[平成２８年度秋] 午後2 問2 解説②

[問題文・解答]

平成２８年度１０月に実施された情報セキュリティスペシャリスト試験の午後２問題 問２の解説を２回に分けて行います。今回は２回目（後半）です。
平成２８年度１０月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H28秋 午後2 問題文]　　　[H28秋 午後2 解答]

[問題概要]

題材は、脆弱性対策についてです。

概要は以下の通りで、今回は後半部分の解説を行います。

（前半部分）P.14〜P.21上段　設問1〜3該当範囲

• ソフトウェア脆弱性を突いた攻撃増加に対応するため、社内横断的チームを組織し、脆弱性対策基準の策定など社内情報システムの脆弱性対策を強化した。
• あるWebアプリの脆弱性が公表され、対象機器を調査したところ、一次調査で漏れていた機器があったため再発防止策を検討した。
• その後、UNIX/Linuxのbashに関する重大な脆弱性が公表されたため、対象機器を調査し、直ちにパッチを適用することとなった。ただし、一部機器についてはパッチの適用では時間がかかり過ぎるため、WAFによる対策を行うこととなった。

（後半部分）P.21上段〜P.24上段　設問4〜5該当範囲

• bashの脆弱性について社外から直接アクセス出来ない機器も攻撃を受ける可能性があるという追加情報が公表されたため、改めて対象機器の調査・対策を実施した。
• より適切かつ運用負荷の少ない脆弱性対策とするために、脆弱性対策基準の見直しを実施した。

[設問4]

設問4はかなり難しい問題です。

図8の攻撃では、社内PCのWebブラウザから攻撃者のサイトにアクセスした場合に、攻撃者のWebページがXMLHttpRequest(XHR)を使って社内Webサーバの情報を読取り、それを攻撃者サイトに送信するというものです。

本来は攻撃者のサイトが別のサイト（今回は社内Webサイト）の持つ情報を読み取って悪用するのを防ぐため、Webブラウザに同一生成元ポリシー(Same-Origin Policy)が適用されています。同一生成元ポリシーとはあるサイト（オリジン）から読み込んだ情報を他のサイト（オリジン）がアクセス出来ないようにするものであり、社内Webサーバの情報読み取りは制限してくれます。しかし、社内Webサーバ側でオリジンを超えたアクセスの許可を知らせるAccess-Control-Allow-OriginをHTTPレスポンスヘッダに付加する場合に情報の読取りが可能となってしまいます。

(1)

PCのWebブラウザが攻撃者のサイトのWebページを読み込んだ後、社内WebサーバのURL宛に情報を読み取りにいこうとします。
[答] 社内WebサーバのURL

(2)

これは単語を知らないと解答は厳しい問題です。
解説は上記の通りです。
[答] e) オ　g) ア　h) キ

(3)

この問題はよく分かっていません。
[答] プロキシサーバを通じて攻撃者のサイトと通信する機能

[設問5]

(1)

P.22下段「重要情報を扱ってはいないが社外からアクセスできる機器、及び社外からアクセスできないが重要情報を扱っている機器も、場合によっては直ちに脆弱性に対応する必要があると考えた」ことから脆弱性対策基準の見直しを実施しています。
そして、図10の修正案では重要度レベルが中で、脆弱性レベル高の場合に即座に対応するリスクレベル3か、システム保守時に対応するリスクレベル2かで判断するとしています。
従って、以下の場合は重要度レベル中とすべきです。
・重要情報を扱ってはいないが社外からアクセスできる
・社外からアクセスできないが重要情報を扱っている
[答] 中

(2)

図9の修正の場合、リスクレベル2の機器は全てVチームによる評価が必要となります。一方、図10の修正の場合は以下の組合せで評価が不要となります。
①重要度レベル高でかつ脆弱性レベル低
②重要度レベル低でかつ脆弱性レベル高
①に該当するのはク、②に該当するのはアです。
[答] ア、ク

(3)

機器の重要度レベル判定の基準となっている指標から
・重要情報が漏えいするリスク
・社外からアクセスされるリスク
が評価すべきリスクとして挙げられます。
[答]
j) 重要情報が漏えいする
k) 社外から侵入される

上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。