ITパスポート 令和7年度 問77：securityに関する問題

答えは b「IDS」 です。

IDSは、ネットワークやサーバを見張る「監視カメラ＋警報ベル」のような仕組みです。あやしい通信や不正なアクセスを見つけると「これ変だよ！」と知らせてくれます。あくまで“見つけて報告する”のが役目です。

👉 覚え方：IDS＝「侵入を見つけて知らせる見張り役」。

ほかの選択肢：a DMZ＝外と社内の間に置く“緩衝地帯”／c アンチパスバック＝入室記録がないと退室できなくする入退室の仕組み／d ボット＝悪さをする自動プログラム。どれも“監視して報告する仕組み”ではありません。

なぜこれが正解か

正解は b。IDS（Intrusion Detection System／侵入検知システム）は、ネットワークやホストを監視し、不正アクセスや不審な通信を検知して管理者に報告する仕組み。「監視して発見・報告」というのがIDSの定義そのもの。

各選択肢の解説

• a DMZ：外部公開サーバを置く、内部ネットワークから隔離された緩衝領域（非武装地帯）。ネットワーク構成の概念。
• c アンチパスバック：入室記録のない者の退室を認めない等、不正な共連れを防ぐ物理入退室管理の仕組み。
• d ボット：遠隔操作される不正プログラム。攻撃する側であり監視する仕組みではない。

覚え方・ひっかけ注意

IDS＝Detection（検知・報告まで）、IPS＝Prevention（検知＋遮断まで）。本問は「発見し報告する」止まりなのでIDSが正解。“防御まで行う”ならIPSになる点が定番のひっかけ。

理論的背景

IDS（Intrusion Detection System：侵入検知システム）はネットワークやホストを監視し、不正アクセスや不審な通信を検知して管理者に報告する仕組みである。正解はbのIDSである。

IDSの検知手法は大きく2種類に分けられる。シグネチャベース検知（Signature-based Detection）：既知の攻撃パターン（シグネチャ・パターンファイル）とトラフィックを照合して不正を検知する。高精度で誤検知が少ないが、シグネチャに登録されていない未知の攻撃（ゼロデイ・多形性マルウェア）を見逃す。アノマリベース検知（Anomaly-based Detection）：正常状態のベースラインを学習し、統計的に異常なトラフィック・振る舞いを検知する。未知の攻撃も検知できるが、正常トラフィックを攻撃と誤検知する「誤検知（False Positive）」が発生しやすい。

IDSとIPS（Intrusion Prevention System）の根本的な違いも整理する。IDSは「検知して報告する」のみであり、トラフィックへの介入を行わないパッシブな装置である。IPSは不審なトラフィックを自動的にブロック・遮断する能動的な装置（インライン配置が必要）。本問の問題文「発見し、報告する」という説明はIDSの定義（検知・報告のみ）と完全に一致する。

実務での使われ方

IDSとIPSは現代のネットワークセキュリティアーキテクチャの重要コンポーネントであり、実務での配置設計は次の通りである。

ネットワーク型IDS/IPS（NIDS/NIPS）：ネットワークの要所（インターネット境界・DMZ・主要セグメント間）にセンサーを配置し、ネットワークトラフィックをキャプチャ・解析する。代表製品としてSnort（OSS）・Suricata・Cisco Firepower・Palo Alto Networks Next-Generation Firewall（NGFW）等がある。ホスト型IDS/IPS（HIDS/HIPS）：個々のサーバやエンドポイントにエージェントを導入し、ファイルの変更検知・プロセス監視・ログ解析を行う。OSSEC・Tripwire等がOSSの代表製品。EDR（Endpoint Detection & Response）は現代的なHIPSの発展形として位置づけられる。

SIEMとの統合：IDSのアラートはSIEM（Security Information and Event Management）に集約され、他のセキュリティログ（ファイアウォール・Webプロキシ・EDR）との相関分析によってインシデントを可視化する。SOC（Security Operations Center）では大量のIDSアラートをAI/MLによるトリアージで自動分類し、高精度のインシデント検知を実現している。

試験での位置づけ

IDSはITパスポートのセキュリティ分野で頻出の用語であり、DMZ・ファイアウォール・IDS・WAF・アンチパスバック（物理セキュリティ）の役割の違いを問う形式で出題される。本問の選択肢を整理すると：選択肢aのDMZ（De-Militarized Zone：非武装地帯）はファイアウォールの外側と内側の中間に設けるネットワークセグメント（Webサーバ・メールサーバを置く場所）、選択肢cのアンチパスバックは入退室管理で「出記録のない人物の再入室を禁止する」物理セキュリティ機能、選択肢dのボットは攻撃者に遠隔制御されたマルウェア感染コンピュータの説明にそれぞれ対応する。

基本情報技術者試験ではIDSの検知手法（シグネチャ vs アノマリ）・誤検知の種類（False Positive：正常を攻撃と誤検知 / False Negative：攻撃を見逃す）・IDSとIPSの配置の違い（タップ/ミラーポート配置 vs インライン配置）まで出題される。

選択肢の発展補足

選択肢aのDMZは軍事用語「非武装地帯」をネットワーク設計に転用した概念であり、インターネットから直接アクセスされるサーバ（WebサーバNginx/Apache・DNSサーバ・メールサーバ）をDMZに配置することで、万一そのサーバが侵害された場合でも内部ネットワーク（ERP・人事DB等）への直接アクセスを防ぐ設計思想に基づく。選択肢dのボット（Bot）はロボット（Robot）の略で、C2（Command & Control）サーバからの指令に従って動作するマルウェアであり、多数のボットが連携したものがボットネットである。ボットネットはDDoS攻撃・スパムメール送信・仮想通貨マイニング・パスワードスプレー攻撃のインフラとして攻撃者に悪用される。IDSはこのようなボットネット関連のC2通信（既知のC2ドメインへのDNS解決・マルウェアのビーコン通信）をシグネチャ検知するケースでも活躍する。