平成29年度 秋期 ITパスポート試験 公開問題 問70 解説 振る舞い検知技術

この問題は、振る舞い検知というキーワードと、未知の脅威（ゼロデイ攻撃）への対応策を結びつけられるかがポイントです。選択肢の中から、プログラムの実行中の異常な挙動を監視しているものを選びます。

振る舞い検知とは、あらかじめ登録されたウイルスの特徴データ（シグネチャ）と照らし合わせるのではなく、プログラムが実行された際の動作そのものを監視する技術です。例えば、突然OSの重要な設定ファイルを書き換えようとしたり、ネットワーク越しに怪しいサーバーへデータを送信したりといった不審な振る舞いを検知します。この仕組みにより、まだウイルスの特徴が判明していない未知の脅威であるゼロデイ攻撃に対しても、一定の防御効果を発揮します。

他の選択肢を検討すると、これらが何を指しているかが明確になります。

アは、スクリーンセーバーの機能です。セキュリティ対策ではなく、画面の焼き付き防止や離席時の覗き見防止を目的としています。

イは、アカウントロックという認証の仕組みです。ブルートフォース攻撃（総当たり攻撃）などへの対策ですが、プログラムの内部動作を監視するものではありません。

エは、Webアプリケーションファイアウォール（WAF）などで見られるサニタイジングやフィルタリングといった処理です。入力値を検査して無害化する手法であり、振る舞い検知とは分類が異なります。

振る舞い検知の知識は、セキュリティ関連の問題で頻出です。特にウイルス対策ソフトの検知手法として、シグネチャベース検知（過去のデータとの比較）と対比して問われることが多いため、それぞれの強みと弱みを整理しておくと、応用問題にも強くなれます。シグネチャベースは既知の脅威には非常に正確ですが未知の脅威には弱く、振る舞い検知はその逆の性質を持つと覚えておくのが効率的です。

IPA 独立行政法人情報処理推進機構：ゼロデイ攻撃対策について https://www.ipa.go.jp/security/vuln/zeroday.html

総務省 国民のための情報セキュリティサイト：ウイルス対策ソフト https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/security/security_virus.html