問題
問74
セキュリティ対策において、ネットワーク上の通信をリアルタイムで監視し、既知の攻撃パターンを検知した際にアラートを発したり、通信を遮断したりするシステムはどれか。
- IDS/IPS
- ファイアウォール
- WAF
- プロキシサーバ
正解
正解は「ア」です。
解説
正解は「ア」のIDS/IPSです。IDS(Intrusion Detection System:不正侵入検知システム)とIPS(Intrusion Prevention System:不正侵入防止システム)は、ネットワークやサーバへの不正なアクセスや攻撃を検知し、防御するためのセキュリティシステムです。これらのシステムは、通信内容(パケット)を詳細に監視し、あらかじめ登録された攻撃のパターン(シグネチャ)と照合したり、通常の通信とは異なる異常な振る舞いを検知したりします。
IDSは、攻撃を検知すると管理者へアラートを通知することが主な役割です。一方、IPSは検知に加えて、攻撃と判断した通信を自動的に遮断する機能まで持ちます。監視カメラ(IDS)と、不審者を検知したらゲートを閉じる機能付きの監視カメラ(IPS)のような関係です。問題文の「攻撃パターンを検知」「アラートを発したり、通信を遮断したりする」という説明は、まさにIDS/IPSの機能を指しています。
イ(ファイアウォール):
主にIPアドレスやポート番号といったヘッダ情報を基に、通信を許可するか拒否するかを判断します。通信内容までは詳細に検査しません。
ウ(WAF):
Web Application Firewallの略。Webアプリケーションに特化したセキュリティ対策で、SQLインジェクションなど、アプリケーション層への攻撃を防ぎます。
エ(プロキシサーバ):
クライアントの代理としてサーバにアクセスするサーバです。セキュリティ目的で利用されることもありますが、主目的は代理アクセスです。
解法のポイント
ネットワークセキュリティ製品は、それぞれ守る対象や防御方法が異なります。ファイアウォールが通信の「入口」を制御する門番だとすれば、IDS/IPSは通信の「中身」を検査する警備員に例えられます。ファイアウォールは形式的なチェック(宛先)、IDS/IPSは内容のチェック(攻撃パターン)と役割分担をイメージすることが重要です。また、WAFはWebアプリケーションという特定の対象に特化した専門家、という位置づけで区別しましょう。
用語補足
IDS/IPS:
ネットワークを流れる通信を監視し、不正なアクセスや攻撃を見つけ出すシステムです。空港の保安検査のように、荷物の中身をチェックして危険物がないかを確認する役割です。
攻撃パターン:
既知のサイバー攻撃に特徴的な通信のパターンやデータのことです。シグネチャとも呼ばれ、ウイルス対策ソフトの定義ファイルのようなものです。
ファイアウォール:
ネットワークの「防火壁」として、外部からの不正なアクセスを防ぐ仕組みです。建物の入口にいる受付のように、許可された通信だけを通します。
WAF (Web Application Firewall):
Webアプリケーションを守ることに特化したファイアウォールです。オンラインショップの特定の窓口を専門に警備するガードマンのような存在です。
