[問題文・解答]
平成27年度4月に実施された情報セキュリティスペシャリスト試験の午後2問題 問2の解説を2回に分けて行います。今回は2回目(後半)です。
平成27年度4月の情報セキュリティスペシャリスト 午後2試験の問題・解答はIPA公式ページからダウンロード出来ます。(以下リンク)
[H27春 午後2 問題文] [H27春 午後2 解答]
[問題概要]
題材は、製造業における製造装置のLAN接続についてです。概要は以下の通りで、今回は後半部分の解説を行います。
(前半部分)P.16〜P.22 設問1〜2該当範囲
・工場内の製造装置で利用される汎用OSの脆弱性攻撃への対策が必要となった。
・対策として工場内LANを事務系LANと製造系LANに分離し、両LAN間のデータ授受方式としてUSBメモリを利用することを検討。
・協力会社との製造情報共有のために、専用のサーバ(Kサーバ)構築が決定し、利用実施規定を作成する。
(後半部分)P.22下段〜P.26 設問3〜4該当範囲
・Kサーバ用の情報共有LANを構築し、マルウェア対策として製造系LANとは分離する。
・協力会社からのアクセスにはHTTPSを利用する。
・協力会社側の接続端末の認証にはクライアント証明書による認証方式を検討し、また証明書の失効処理も検討する。
[設問3]
f) 表2 脆弱性攻撃型マルウェアの感染方法より「同一LAN上の他のコンピュータに対し、OSの脆弱性を悪用する攻撃を試み、攻撃に成功すると当該コンピュータを同マルウェアに感染させる。」とあることから、同一LAN上に感染したコンピュータが無ければ感染は防止できます。
P.23中段より「情報共有系LANと製造系LANとの間の一切のLAN通信を禁止するために、二つのLANを分離する。FWを介した接続は分離とは認めない。」とあり、また、図4のネットワーク構成図からも情報共有系LANと製造系LANは物理的に分離されており、通信が成立しない事から情報共有系LANまでマルウェアが到達しても、製造装置への感染は防止できます。
g) 表2 ファイルばらまき型マルウェアの感染方法より「同マルウェアに感染するような実行形式ファイルを共有ディスクや外部記憶媒体上に書き込む。」とあり、共有ディスクや外部記憶媒体を通して、ファイルのやり取りが可能な場合に感染拡大のリスクがあります。
P.23下段より「図4の構成を考え、KサーバがFCを経由して利用できる機能は、単方向レプリケーションによってコピーされたボリュームをマウントする機能だけとした。」とあることから、情報共有系LANと製造系LANのファイルのやり取りは製造統合管理サーバ(製造系LAN)→Kサーバ(情報共有系LAN)の方向のみで逆向きにファイルが転送されることは無いため、感染は防止できます。
P.23中段より「情報共有系LANと製造系LANとの間の一切のLAN通信を禁止するために、二つのLANを分離する。FWを介した接続は分離とは認めない。」とあり、また、図4のネットワーク構成図からも情報共有系LANと製造系LANは物理的に分離されており、通信が成立しない事から情報共有系LANまでマルウェアが到達しても、製造装置への感染は防止できます。
g) 表2 ファイルばらまき型マルウェアの感染方法より「同マルウェアに感染するような実行形式ファイルを共有ディスクや外部記憶媒体上に書き込む。」とあり、共有ディスクや外部記憶媒体を通して、ファイルのやり取りが可能な場合に感染拡大のリスクがあります。
P.23下段より「図4の構成を考え、KサーバがFCを経由して利用できる機能は、単方向レプリケーションによってコピーされたボリュームをマウントする機能だけとした。」とあることから、情報共有系LANと製造系LANのファイルのやり取りは製造統合管理サーバ(製造系LAN)→Kサーバ(情報共有系LAN)の方向のみで逆向きにファイルが転送されることは無いため、感染は防止できます。
[答]
f) 情報共有系LANと製造系LANの間で通信が成立することがない。
g) 情報共有系LAN上の機器へ実行形式ファイルが書き込まれても、製造系LANにファイルが転送されることがない。
[設問4]
(1)
P.24下段で協力会社のネットワーク構成について以下の条件を規定しています。
- インターネットとの接続は、協力会社各社の既設設備を使用できるように、回線種別、固定IPアドレスか否かについて制限しない。
- 協力会社内のLAN構成については特に制限せず、プロキシサーバの有無及びNAT、NAPTの利用有無は問わない。
上記1.よりIPアドレスが動的に割り当てられる場合には、IPアドレスに基づく端末の認証は不可能です。
また、上記2.よりプロキシサーバ経由のアクセスやNAT、NAPT変換によるアクセスでは接続端末のIPアドレス情報が隠れてしまうため、やはり端末の識別が困難となります。
また、上記2.よりプロキシサーバ経由のアクセスやNAT、NAPT変換によるアクセスでは接続端末のIPアドレス情報が隠れてしまうため、やはり端末の識別が困難となります。
[答]
・IPアドレスが動的に割り当てられるインターネット回線を利用している協力会社に対応出来ない
・プロキシサーバを利用している協力会社の場合、社内の接続端末の個別識別ができない。
(2)
IA(Issuing Authority, 発行局)とRA(Registration Authority,登録局)
証明書発行のCA(Certification Authority,認証局)の役割を分割し、証明書の発行を担当するIAと登録及び証明書の発行要求を担当するRAとで構成する。P.25下段で「IA(発行局)についてはJ社本社のプライベートCAを利用し、RA(登録局)についてはK工場が担当する。」とあります。
表8中の役割のうち、IAつまりJ社本社の担当するのは以下の2つとなります。
- 証明書の発行者としてディジタル署名の付与
- CRL(Certificate Revocation List)の発行
[答] h) K工場 i) K工場 j) J社本社 k) K工場 l) J社本社
(3)
ここで使用する鍵ペアは接続端末からKサーバへのアクセスのみに使用されるものであるため、接続端末側ではなく、K工場側で鍵ペア生成を行っても認証は可能となります。
[答] Kサーバへのアクセスだけに使用する鍵ペアだから
(4)
協力会社がKサーバの利用を取りやめる場合以外でも、協力会社で使用している接続端末が故障などにより廃棄される場合や現在使用中の証明書に登録された秘密鍵が漏えいした恐れのある場合は、当該証明書の失効処理を行う必要があります。
[答]
・証明書に対応した秘密鍵の漏えいが疑われる場合
・接続端末を廃棄する場合
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
0 件のコメント:
コメントを投稿