【問289】個人情報保護士 練習問題|不正アクセス検知
情報セキュリティ 問109/120難易度C(難しい)
問題文
不正アクセスの検知方式に関する次の記述のうち、最も適切なものはどれか。
- 1.シグネチャベースの検知は、未知の攻撃パターンも効果的に検知できる
- 2.アノマリベースの検知は、正常な通信パターンからの逸脱を検知する方式であり、未知の攻撃にも対応可能だが誤検知が多い傾向がある
- 3.ハニーポットは実際の業務システムとして運用されるサーバである
- 4.IDSのシグネチャは一度設定すれば更新する必要がない
解説
正解
正解は選択肢2です。
各選択肢の解説
選択肢1 → ❌誤り
シグネチャベースの検知は、既知の攻撃パターン(シグネチャ)と照合する方式です。登録されていない未知の攻撃パターンは検知できません。
選択肢2 → ✅正解
アノマリベース(異常検知)は、事前に学習した正常な通信パターンからの逸脱を検知する方式です。未知の攻撃パターンも検知できる可能性がありますが、正常な通信を攻撃と誤判定する(誤検知・フォルスポジティブ)リスクが高い傾向があります。
選択肢3 → ❌誤り
ハニーポットは攻撃者をおびき寄せるために意図的に設置するおとりのシステムであり、実際の業務には使用しません。攻撃手法の分析や早期検知に活用されます。
選択肢4 → ❌誤り
新しい攻撃手法が次々と出現するため、シグネチャは定期的に更新する必要があります。更新しないと新たな攻撃を検知できません。
背景知識
不正アクセスの検知には複数のアプローチがあり、それぞれ長所と短所があります。シグネチャベースは既知の攻撃に対する検知精度が高い一方、未知の攻撃には無力です。アノマリベースは未知の攻撃にも対応できますが、チューニングが重要です。実際の運用では両方式を併用することが多くあります。また、SIEM(Security Information and Event Management)を導入して、複数のセキュリティ機器のログを統合的に分析し、高度な脅威検知を行う手法も普及しています。
学習アドバイス
シグネチャベースとアノマリベースの長所・短所を対比して覚えましょう。ハニーポットの目的と仕組みも試験で問われることがあるため、概要を押さえておきましょう。
まとめ
- シグネチャベース:既知の攻撃に有効、未知の攻撃には対応不可
- アノマリベース:未知の攻撃にも対応可能だが誤検知が多い
- ハニーポットは攻撃者をおびき寄せるおとりシステム