目次
問題文
インラインモードで動作するシグネチャ型IPSの特徴はどれか。
ア IPSが監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続され,通常時の通信から外れた通信を不正と判断して遮断する。
イ IPSが監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続され,定義した異常な通信と合致する通信を不正と判断して遮断する。
ウ IPSが監視対象の通信を通過させるように通信経路上に設置され,通常時の通信から外れた通信を不正と判断して遮断する。
エ IPSが監視対象の通信を通過させるように通信経路上に設置され,定義した異常な通信と合致する通信を不正と判断して遮断する。
解説
解答
エ
ア スイッチのミラーポートに接続し、通常時の通信から外れたものを遮断
これは IDS(侵入検知システム)を誤って説明しているパターンです。
ミラーポートに接続するのは「経路外(アウトオブバンド)」での監視方式であり、基本的に遮断はできません。
加えて「通常時の通信から外れた通信」を検知するのはアノマリ型の特徴であり、シグネチャ型IPSの説明とは異なります。
イ スイッチのミラーポートに接続し、定義した異常と合致する通信を遮断
こちらも経路外での監視方式を説明しており、これはIPS(侵入防御システム)ではなく、IDS(侵入検知システム)の特徴です。
IPSは「インラインモード」で通信経路上に配置して遮断を行います。
経路外からの監視では遮断はできないため不適切です。
ウ 通信経路上に設置し、通常時から外れた通信を遮断
ここでは「インラインモードで経路上に設置」という点は正しいものの、判定方法が誤っています。
「通常時の通信から外れたもの」を基準にするのはアノマリ型IPSであり、本問で問われている「シグネチャ型」の特徴ではありません。
エ 通信経路上に設置し、定義済みのシグネチャと合致する通信を遮断
これが正解です。
シグネチャ型IPSは既知の攻撃パターン(シグネチャ)をデータベースとして保持し、通信内容と照合します。
合致した場合には即座に不正と判断し、通信を遮断します。
インラインモードで配置することで、リアルタイムに防御可能となります。
