System、侵入防御システム)
不正なアクセスを検知し、自動的にブロックする機能を備えたシステムです。従来はの不正アクセス対策としては、IDS(Intrusion Detection System、侵入検知システム)という侵入を検知した際に管理者に知らせる機能をもったシステムが使われていましたが、IPSは不正アクセスを検知した場合には通信の遮断のようなブロック機能を自動的に実行する点が特徴です。

ミラーポート(mirror port)
ネットワークスイッチでは中継する通信のEthernetヘッダーの宛先MACアドレスを見て送出先ポートを決め、それ以外のポートには通信データを出力しないため、トラブル発生時に通信の内容を監視し対策を行うことができない。そのため、監視対象のポートの送受信データをコピーして送出することを行い、このポートのことをミラーポートと呼ぶ。

2024年(令和6年) 秋期 情報処理安全確保支援士試験 午前 問13

2024年(令和6年) 秋期情報処理安全確保支援士試験午前問13