読者です 読者をやめる 読者になる 読者になる

情報処理技術者試験ナビ

当サイトは準備中です。

応用情報技術者 H29春 午後 問1(情報セキュリティ)

問題

マルウェア対策に関する次の記述を読んで,設間1〜5に答えよ。

 T社は,社員60名の電子機器の設計開発会社であり,技術力と実績によって顧客の信頼を得ている。社内のサーバには,設計資料や調査研究資料など,営業秘密情報を含む資料が多数保管されている。
 T社の社員は,社内LANのPCからインターネット上のWebサイトにアクセスして,情報収集を日常的に行っている。ファイアウォール(以下,FWという)には,業務上必要となる最少の通信だけを許可するパケットフィルタリングルールが設定されており,社内LANからのインターネットアクセスは,DMZのプロキシサーバ経由だけが許可されている。T社の現在のLAN構成を図1に示す。

 f:id:honmurapeo:20170417213500p:plain

 T社では,マルウェアの感染を防ぐために,PCとサーバでウイルス対策ソフトを稼働させ,情報セキュリティ運用規程にのっとり,最新のウイルス定義ファイルとセキュリティパッチを適用している。

〔マルウェア対策の見直し〕
 最近,秘密情報の流出など,情報セキュリティを損ねる予期しない事象(以下,インシデントという)による被害に関する報道が多くなっている。この状況に危機感を抱いたシステム課のM課長は,運用担当のS君に,情報セキュリテイ関連のコンサルティングを委託しているY氏の支援を受けて,マルウェア対策を見直すよう指示した。
 S君から相談を受けたY氏がT社の対策状況を調査したところ,マルウェアの活動を抑止する対策が十分でないことが分かった。Y氏はS君に,特定の企業や組織内の情報を狙ったサイバー攻撃(以下,標的型攻撃という)の現状と,T社が実施すべき対策について説明した。Y氏が説明した内容を次に示す。

〔標的型攻撃の現状と対策〕
 最近,標的型攻撃の一つである  a  攻撃が増加している。  a  攻撃は,攻撃者が,攻撃対象の企業や組織が日常的に利用するWebサイトの  b  を改ざんし, webサイトにアクセスしたPCをマルウェアに感染させるものである。これを回避するには,WebブラウザやOSのセキュリティパッチを更新して,最新の状態に保つことが重要である。しかし,ゼロデイ攻撃が行われた場合は,マルウェアの感染を防止できない。
 マルウェアは,PCに侵入すると,攻撃者がマルウェアの遠隔操作に利用するサーバ(以下,攻撃サーバという)との間の通信路を確立した後,企業や組織内のサーバへの侵入を試みることが多い。サーバに侵入したマルウェアは,攻撃サーバから送られる攻撃者の指示を受け,サーバに保管された情報の窃取,破壊などを行うことがある。①マルウェアと攻撃サーバの間の通信(以下,バックドア通信という)は,HTTPで行われることが多いので,マルウェアの活動を発見するのは容易ではない
 Y氏は,このようなマルウェアの活動を抑止するために,次の3点の対応策をS君に提案した。

  • DMZに設置されているプロキシサーバとPCでの対策の実施
  • ログ検査の実施
  • インシデントへの対応体制の構築

〔DMZに設置されているプロキシサーバとPCでの対策の実施〕
 S君は,プロキシサーバとPCで,次の3点の対策を行うことにした。

  • プロキシサーバで,遮断するWebサイトをT社が独自に設定できる  c  機能を新たに稼働させる。
  • プロキシサーバで利用者認証を行い,攻撃サーバとの通信路の確立を困難にする。
  • プロキシサーバでの利用者認証時に,②PCの利用者が入力した認証情報がマルウェアによって悪用されるのを防ぐための設定をWebブラウザに行う

 

〔ログ検査の実施〕
 S君は,ログ検査について検討し,次の対策と運用を行うことにした。
 プロキシサーバは,社内LANのPCとサーバが社外のWebサーバとの間で通信し た内容をログに記録している。業務サーバ,ファイルサーバ,FWなどの機器も,ログインや操作履歴をログに記録しているので,プロキシサーバだけでなく他の機器のログも併せて検査する。③ログ検査では,複数の機器のログに記録された事象の関連性も含めて調査することから,DMZにNTP(Network Time Protocol)サーバを新規に導入し,ログ検査を行う機器でNTPクライアントを稼働させる。導入するNTPサーバは,外部の信用できるサーバから時刻を取得する。NTPサーバの導入に伴って,表1に示すパケットフィルタリングルールをFWに追加する。

 f:id:honmurapeo:20170417213525p:plain

 ログ検査では,次の2点を重点的に行う。

  • プロキシサーバでの利用者認証の試行が,短時間に大量に繰り返されていないかどうかを調べる。この検査によって,マルウェアによるサーバへの  f  攻撃が行われた可能性があることを発見できる。
  • セキュリティベンダやセキュリティ研究調査機関が公開した,バックドア通信の 特徴に関する情報を基に,プロキシサーバのログに記録された通信内容を調べる。 この検査によって,バックドア通信の痕跡を発見できることが多い。

 〔インシデントへの対応体制の構築〕
 S君は,④インシデントによる情報セキュリティ被害の発生,拡大及び再発を最少 化するために社内に構築すべき対応体制についてまとめた。

 以上の検討を基に,S君は,マルウェア対策の改善案をまとめてM課長に報告した。改善案は承認され,実施に移すことになった。

 

IPA公開情報

出題趣旨

 (公表前)

採点講評

 (公表前)