情報処理技術者試験ナビ

当サイトは準備中です。

NW 27秋 午後Ⅰ 問3 ②

問題文

〔IPSの追加〕

 IPS は,不正アクセスを監視するだけでなく,遮断する機能を強化したネットワーク機器である。例えば,SQLインジェクションのような,Webアプリケーションの脆弱性に対応する機能をもつもの,及び③防御対象のサーバに新たな脆弱性が発見された場合の一時的な運用に対応できるものがある。しかし,IPSは正常な通信を誤って不正と検知してしまうこと(フォールスポジティブ),又は不正な通信を見逃してしまうこと(フォールスネガティブ)があり,双方のバランスをとって効果 的な侵入防御を実現することが重要である。

 また,高度な機能をもつ IPS には高い負荷が掛かることが予想される。ネットワークの通信量が急激に増えた場合でも,営業支援システムのレスポンス悪化を避け継続して利用できる状態にすることが重要であることから,H君はIPSの障害対策について検討した。

 IPSの障害対策には,並列に複数台導入する冗長化が考えられる。しかし,導入候補のIPSには ④IPSの機能の一部が故障した場合に備えた機能があった。費用対効果の観点と,IDSが併設されていることや,営業支援システムの継続利用を優先することから,H君はIPSを冗長化しないことにした。

 以上の検討の結果,H君は営業支援システムのネットワークに,IDSとIPSの両方を追加し,管理用PCを接続した管理用 LANを設けることを考えた。

 H君による,見直し後の営業支援システムのネットワーク構成案を,図2に示す。

f:id:honmurapeo:20160901200950p:plain

 H君が考えたネットワーク構成案は承認され,営業支援システムの見直しプロジェクトが開始された。

設問

設問3(1)

本文中の下線③で可能としている,一時的な運用を50字以内で述べよ。

設問3(2)

本文中の下線④の,IPSが実装している機能とは何か。25字以内で述べよ。

設問3(3)

IDSとIPSの導入後に,セキュリティレベルの継続的な向上のために,管理用PCを使ってどのようなことを行うか。35字以内で具体的に述べよ。

 

解答・解説

設問3(1)

保護する機器にセキュリティパッチを適用するまでの間,脆弱性を悪用する攻撃の通信を遮断する。

 

設問3(2)

通信をそのまま通過させ,遮断しない機能

 

設問3(3)

不正アクセスへの対応を最適化するために,ログを取得して解析する。

 

 

出題趣旨・採点講評