今回も情報処理安全確保支援士の試験勉強の内容をアウトプットをしていきます。
勉強に使ったのはこちら
章の終わりにあるCheck問題に私なりの答えで解答していきます。
今回は5.6章:侵入検知システム(IDS)のCheck問題です。
【Q1】IDSとは何か。
侵入検知システム(Intrusion Detection System)であり、ネットワークやホストで発生している事象をリアルタイムで監視して侵入や攻撃を検知するシステム。
【Q2】NIDSでどのような事象が検知できるのか。
Nはネットワーク型(Network-Based)を指し、パケットの流れを監視し、あらかじめ設定されたルールに基づいて不正アクセスや不審な事象を検知する。
パターンマッチングによってポートスキャン、BOF攻撃、パスワードクラッキング、DoS攻撃などを検知できるとともに、アノマリ検知によりプロトコル仕様に従っていない不正な命令なども検知できる。
【Q3】HIDSでどのような事象が検知できるのか。
Hはホスト型(Host-Based)を指し、ホストに常駐して発生している事象を監視し、あらかじめ設定されたルールに基づいて不正な操作やファイルの改ざんなどを検知する。
ログインの成功/失敗、特権ユーザへの昇格、システム管理者用のプログラムの起動、特定のファイルへのアクセス、設定ファイルの変更、プログラムのインストール、システムディレクトリ配下の変更、Webコンテンツの改ざん、ネットワーク環境で発生している障害などを検知できる。
【Q4】NIDSとHIDSはどう違うのか。
大体の違いはQ1・Q2のとおり。
NIDSは非常に多くの不正アクセスを検知できるが、その不正アクセスによって実際にどのような実害や影響があったのかを特定するのは困難。攻撃の影響を知るにはHIDSでログを監視して検知するのが効果的であり、両製品を組み合わせることが重要になる。
【Q5】NIDSではどのようにしてパケットを遮断するのか。
NIDSのセッション切断機能で遮断するか、ファイアウォールに情報を連携しファイアウォールで遮断を行う。
【Q6】IDSが検知できない攻撃とは何か、それについてはどのような解決策が考えられるか。
SQLインジェクションやXSSといったアプリケーションプログラムの使用が持つ脆弱性に対する攻撃は検知できない。
これについてはアプリケーション自体の脆弱性をなくす必要がある。
【Q7】IDSを導入する際にはどのような事項を検討する必要があるか。
検知項目、検知時の通知方法や対応方法、ログの管理方法などを検討する必要がある。
NIDSを導入する際はさらにネットワーク特性、トラフィック量、ネットワーク構成、暗号化通信が行われる場合の対応方法などを検討する必要がある。
HIDSを導入する際はホストのスペック、OS・ソフトウェアの種類/バージョンなどを検討する必要がある。
私が使っているのは2022年版のテキストですが、2024年版も出ています。