[問題文・解答]
平成27年度10月に実施された情報セキュリティスペシャリスト試験の午後2問題 問1の解説を3回に分けて行います。今回は2回目(中盤)です。
平成27年度10月の情報セキュリティスペシャリスト 午後2試験の問題・解答はIPA公式ページからダウンロード出来ます。(以下リンク)
[H27秋 午後2 問題文] [H27秋 午後2 解答]
[問題概要]
題材は、マルウェアによる情報漏えいへの対策、シンクライアント技術及びその他のセキュリティ対策技術についてです。概要は以下の通りで、今回は中盤部分の解説を行います。
(序盤部分)P.2〜P.7上段 設問1該当範囲
- A社では、社内の全PCをシンクライアント端末へ移行予定であり、マルウェア対策を考慮に入れた新しいシステム構成を設計中である。
- マルウェア感染のシナリオとしてメールの添付ファイル又はメール本文中のURLを開かせる事による感染を想定している。
- 設計案1は、複数に分けたネットワーク間の通信をFWで制限し、シンクライアント用サーバ(TCサーバ)から画面転送型でシンクライアントを利用する構成である。
(中盤部分)P.7中段〜P.9中段 設問2該当範囲
- 設計案1はマルウェア対策の要件を満たせない場合があるとの指摘を受ける。
- 設計案2として、Webアクセス用TCサーバとオフィス環境用TCサーバを用途によって使い分ける構成を提案する。
- 海外支店の行っている共同融資業務で、他の金融機関とオンラインストレージを用いたファイル共有が必要であるため、設計案2の修正が求められる。
- 海外支店専用のTCサーバ・ファイルサーバを用意する設計案3を提案する。
- 設計案3では、NWの帯域幅の問題から共同融資業務のパフォーマンス要件を満たすのが厳しいため、海外支店は例外的にシンクライアントに移行しない設計案4で運用することとした。
[設問2]
(1)
通信経路上にウイルスフィルタリングサーバを配置する場合、通信が暗号化されているとウイルススキャンが困難となります。P.2下段でも「ウイルスフィルタリングサーバは、HTTP通信及びSMTP通信においてファイルのウイルススキャンを行い、」とあることから暗号化されたHTTPS通信ではウイルススキャンが行われないと考えられます。また、設計案2ではその対策としてP.9上段「SSLプロキシサーバは、HTTPS通信の復号及び再暗号化に用いられる。」とあるようにSSLプロキシサーバを設置しています。
また、ファイル自体が暗号化されている場合もウイルススキャンが困難となります。
[答]
また、ファイル自体が暗号化されている場合もウイルススキャンが困難となります。
[答]
・通信が暗号化されている場合
・ファイルが暗号化されている場合
・ファイルが暗号化されている場合
(2)
P.6中段の説明で「TCサーバには、仮想IPアドレスプールが定義されている。クライアントアプリケーションのプロセスは、仮想IPアドレスプールの中から他のプロセスで利用されていない仮想IPアドレスを一つ選択して利用する。クライアントアプリケーションのプロセスが終了すると、当該プロセスで利用されていた仮想IPアドレスは解放され、他のプロセスが起動したときに再利用される。」とあり、端末間で同じIPアドレスを再利用することが分かります。
一方、認証プロキシサーバの認証方式2ではP.6中段「認証が成功すると、設定された時間が経過するまでは、クライアントのIPアドレスに認証済みの利用者とみなす。」とあることから、一度認証成功するとIPアドレスを元に一定時間認証済みとみなされるため、終了したクライアントアプリケーションで使われていたIPアドレスを利用した場合に認証済みとして扱われてしまう可能性があります。
一方、認証プロキシサーバの認証方式2ではP.6中段「認証が成功すると、設定された時間が経過するまでは、クライアントのIPアドレスに認証済みの利用者とみなす。」とあることから、一度認証成功するとIPアドレスを元に一定時間認証済みとみなされるため、終了したクライアントアプリケーションで使われていたIPアドレスを利用した場合に認証済みとして扱われてしまう可能性があります。
[答] クライアントアプリケーションのプロセスが起動される度に、IPアドレスが変わるので、認証済みのほかの利用者として認証されてしまう可能性があるから。
(3)
表2より、HTTP及びHTTPSで許可されている通信は項番11,12,13であり、流れとしては以下の通りです。
IA用TCサーバ→認証プロキシサーバ→SSLプロキシサーバ→インターネット上のWebサーバ
また、P.9中段で「受信メール中のURLをクリックした場合、OA用TCサーバ上でWebブラウザが起動されるが、当該URLへのアクセスは失敗する。」とあることからWebサイト閲覧時は、必ずIA用TCサーバを利用する必要があります。
従って、Webサイトのファイルを閲覧して感染が起きる場合にマルウェアが動作するのはIA用TCサーバ上となります。
IA用TCサーバ→認証プロキシサーバ→SSLプロキシサーバ→インターネット上のWebサーバ
また、P.9中段で「受信メール中のURLをクリックした場合、OA用TCサーバ上でWebブラウザが起動されるが、当該URLへのアクセスは失敗する。」とあることからWebサイト閲覧時は、必ずIA用TCサーバを利用する必要があります。
従って、Webサイトのファイルを閲覧して感染が起きる場合にマルウェアが動作するのはIA用TCサーバ上となります。
[答] IA用TCサーバ
(4)
表2でSMTPで許可されている通信は項番4〜9であり、メールの受信時に利用される通信は設計案1とほぼ同様で以下と考えられます。
インターネット上のメールサーバ→メールゲートウェイA→メールゲートウェイB→グループウェアサーバ
また、表2でグループウェアサーバへのアクセスが許可されているTCサーバはOA用TCサーバのみであるため、添付ファイル閲覧時の動作は設計案1のTCサーバがOA用TCサーバに置き換わったのみと考えられます。
従って、[設問1](2)と同様に考えてマルウェアが動作するのはOA用TCサーバとなります。
インターネット上のメールサーバ→メールゲートウェイA→メールゲートウェイB→グループウェアサーバ
また、表2でグループウェアサーバへのアクセスが許可されているTCサーバはOA用TCサーバのみであるため、添付ファイル閲覧時の動作は設計案1のTCサーバがOA用TCサーバに置き換わったのみと考えられます。
従って、[設問1](2)と同様に考えてマルウェアが動作するのはOA用TCサーバとなります。
[答] OA用TCサーバ
(5)
まず、目的遂行段階でマルウェアが利用する二つの通信は、P.3下段(5)より以下の二つです。
- マルウェアが、ファイルサーバ又はグループウェアサーバからファイルを盗み出す。
- マルウェアが盗んだファイルをインターネット上のサーバに送信する。
(Webサイトのファイルと閲覧した場合)
[設問2](3)よりマルウェアが動作するのは、IA用TCサーバ上です。
表2 項番11,12,13よりIA用TCサーバからインターネット上のサーバへのアクセスは可能ですが、ファイルサーバやグループウェアサーバへのアクセスは許可されていません。従って、上記の通信1がFWによって禁止されている事になります。プロトコルは表2の項番2,3を参考とすればよいです。
[設問2](3)よりマルウェアが動作するのは、IA用TCサーバ上です。
表2 項番11,12,13よりIA用TCサーバからインターネット上のサーバへのアクセスは可能ですが、ファイルサーバやグループウェアサーバへのアクセスは許可されていません。従って、上記の通信1がFWによって禁止されている事になります。プロトコルは表2の項番2,3を参考とすればよいです。
(受信メールの添付ファイルを開いた場合)
[設問2](4)よりマルウェアが動作するのは、OA用TCサーバ上です。
表2 項番2,3よりOA用TCサーバからファイルサーバやグループウェアサーバへのアクセスは可能ですが、インターネット上のサーバへのアクセスは許可されていません。従って、上記の通信2がFWによって禁止されている事になります。
表2 項番2,3よりOA用TCサーバからファイルサーバやグループウェアサーバへのアクセスは可能ですが、インターネット上のサーバへのアクセスは許可されていません。従って、上記の通信2がFWによって禁止されている事になります。
[答]
(Webサイトのファイルと閲覧した場合)以下のいずれか
(Webサイトのファイルと閲覧した場合)以下のいずれか
- 送信元:IA用TCサーバ、宛先:ファイルサーバ、プロトコル:Windowsファイル共有プロトコル
- 送信元:IA用TCサーバ、宛先:グループウェアサーバ、プロトコル:グループウェア独自プロトコル
- 送信元:OA用TCサーバ、宛先:インターネット上のWebサーバ、プロトコル:HTTP及びHTTPS
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
0 件のコメント:
コメントを投稿