[問題文・解答]
平成28年度4月に実施された情報セキュリティスペシャリスト試験の午後2問題 問1の解説を2回に分けて行います。今回は2回目(後半)です。
平成28年度4月の情報セキュリティスペシャリスト 午後2試験の問題・解答はIPA公式ページからダウンロード出来ます。(以下リンク)
[H28春 午後2 問題文] [H28春 午後2 解答]
[問題概要]
題材は、CSIRT構築とセキュリティ設計についてです。概要は以下の通りで、今回は後半部分の解説を行います。
- A社ではセキュリティポリシを定め、IRT(Incident Response Team: インシデント対応チーム)を設置・運用しているが、十分に機能していない。
- 大きなインシデントが発生したため、現状のインシデント対応について問題を調査し、改善を計る。
(後半部分)P.7中段〜P.14上段 設問3〜6該当範囲
- 社内のLDAPサーバに大量のログイン試行のログがあり、調査を実施した結果、社内PCが攻撃メールからマルウェアに感染していた。
- 対策として、サーバへのアクセスを制限するための運用管理LANの新設などのセキュリティ設計の見直しを実施する。
- 社内機器への脆弱性修正プログラムの適用漏れに起因するインシデントを防ぐために脆弱性情報を効率的に収集・把握することを検討する。
[設問3]
(1)
現状のネットワーク構成では、IT部のPCが攻撃メールなどに酔ってマルウェアに感染した場合にこのマルウェアがサーバLANの各サーバの管理用ポートにアクセスすることが出来てしまいます。
一方、運用管理セグメント新設の場合はサーバLANの各サーバの管理用ポートにアクセスできるのは運用管理セグメント内の運用管理PCのみであり、また他LAN上のPCから運用管理PCにアクセスすることも出来ないため、上記のような攻撃は防ぐことが出来ます。
[答] IT部のOA用PCに攻撃メールが送信され、PCがマルウェアに感染し、起動したマルウェアがサーバLANに不正アクセスする攻撃一方、運用管理セグメント新設の場合はサーバLANの各サーバの管理用ポートにアクセスできるのは運用管理セグメント内の運用管理PCのみであり、また他LAN上のPCから運用管理PCにアクセスすることも出来ないため、上記のような攻撃は防ぐことが出来ます。
(2)
ブルートフォース攻撃とリバースブルートフォース攻撃
ブルートフォース攻撃が同じIDに対して、パスワードとして想定し得る全ての文字列を総当たりで入力するのに対して、リバースブルートフォース攻撃はパスワードをよく利用されるもの(admin, 12345, aaaaaなど)で固定して、IDを総当たりで入力する攻撃である。ブルートフォース対策として同じIDで複数回ログイン失敗した時にアカウントロックする方法は、リバースブルートフォース攻撃には通用しない。
リバースブルートフォース攻撃では、IDはランダムな文字列が入力されるため、運用上無いはずのIDでLDAPサーバへのログイン要求があった際にアラートを発生させればよいことが分かります。
表3 LDAPサーバの概要欄に「IT部の運用チームが管理を行う。HTTPでアクセスできる管理画面があり、運用チーム4名のLDAP IDでだけログインできる。」とあるので、IT部運用チーム4名のLDAP ID以外のIDでログイン要求を検知すればよいです。
[設問4]
(1)
脆弱性情報を収集するためには、所有している情報機器のOSやファームウェアの種類・バージョン、CPUの型番、CDドライブの有無などの機器構成情報が必要となります。各部署の情報機器の現状が示された構成管理情報を活用することで、どのような脆弱性情報を集めればよいかが分かります。
[答] A社IRTが収集すべき脆弱性情報を把握するため
(2)
各部署にどのような情報機器があるかを把握しておくことでインシデント発生時や脆弱性が公表されて対策が必要な時などに、どの機器に影響が及ぶのかを効率的に特定することが可能となります。
[答] A社IRTが、各部署のインシデント発生時や対策時の、影響範囲の特定に活用する。
[設問5]
(1)
P.11下段に「各部署が独自に管理する情報機器の脆弱性情報の収集や脆弱性修正プログラムの適用は、部署ごとに対応が異なっており」とあるように部署によって差はあるものの脆弱性情報の収集が行われていることが分かります。従って、まずはこれらの情報を各部署から提供してもらうのが得策です。
[答] 各部署が収集している脆弱性情報の提供を受ける。
[設問6]
(1)
ゼロデイ攻撃
脆弱性が公表されてから、修正プログラムが提供されるまでにその脆弱性を突いた攻撃を行うこと。
ゼロデイ攻撃の特徴より、脆弱性情報が公表されているかどうか、修正プログラムは提供済みかどうか、脆弱性を突いた攻撃コードが出現しているかどうかなどが評価に影響を及ぼすことが分かります。
P.13上段「二つ目は"現状評価基準"であり、攻撃コードの出現有無や対策情報が利用可能であるかどうかを基にした評価基準である。ベンダなどの脆弱性への対策状況に応じ、時間の経過によって変化し、脆弱性を公表する組織が、脆弱性の現状を表すために評価する基準である」との説明から現状評価基準が適当です。
[答] 現状評価基準(2)
図3及び表3のFW1、FW2の概要より
FW1:外部業者の担当者が遠隔からインターネットを経由し、SSHクライアントソフトを用いて更新作業を行えることから、攻撃元区分はネットワークとなる。
FW2:FW2のコンソールポートに常時接続されたMPCからのみSSHクライアントソフトを用いて更新作業を行えることから、攻撃元区分はローカルとなる。
参考ページ
FW1:外部業者の担当者が遠隔からインターネットを経由し、SSHクライアントソフトを用いて更新作業を行えることから、攻撃元区分はネットワークとなる。
FW2:FW2のコンソールポートに常時接続されたMPCからのみSSHクライアントソフトを用いて更新作業を行えることから、攻撃元区分はローカルとなる。
参考ページ
[答] c) ネットワーク d) ローカル e) FW1
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
0 件のコメント:
コメントを投稿