[情報セキュリティマネジメント試験]不正侵入検知・防御(IDS・IPS)[無料講座・例題付き！]

• 1. 不正侵入検知・防御システム
  • 1.1. IDS
  • 1.2. IPS
  • 1.3. 誤検知
• 2. 不正侵入検知・防御システム・例題
  • 2.1. 問題
  • 2.2. 解説(クリックで展開)
• 3. 不正侵入検知・防御システム・まとめ

解説(クリックで展開)

問1

正解：ウ

IDS(Intrusion Detection System)は、ネットワークやホストを監視し、異常を検知した場合に管理者に通知するシステムです。

異常を通知することを目的としたシステムのため通信の遮断などの防御機能を持つことがなく、持っているものはIPSと呼ばれます。

IDSはネットワークの通信を監視するネットワーク型IDSと、サーバなどにインストールされ、そのマシンの挙動を監視するホスト型IDSに分類されます。

ア　PCにインストールされているソフトウェア製品が最新のバージョンであるかどうかを確認する。

→バージョンチェックツールの説明です。したがって誤りです。

イ　検査対象の製品にテストデータを送り，製品の応答や挙動から脆(ぜい)弱性を検出する。

→ファジングの説明です。したがって誤りです。

ウ　サーバやネットワークを監視し，セキュリティポリシを侵害するような挙動を検知した場合に管理者へ通知する。

→IDSの説明です。したがって正解です。

エ　情報システムの運用管理状況などの情報セキュリティ対策状況と企業情報を入力し，組織の情報セキュリティへの取組状況を自己診断する。

→情報セキュリティ対策ベンチマークの説明です。したがって誤りです。

これより、ウが正解です。

問2

正解：イ

IPS(Intrusion Prevention System)は、ネットワークの異常を検知し管理者に通知するIDSに機能を加えたもので、従来のNIDSが備えている検知・通知機能に加えて、不正アクセスの遮断などの防御機能をもつシステムです。

ア　Webサーバなどの負荷を軽減するために，暗号化や復号の処理を高速に行う専用ハードウェア

→SSL/TLSアクセラレータの説明です。したがって誤りです。

イ　サーバやネットワークへの侵入を防ぐために，不正な通信を検知して遮断する装置

→IPSの説明です。したがって正解です。

ウ　システムの脆弱性を見つけるために，疑似的に攻撃を行い侵入を試みるツール

ペネトレーションテストツールの説明です。したがって誤りです。

エ　認可されていない者による入室を防ぐために，指紋，虹彩などの生体情報を用いて本人認証を行うシステム

→生体認証の説明です。したがって誤りです。

これより、イが正解です。

問3

正解：ア

フォールスポジティブは、対をなすフォールスネガティブとともにウイルス対策ソフトやIDS・IPSにおける誤検知のパターンを表す言葉です。

• フォールスポジティブ・・・正常なのに、誤って異常と検知すること。セーフなのにアウトと判定する誤検知
• フォールスネガティブ・・・異常なのに、誤って正常と検知すること。アウトなのにセーフと判定する誤検知

2つの発生数にはトレードオフの傾向がありますが、フィルタリングルールの調整によってどちらも最小になるように改善し続けることが求められます。

ア　HTMLの特殊文字”<“を検出したときに通信を遮断するようにWAFを設定した場合，”<“などの数式を含んだ正当なHTTPリクエストが送信されたとき，WAFが攻撃として検知し，遮断する。

→正当なリクエストを攻撃として検知してしまったため、フォールスポジティブに該当します。したがって正解です。

イ　HTTPリクエストのうち，RFCなどに仕様が明確に定義されておらず，Webアプリケーションソフトウェアの開発者が独自の仕様で追加したフィールドについてはWAFが検査しないという仕様を悪用して，攻撃の命令を埋め込んだHTTPリクエストが送信されたとき，WAFが遮断しない。

→WAFが攻撃を見逃した例なのでフォールスネガティブです。したがって誤りです。

ウ　HTTPリクエストのパラメタとして許可する文字列以外を検出したときに通信を遮断するようにWAFを設定した場合，許可しない文字列を含んだ不正なHTTPリクエストが送信されたとき，WAFが攻撃として検知し，遮断する。

適切な処理でありそもそも誤検知ではありません。したがって誤りです。

エ　悪意のある通信を正常な通信と見せかけ，HTTPリクエストを分割して送信されたとき，WAFが遮断しない。

→WAFが攻撃を見逃した例なので、イ同様フォールスネガティブです。したがって誤りです。

これより、アが正解です。