🛡 技術的セキュリティ対策 練習問題

パターンマッチングは、既知のマルウェアの特徴を集めた定義ファイル（シグネチャ）と照合する方式で、正解は最初の選択肢です。挙動から未知のものを推定するのはヒューリスティック法、仮想環境で実行して観察するのはサンドボックス、パケットヘッダで判定するのはパケットフィルタリング型ファイアウォールの説明なので誤りです。パターンマッチングは既知のものに強い反面、定義ファイルにない新種は検出しにくい点が弱点です。

EDRは端末（エンドポイント）の動きを常時記録し、侵入後の不審な挙動の検知や、感染端末の隔離・調査といった事後対応を助ける仕組みなので、2番目が正解です。機密情報の持ち出し監視はDLP、Webアプリ攻撃の遮断はWAF、通信の暗号化トンネルはVPNの役割であり、いずれもEDRとは目的が異なるため誤りです。EDRは「侵入される前提」で被害を最小化する点が特徴です。

パケットフィルタリングは、パケットの送信元・宛先IPアドレスやポート番号といったヘッダ情報をルールと照合して許可・拒否を決めるため、2番目が正解です。メール本文のキーワードやSQL文の中身といったデータ部分の内容は見ないため1番目と3番目は誤り、マルウェアのシグネチャ照合はウイルス対策ソフトの仕事なので4番目も誤りです。ヘッダだけを見る分、高速ですが中身までは検査できません。

IDSは不正な通信を「検知して知らせる」までが役割、IPSはさらに「遮断まで自動で行う」点が違いなので、最初の選択肢が正解です。暗号化・復号は両者の役割ではないため2番目は誤り、設置場所が社内・社外で固定されているわけではないため3番目も誤り、どちらもハード・ソフト両方の形態があるため4番目も誤りです。IPSは通信経路上に置いて即座に止められる点が利点です。

WAFはWebアプリケーションに送られてくる通信の中身を検査し、SQLインジェクションやクロスサイトスクリプティングといったアプリ層への攻撃を防ぐので、2番目が正解です。物理的な盗聴やUSBによる持ち出し、無線電波の傍受は、いずれもWebアプリへの攻撃ではないため誤りです。一般的なファイアウォールが見ない「アプリへのリクエスト内容」まで検査する点がWAFの特徴です。

DMZは、Webサーバやメールサーバなど外部に公開するサーバを、社内LANとは別の区画に置く仕組みです。公開サーバが攻撃で乗っ取られても、社内LANへ直接侵入されにくくする点が目的なので、2番目が正解です。全PCを完全に切り離すのは公開サーバを置く目的と矛盾し、通信の暗号化はVPN、定義ファイルの集中管理は別の仕組みのため、他は誤りです。

検疫ネットワークは、接続しようとする端末のOS更新やウイルス対策ソフトの状態を検査し、基準を満たさない端末を隔離して修正させてから本接続を許す仕組みなので、最初の選択肢が正解です。通信の暗号化トンネルはVPN、Web攻撃の遮断はWAF、機密ファイル送信の制御はDLPの役割であり、いずれも検疫ネットワークの目的とは異なるため誤りです。

ゼロトラストは「何も信頼しない」を前提に、社内からのアクセスであっても安全とは決めつけず、アクセスのたびに利用者や端末を認証・検証する考え方なので、2番目が正解です。社内を安全とみなす選択肢や、境界を守れば内部は信頼できるとする選択肢は、従来型の境界防御の発想でゼロトラストとは逆です。暗号化だけで認証が不要になるわけでもないため誤りです。

DLPはファイルやメールなどの「データの中身」を識別し、機密情報が外部へ送信・持ち出しされそうなときに監視・ブロックする仕組みなので、2番目が正解です。端末の挙動記録と事後調査はEDR、シグネチャによるマルウェア検出はウイルス対策ソフト、通信の暗号化はVPNの役割であり、いずれもデータ流出防止を主目的とするDLPとは異なるため誤りです。

ペネトレーションテストは、攻撃者の視点で実際に侵入を試み、見つかった弱点が本当に悪用できるかまで検証する手法なので、最初の選択肢が正解です。シンクライアントはデータを手元に残さない端末方式、プロキシサーバは社内とインターネットの通信を中継する仕組み、サンドボックスは隔離環境で安全に実行して観察する仕組みであり、いずれも侵入を試して検証する手法ではないため誤りです。