情報処理安全確保支援士2017年(平成29年)春午後2問2(4,319文字)
問題冊子、解答例、採点講評はこれ
またIPAがリダイレクト設定せずにURL変えたりしなければつながるはずです
本文(設問1)
本文要約(設問1)
[前提]
① A社はメール、Web閲覧、Webサーバ情報公開にインターネットを使っている。
[メール]
① A社と業者のファイル交換は、事前に決めたパスワードで暗号化して、担当者にメール添付、同じ内容が担当者グループにも届く(サブドメイン宛同報転送)。
[情報システム]
① DMZの4サーバ((外部DNS, 公開Web, 外部メール, プロキシ)にはグローバルIP割当済。L3SW, PC, 内部LAN系統と業務LAN系統にはプライベートIP割当済。
② サーバとPCにはウイルス対策ソフトが入っており、リアルタイムスキャンは有効。サーバは毎週、PCは毎日フルスキャン。ウイルス定義はサーバもPCも1時間おきに更新
③ A全社員は1台ずつPCを所持。脆弱性プログラムは月1で自動適用
[DMAサーバ概要]
① 2年前にDMZの4サーバを全部リプレース。年1回脆弱性検査を実施。サーバ管理管轄のシステム部がOSやソフトウェア脆弱性情報収集を行い、修正プログラムが出たら1月以内に適用している。
② 外部DNSサーバはドメイン管理、キャッシュ管理(再帰問合せはDMZ他3サーバと内部DNSサーバのみ)、ログ取得を実施
③ 外部メールサーバは転送(インターネット⇔内部メールサーバ)、ログ取得を実施
④ プロキシサーバはプロキシ機能、URLフィルタリング、ログ取得を実施
[内部LANサーバと業務LANサーバ]
① 内部メールサーバは転送、アーカイブ、メールボックス、ウイルススキャンログ取得を実施
② 内部DNSサーバはドメイン管理、キャッシュ機能、ログ取得を実施
③ 業務LANサーバは公開Webサーバコンテンツ公開前確認、コンテンツ管理、ログ取得を実施。
④ 内部LANサーバと業務LANサーバは脆弱性修正プログラムを年1適用しており、直近では2か月前の3月に適用したが、Webサーバと営業部サーバは8月に適用が延期となった。
問題文(設問1)
解説(設問1)
(1)はサーバ証明書を用いてSMTP通信をセキュアにした[a]に対応する。の[a]を埋めるもの。通信をセキュアにするといわれるとHTTPS(HTTP over TLS)を思い浮かべますが、これでいいようで、SMTP over TLSが答えです。
(2)はメールの転送を行う[b]プログラム、メールボックスに格納する[d]プログラムの穴埋め。転送と言えばTransferなのでbはウ、そして格納は配達のDeliveryのアです。
なお、MSAのSubmissionは提出の意味ですが、ここでは認証に関するシステムで、スパムメール対策のOP25Bとの関連があるようです。
また、MUAはメールを見たり送ったりするシステムのことです。
(3)は外部メールサーバが外部から社内宛に来たメールをどこに転送するかを記載するもの。表2の外部メールサーバを見るとインターネットと内部メールサーバとの間でメールを転送するとあるのでこれが答えです。
答え (1) SMTP over TLS (2) b : ウ d : ア (3) 内部メールサーバ
本文(設問2)
本文要約(設問2)
[マルウェア感染と調査]
① Web管理グループのH(人名)からシステム部に「PCフルスキャン時にPDFがマルウェアXとして検出されて駆除された」と連絡があった。このPDFは公開Webサーバで公開するコンテンツだった。
② 他サーバもフルスキャンするとコンテンツ管理WebサーバでマルウェアXとYが、営業部サーバでマルウェアYが検出されて駆除された。
③ PDF(マルウェアX)はコンテンツ作成業者から受け取ったもので、ダウンロード型マルウェアであり、マルウェアXに記載されたC&CサーバからマルウェアYをダウンロードするものであった。
④ 脆弱性をついたもので、3月に脆弱性修正プログラムを適用していればマルウェアYをダウンロードしないものであった。
⑤ マルウェアYはOSのバッファオーバーフローの脆弱性を悪用するもので、保持している多数のFQDNを全て問い合わせるほか、メール送信機能もついており、実際にメールを送信したログがあった。
⑥ セキュリティ専門業者は追加調査として「マルウェアX感染サーバからC&CサーバへのHTTP, HTTPS通信有無を確認するために[e]のログから[f]という条件に合致するログを抽出すること、[g]のログからマルウェアYによって送信されたメールが[h]という条件に合致するログを抽出すること」を依頼した。
⑦ 専門業者は外部及び内部DNSサーバの問合せ設定を変えるように要求した。
⑧ 内部DNSサーバでDNS問合せの内容と結果をログに記録するとマルウェアYと同様のタイプのマルウェア検出に役立つが、マルウェア中に多数のFQDNが含まれており、それぞれのFQDNに合致するログを抽出するのは大変なので、内部DNSサーバのログから[i]という条件に合致するログを抽出することとした。
問題文(設問2)
解説(設問2)
(1)はマルウェアYとC&Cサーバが通信しているかどうかは何を見ればよいかという話。表2にHTTPなんて単語が出るのはプロキシサーバなのでこれが答え。そして通信相手は当然C&Cサーバで、これはマルウェアXに書いてあるんだから、マルウェアXに書いてあるURLと通信するようなログを探すとよさそうです。
答え e : プロキシサーバ f: URLがマルウェアX中に保持されたURLである
(2)はメールが送られたかどうかについて何を見るかの話。メールなんだからそりゃ外部メールサーバを見るし、外に出ていったメールのログを見たいところです。内部はフルスキャンしたので今更調べる必要は薄い気がします。
答え : g : 外部メールサーバ h: インターネット上のサーバに転送された
(3)は外部DNSと内部DNSサーバの設定をどのように変えるのかをそれぞれ答える。(最初何言ってるかわからなかったんですが)マルウェアYは保有しているFQDNを全て問い合わせるというのがマルウェアY→内部DNSサーバ→外部DNSサーバ→インターネットの順に流れるという意味のようなので、DNS問合せを止めてしまえばよいかと思われます。
答え
外部DNSサーバ : 内部DNSサーバからのDNS問合せを拒否する。
内部DNSサーバ : インターネット上のサーバ名についてのDNS問合せを拒否する。
(4)は多数のFQDNに関するログがある内部DNSサーバをどのような条件で調べるかについて。(3)で拒否した社内以外のFQDNを抽出するようにしたらよいと思われます。
答え 社内専用のドメイン名以外のFQDNが書かれている
(3)(4)についてFQDNは過去の解説で登場しましたが、普通にドメイン名なので、いわゆるドメインの名前解決に繋がってDNSサーバへと繋がるんですね。それはそうとこの設定にするとマルウェア以外の通信も遮断されないのでしょうかと思ったのですが、PCからの通信はプロキシサーバからやればいいのでOKとのことでした。マルウェアYはプロキシサーバ経由で通信しないのでしょうか?
問題文(設問3)
本文要約(設問3)
① 現状の問題として、(あ) 暗号化されたファイルのウイルススキャンができない (い) マルウェア感染自己申告から調査では遅い (う) メール送信の防止ができていない (え) 業務LANからC&Cサーバへの通信遮断ができていない (お) 業務LANサーバ間のマルウェア感染対策ができていないの5つがある
② (あ)対策としてメール送付ではなくDMZにウイルススキャン機能付きデータ交換サーバを導入して通信するようにする。
③ (い)対策としてウイルス対策集中管理ソフトを入れる。
問題文(設問3)
解説(設問3)
(1)はウイルススキャン機能を有効にするために、ファイルアップロードするときにどのような注意が必要かについて。暗号化したファイルは読めないというのが答えです。今の業務フローを考えれば普通にパスワード付きでアップロードするでしょうしね。
答え ファイルを暗号化しない。
(2)はなんのためにウイルス対策集中管理ソフトを入れるのか。そもそも問題(い)は情報が遅い(から早く知りたい)というものでした。
答え サーバ及びPCでのウイルス検出結果をシステム部運用グループに通知する機能
問題文(設問4,5)
本文要約(設問4,5)
① (う)対策として表5表7のように設定を変える。
② (え)は省略。(お)対策として業務LANサーバ間の必要な通信を維持しながらマルウェア感染を防止するセキュリティ強化案を提案した。
問題文(設問4,5)
解説(設問4,5)
設問4は表5を表7に変えることで内部DNSと業務LANから内部メールサーバにインターネット宛のメールが来なくなるという話で、項番1はA社宛のメールの設定、2は同報転送の設定、3は外部へのメールの設定ですが、ここの2,3で社内のPCがメールを出せるようにしないといけないので、注記1にある通りでPC-LANのIPアドレスを設定してあげる必要があります。
答え PC-LAN
設問5は業務LANサーバ間の必要な通信を維持しながらマルウェア感染を防止するという便利システムについて。マルウェア対策でIDS, IPSと言われたらそりゃそうなのですが思いつきません。IDSのDはDetectionなので探知のみ、IPSのPはPreventionなので防止までしてくれるからIDSじゃなくてIPSだぞってIPAは書いてました。どっちにしろ書けただけすごいと思う。
答え 業務LANの全てのサーバにホスト型IPSソフトウェアを導入する。
最後に
問1より難しい気がしました。問1は社員がうまくいかなくて課長に教わるみたいな形式だったのに対して問2は社員が専門業者とさらっと解決する有能タイプだったからでしょうか。
主な参考サイト
メールサーバとメールの配送の仕組み と 不正アクセスからサーバを守る仕組み
平成29年度(春期)午後Ⅱ問2
情報処理安全確保支援士 平成29年度春 午後2問2
マルウェア感染と調査【平成29年度 春期 情報処理安全確保支援士試験 午後2 問2 設問2】
内部LANサーバに関する見直し【平成29年度 春期 情報処理安全確保支援士試験 午後2 問2 設問4】
この記事が気に入ったらサポートをしてみませんか?