情報処理技術者試験ナビ

当サイトは準備中です。

情報処理安全確保支援士 H29春 午後Ⅰ 問1

問題

社内で発生したセキュリティインシデントに関する次の記述を読んで,設問1〜3に答えよ。

 D社は,従業員数100名のシステム開発会社である。D社のネットワーク構成を図1に示す。

f:id:honmurapeo:20170424125736p:plain

 D社のネットワークでは静的にIPアドレスが付与され,各セグメント間の通信はステートフルパケットインスペクション型のFWで制限されている。FWのフィルタリングルールを表1に示す。

f:id:honmurapeo:20170424125812p:plain

 従業員には,個人ごとにPCと利用者IDが割り当てられており,自身のPC上では,自身の利用者IDに対して管理者権限が付与されている。利用者IDは,LDAPサーバで一元管理されており,PCにログインする際,LDAPサーバで利用者認証が行われる。D社の顧客情報は全てCRMサーバに保管されており,営業業務に携わる従業員は,PCからWebブラウザでCRMサーバにアクセスして,顧客情報の登録・参照を行っている。
 サーバ及びFWは,入退室管理されたサーバルーム内に設置されている。利用者ID作成などのサーバの運用は,サーバ管理者が,事前申請をした上で,管理用PCからSSHでサーバにログインして行っている。SSHでログインする際もPCにログインする際と同様に,LDAPサーバで利用者認証が行われる。
 D社では,事前申請なしでCRMサーバへのSSHによるログインがあった場合,そのことを日次のバッチ処理によって顧客情報管理責任者であるN部長に電子メールで通知する仕組みを導入している。通知にはログイン時刻,SSHの接続元IPアドレス及び利用者IDが記載される。

〔セキュリティインシデントの発生〕
 ある日,サーバ管理者のY主任の利用者IDで,管理用PCからCRMサーバにログインしたことを示す通知がN部長に届いた。N部長が,Y主任に確認したところ,その時間帯にはログインしていないとのことであった。
 Y主任がCRMサーバのSSH認証ログを確認すると,身に覚えがない自分のログイン(以下,不審ログインという)の記録が残っていた。Y主任の報告を受けて,N部長は,不正侵入のセキュリティインシデント(以下,インシデントという)が発生 したと判断し,インターネット接続を遮断した上で,セキュリティ専門業者Z社に調査を依頼した。
 Z社のW氏が,サーバへの不正侵入の有無,侵入手口及び顧客情報窃取の有無に関する調査を進めることになった。

〔サーバへの侵入手口の調査〕
 W氏は,まずサーバへの不正侵入の有無及び侵入手口の調査を行った。その調査結果を図2に示す。調査結果から,W氏は図3に示す手順でサーバへの不正侵入が行われていたと推測した。

f:id:honmurapeo:20170424130002p:plain

 図3の2の通信が盗聴されている時点では,FW,管理用PC及びAさんのPCのARPテーブルが,それぞれ表2〜4に示すようになっていたとW氏は推測した。

f:id:honmurapeo:20170424130027p:plain

f:id:honmurapeo:20170424130050p:plain

 図3の6の特定方法としては,管理用PCのIPアドレスを総当たりで推測することも考えられるが,そのような方法が採られた場合にFWのフィルタリングルール  d  によって記録されるはずのログが残っていなかった。このことから,①通信の盗聴によつて管理用PCのIPアドレスが特定されたとW氏は推測した。

 

〔顧客情報窃取の有無の調査〕
 続いて,W氏は顧客情報窃取の有無を調査した。CRMサーバの顧客情報を窃取する手口として三つ考えられたので,それぞれ調査を行った。
 一つ目は,不正侵入されたCRMサーバからの直接の情報窃取である。調査した結果,CRMサーバからの直接の情報窃取はなかったと判断した。
 二つ目は,AさんのPCからAさんがCRMサーバにアクセスした際の,AさんのPC又は通信からの情報窃取である。調査した結果,AさんはCRMサーバにはアクセスしていないことがFWのログ及び聞き取りから確認できた。
 三つ目は,その他のPCからCRMサーバにアクセスした際の通信からの情報窃取である。D社内のWebブラウザの設定は,②サーバ証明書の検証に失敗した場合は接続しない設定にしている。このことから,CRMサーバにアクセスした際の通信からの情報窃取はなかったと判断した。
 W氏は更に調査した結果,顧客情報の窃取はなかったとN部長に報告した。

〔セキュリティ対策の実施〕
 Y主任は今回のインシデントを受けて,まず,マルウェアの駆除,ARPテーブルの初期化,全利用者IDのパスワード変更などの暫定対応を行った。その後,W氏の助言を受けながら,今回のように社内ネットワークに侵入された場合の被害拡大を防ぐために,社内ネットワークにおいて,二つのセキュリティ対策を実施することにした。
 第一に,図3の8を防ぐために,図4のようにネットワーク構成を変更し,表5のようにFWのフィルタリングルールを変更することにした。これらの変更によって,③図3の6が行われることも防ぐことができる。また,④仮に図3の6とは異なる方法で管理用PCのIPアドレスが特定され,図3の8が試みられた場合でも,TCPコネクションの確立を防ぐことができる。
 第二に,図3の4を防ぐために,LDAPサーバへの通信ではLDAPoverTLSを利用することにした。

f:id:honmurapeo:20170424130131p:plain

 これらの対策はN部長によって承認され,今回と同様のインシデントに対する社内ネットワークのセキュリティ耐性が高まることになった。

 

IPA公開情報

出題趣旨

 (公表前)

採点講評

 (公表前)