[問題文・解答]
平成27年度4月に実施された情報セキュリティスペシャリスト試験の午後2問題 問1の解説を2回に分けて行います。今回は1回目(前半)です。
平成27年度4月の情報セキュリティスペシャリスト 午後2試験の問題・解答はIPA公式ページからダウンロード出来ます。(以下リンク)
[H27春 午後2 問題文] [H27春 午後2 解答]
[問題概要]
題材は、休暇明けのウイルス感染についてです。概要は以下の通りで、今回は前半部分の解説を行います。
(前半部分)P.2〜P.8上段 設問1〜3該当範囲
・N社ではプロキシサーバでHTTPウイルススキャン、内部メールサーバでSMTPスキャンを実施している。
・DNSサーバや外部メールサーバは踏み台攻撃に利用されないよう対策をとっている。
・社内用PCの初期設定作業効率化の為に専用ネットワークの設置を検討・実施する。
(後半部分)P.8中段〜P.13 設問4〜6該当範囲
・社内PCが攻撃メールからマルウェアに感染したため、感染経路や問題点についての調査と対策を実施した。
・休暇明けにウイルス定義ファイルの更新が遅延してしまう問題があるため、対処として集中管理サーバの導入を検討する。
・採用・広報メールアドレス宛に届く攻撃メールへの対策として、メールでの問合せを止め、Webフォームによる問合せへの切替えを検討する。
[設問1]
(1)
DNSSEC
DNSサーバのドメイン情報にディジタル署名を付加することで、DNS応答が改ざんなどのされていない正当な応答であることを保証するDNSの拡張仕様です。DNSサーバの応答を偽装して、ユーザを意図せぬサイトで誘導しようとするDNSキャッシュポインズニング等の対策として利用されます。
DNSキャッシュポインズニングについては平成28年度春試験 午後1問2でも出ています。
http://sc-kakomon.blogspot.jp/2016/08/1.html
[答] DNSSEC
DNSキャッシュポインズニングについては平成28年度春試験 午後1問2でも出ています。
http://sc-kakomon.blogspot.jp/2016/08/1.html
[答] DNSSEC
(2)
オープンリゾルバ
DNSサーバで所属NW以外のNWからの問合せにも応答する設定となっているもの
b) 表2 DNSサーバの概要欄に「インターネットkらの再起的な名前解決問合せを拒否」することでDNSサーバが踏み台として利用されるのを防ごうとしていることからb)には上記のオープンリゾルバが当てはまります。
c) メールはエンベロープとメッッセージから構成され、SMTPサーバはエンベロープ情報を基にメールの転送を行います。エンベロープには、送信元や宛先の情報が含まれます。また、メッセージの冒頭部分、メールヘッダにも送信元や宛先情報が含まれますが、これはメール受信者側で使用する情報であり、SMTPの転送では基本的に使用されません。
[答] b) オープン c) エンベロープ
(3)
外部メールサーバでは、内部メールサーバへの転送を許可するのは、N社のメールアドレス宛のメールに限定すべきです。P.2上段に「ドメイン名としてn-sha.co.jpを使用しており」とあるため、外部メールサーバで許可すべきドメイン名は「n-sha.co.jp」となります。
[答] n-sha.co.jp
[設問2]
ウイルススキャンはあくまでN社社内でのセキュリティ対策であり、結果通知も社内の関係者にのみ配信し、社外には展開するべきではありません。事情を知らない社外メールアドレス宛に一方的に結果通知メールを送信すると、図3にあるように「迷惑メールになる可能性」もあります。
表2にもあるようにSMTPウイルススキャンは内部メールサーバで実施されるため、
表2にもあるようにSMTPウイルススキャンは内部メールサーバで実施されるため、
- 社内PCから送信されたメールは送信者メールアドレスに通知
- インターネットから送信されたメール、つまり外部メールサーバから転送されたメールは宛先メールアドレスに通知
とする必要があります。従って、図3下部の文章よりe)には宛先ではなく、送信者メールアドレスが当てはまります。
[答] 送信者メールアドレス
[設問3]
初期設定用ネットワークでは、以下の課題を改善することが目的です。
P.7上段「脆弱性修正プログラムの適用順序を確認したり、ウイルス定義ファイルをダウンロードしたりするのに時間がかかるので、初期設定用DVD-R作成の作業負荷は大きく、効率向上が課題となっている。」
つまり、初期設定用ネットワークでは初期設定用DVD-Rに保存する為の脆弱性修正プログラムやウイルス定義ファイルの最新版を各提供サイトからダウンロードすることが主な目的となります。
従って、攻撃サイトなどに誤ってアクセスしてしまうことを防ぐ為にも、接続サイトは脆弱性修正プログラムやウイルス定義ファイルの提供サイトに制限すべきです。
P.7上段「脆弱性修正プログラムの適用順序を確認したり、ウイルス定義ファイルをダウンロードしたりするのに時間がかかるので、初期設定用DVD-R作成の作業負荷は大きく、効率向上が課題となっている。」
つまり、初期設定用ネットワークでは初期設定用DVD-Rに保存する為の脆弱性修正プログラムやウイルス定義ファイルの最新版を各提供サイトからダウンロードすることが主な目的となります。
従って、攻撃サイトなどに誤ってアクセスしてしまうことを防ぐ為にも、接続サイトは脆弱性修正プログラムやウイルス定義ファイルの提供サイトに制限すべきです。
[答] 脆弱性修正プログラム及びウイルス定義ファイルを提供するサイトに制限する。
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
0 件のコメント:
コメントを投稿