[問題文・解答]
平成27年度10月に実施された情報セキュリティスペシャリスト試験の午後1試験の問題・解答はIPA公式ページからダウンロード出来ます。(以下リンク)
[H27秋 午後1 問題文] [H27秋 午後1 解答]
[問題概要]
題材は、ソフトウェアの脆弱性への対応についてです。ネット通販システムのWebサーバで使用しているWebアプリケーションフレームワークに脆弱性が発見され、対策を検討・実施するという内容です。
情報セキュリティの3要素や正規表現、フォールスポジティブなど基本的な知識があれば、後は問題文を読めば解答が予想出来る問題が多く、難易度は普通です。
[設問1]
情報セキュリティの3要素(CIA)
- 機密性(Confidentiality):許可のある者だけが情報にアクセスでき、許可の無い者は使用・閲覧・変更ができないこと
- 完全性(Integrity):情報が正確であり、改ざんされていないこと
- 可用性(Availability):アクセス許可のある者が必要な時に確実に情報にアクセスできること
情報セキュリティの基本である3要素(CIA)に関する問題です。
Eシステムは、以下の記述からQ社の業務上重要なシステムであり、常時稼働が求められていることが分かります。従って、3要素のうち、可用性を最も重視すべきです。
・P.2上段「Q社の販売チャネルの大部分を担っており、保守のための時間帯を除き、常時稼働している」
・P.5下段「Q社では、ビジネス上の理由から、Eシステムを5日以内に再稼働させる必要がある」
Fシステムは、P.2上段「投資家などに対する財務情報・会社情報を提供している」とあるため、誰でも閲覧できるものであり、財務情報・会社情報という性質上正確性が最重要と考えられるため、完全性が最も重視すべき要素です。
[答] Eシステム:要素)可用性
理由)販売チャネルの大部分を担い、常時稼働が必要なため
Fシステム:要素)完全性
理由)投資家に正確な財務情報、会社情報を提供するため
[設問2]
表2項番1の説明欄に「WASログの出力先を公開ディレクトリ上に変更する。」とあり、WASログが公開ディレクトリに作成されることが分かります。表2の攻撃コードでは、shell1.jspというWASログを公開ディレクトリに作成し、その中に任意のコマンドXXXXを保存することでWAS上でそのコマンドを実行出来るようになります。
[答] 公開ディレクトリ
[設問3]
(1)
P.5上段で「今回の脆弱性情報によると、GETメソッドに限らずPOSTメソッド、Multipart/form-dataのPOSTメソッド、Cookieによる攻撃の可能性もあります」とあることから、これら全てを検証対象とし、公表されたパターンにマッチしたものは遮断する必要があります。
図2の検証対象の項目より、3つの検証対象で上記全てのHTTPリクエストを網羅するためにはANY、COOKIE 、Multipartを検証対象とします。
[答] b) ANY c) 遮断 d) COOKIE e) 遮断 f) Multipart g) 遮断 (b,d,fは順不同)
図2の検証対象の項目より、3つの検証対象で上記全てのHTTPリクエストを網羅するためにはANY、COOKIE 、Multipartを検証対象とします。
[答] b) ANY c) 遮断 d) COOKIE e) 遮断 f) Multipart g) 遮断 (b,d,fは順不同)
(2)
図2のパターンの説明より、下線①の正規表現"^class¥..*"は、先頭が「class.」で始まる文字列と解釈出来ます。よって、イ class.ClassLoaderとウ class.classLoaderが該当します。
[答] イ、ウ
[答] イ、ウ
(3)
フォールスポジティブ
正常な通信を異常と誤って検出してしまうこと。
フォールスネガティブ
異常な通信を検知出来ずに見逃してしまうこと。
今回はP.6下段「攻撃ではないHTTPリクエストを遮断してしまうh」とあるので、攻撃ではない正常な通信を異常と判断して遮断してしまうことを指すため、フォールスポジティブが適切です。
[答] エ フォールスポジティブ
[答] エ フォールスポジティブ
(4)
表1より、WASは管理者権限が設定されているため、今回の攻撃においては任意のコマンドを実行できるため非常に危険です。そのため、WASの運用において必要最小限の権限に変更すべきです。
[答] WASを必要最小限の権限で動作させる。
[設問4]
今回の脆弱性対策の検証で確認すべきなのは、脆弱性を突いたHTTPリクエストをしっかり遮断できることと設問3(3)で問われた正常な通信を誤検出せずに許可することであるのは、問題文を読めば予想がつくかと思います。
[答] ・脆弱性Xを突く攻撃を防げること
・Eシステム利用のための正常な通信が許可されること
[設問5]
この問題は少し解答が思いつきづらい問題です。
”検知”を設定するということは、攻撃は遮断せずにログ記録だけとなりますが、誤検知の場合も通信を許可してくれるため、必要な通信が遮断されるということは起こり得なくなります。
社内動作検証で確認しているとは言え、短期間で十分な検証が出来るとは限らないため、”検知”とすることで運用をしながら誤検知の検証を行い、ビジネスへの影響を無くすということのようです。
”検知”を設定するということは、攻撃は遮断せずにログ記録だけとなりますが、誤検知の場合も通信を許可してくれるため、必要な通信が遮断されるということは起こり得なくなります。
社内動作検証で確認しているとは言え、短期間で十分な検証が出来るとは限らないため、”検知”とすることで運用をしながら誤検知の検証を行い、ビジネスへの影響を無くすということのようです。
[答] 販売機会損失など、ビジネスへの影響を与えずに誤検知の検証ができる。
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
平成27年度秋のSC午後1試験の他の問題の解説は下記投稿で行っています。
また、オススメ問題について下記投稿に記載しています。
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
0 件のコメント:
コメントを投稿