ITパスポート 令和5年度 問67：securityに関する問題

答えは c です。

IDSは、家やお店につける「防犯センサー・見張りカメラ」のようなものです。あやしい侵入者（不正アクセス）や「なんか怪しい動きだぞ？」という前ぶれを見つけて、管理者に「あやしいのが来てます！」と知らせてくれます。

見つけて知らせるのが仕事で、追い返すかどうかは人や別の仕組みが決めます。

👉 覚え方：「IDS＝見張り役（見つけて通報）」。Detection＝検知。

ほかの選択肢：a＝名前と住所（IP）を変換するDNSの話／b＝みんなの時計を合わせるNTP／d＝届いたメールを渡すメールサーバの話。

なぜこれが正解か

正解は c。IDS（Intrusion Detection System／侵入検知システム）は、ネットワークやサーバへの不正アクセスやその予兆を検知し、管理者に通知する仕組み。あくまで「検知・通知」が役割で、通信を遮断するのは別機能（IPSやファイアウォール）。

各選択肢の解説

• a：IPアドレスとドメイン名を相互変換＝DNSの役割。
• b：複数コンピュータの時刻同期＝NTPの役割。
• d：メールサーバの電子メールをクライアントへ渡す＝POP/IMAPの役割。

覚え方・ひっかけ注意

「IDS＝Detection＝検知・通知まで」「IPS＝Prevention＝検知＋遮断（防御）まで」。Dは知らせるだけ、Pは止めるまで、と語尾で区別。本問は無関係なネットワークサービスをダミーに並べた構成。

理論的背景

IDS（Intrusion Detection System＝侵入検知システム）はネットワークまたはホストの通信・動作を監視し、不正アクセス・攻撃・異常な振る舞いのパターンを検知して管理者に通知するセキュリティシステムである。IDSは「検知して通知する」が主な機能であり、攻撃を検知しても通信の遮断は行わない（自動遮断まで行うのはIPS：Intrusion Prevention System）。

IDSの検知方式は大きく2種類に分類される。シグネチャベース（パターンマッチング）：既知の攻撃パターン（シグネチャ・マルウェアのパターンDB）と照合する方式。既知の攻撃に対する精度が高く誤検知が少ない反面、未知の攻撃（ゼロデイ攻撃）には対応できない。アノマリベース（異常検知）：通常の通信・動作のベースラインを学習し、そこからの統計的逸脱を検知する方式。未知の攻撃にも対応できる可能性があるが、誤検知（正常な通信を攻撃と誤認）のリスクがある。近年はMLベースのアノマリ検知がより精度を上げており、両方式を組み合わせたハイブリッド型が主流となっている。

設置場所による分類として、NIDS（Network-based IDS）はネットワークの要所（インターネット境界・DMZ・重要セグメント）に配置してネットワークパケットを監視し、HIDS（Host-based IDS）はサーバ・エンドポイントに導入してOSのシステムコール・ファイル変更・ログを監視する。両者を組み合わせることで包括的な検知カバレッジが得られる。

実務での使われ方

現代のIDSは独立した製品としてよりも、SIEM（Security Information and Event Management）プラットフォーム（Splunk・Microsoft Sentinel・IBM QRadar等）の一部として、またはXDR（Extended Detection and Response）（エンドポイント・ネットワーク・クラウドを横断する統合的な脅威検知・対応プラットフォーム）として統合化されることが多い。SIEMはネットワーク機器・サーバ・IDSなど多様なソースからログを集約・相関分析し、単一ソースでは見えない複合的な攻撃シナリオを検出する。

IDS/IPSとファイアウォールの多層防御における役割分担：ファイアウォールは「ルールベースでの通信許可・拒否（入口でのポート・IP管理）」、IDSは「許可された通信の中の不審な内容の検知」、IPSは「検知した不審な通信のリアルタイム遮断」というそれぞれ異なる防御層を担う。この三層は補完関係にあり、一つだけでは完全な保護にならない。

クラウド環境では、AWS GuardDuty（AWSネイティブの脅威検知サービス）・Google Security Command Center・Azure Sentinel（Microsoft Sentinel）がクラウドネイティブなIDS機能を提供しており、インフラの変更・異常なAPIコール・マルウェア通信・暗号通貨マイニングの検知などが自動化されている。

試験での位置づけ

ITパスポートのセキュリティ分野では、IDSの役割とIPS・ファイアウォール・DMZ・VPNなどの関連セキュリティ機器との役割の違いが頻出テーマである。本問の選択肢はそれぞれ独立したネットワークサービスの役割を表しており、「不正アクセスの検知と通知」という説明がIDSの定義にどの程度一致するかを判断する問題である。

IDSとIPSの混同が最も多い誤答パターンであり、「検知のみ（IDS）」対「検知＋自動遮断（IPS）」という機能の違いを確実に記憶することが対策の基本となる。他の選択肢（DNS・NTP・POP）はIDSとは全く異なるネットワークサービスであり、各サービスの基本的な役割を知っていれば排除は容易である。

選択肢の発展補足

選択肢a（IPアドレスとドメイン名を相互変換）＝DNS（Domain Name System）：インターネットの「電話帳」として機能し、`www.example.com`というドメイン名を`203.0.113.1`というIPアドレスに変換（名前解決・Forward Lookup）したり、IPアドレスからドメイン名を逆引き（Reverse Lookup）する分散データベースシステム。DNSキャッシュポイズニング・DNSサーバのDDoSなどDNSに対する攻撃が存在し、DNSSEC（DNSのレスポンスに電子署名を付加する仕組み）による対策が普及している。

選択肢b（複数コンピュータの時刻を同期）＝NTP（Network Time Protocol）：ネットワークを通じて複数のコンピュータを協定世界時（UTC）に同期させるプロトコル。セキュリティの観点では、ログの時刻同期（インシデント調査での時系列再構成）・証明書の有効期限検証・ワンタイムパスワード（TOTP）の時刻ベース計算に正確な時刻が必要となるため、NTPの適切な設定・保護はセキュリティ基盤の重要な要素である。NTPサーバを悪用したDDoS増幅攻撃も知られている。

選択肢d（メールサーバからメールクライアントへの転送）＝POP（Post Office Protocol）またはIMAP：メールサーバに届いた電子メールをメールクライアント（Outlook・Thunderbird・スマートフォンのメールアプリ）が取得するためのプロトコル。POP3はメールをサーバからクライアントにダウンロードして削除する方式、IMAPはサーバ上でメールを管理し複数デバイスから同期する方式。メール送信に使うSMTPとは役割が逆向きである。