読者です 読者をやめる 読者になる 読者になる

情報処理技術者試験ナビ

当サイトは準備中です。

情報処理安全確保支援士 H29春 午後Ⅱ 問2

問題

社内システムの情報セキュリティ対策強化に関する次の記述を読んで,設問1〜5に答えよ。

 A社は,従業員数500名の金属加工会社である。A社では,電子メール(以下,メルという)の送受信,Webの閲覧,及びWebサーバによる情報公開にインターネットを利用している。社外に公開するドメイン名としてa-sha.co.jp(以下,A社ドメイン名という),サブドメイン名としてcca-sha.co.jp(以下,A社サブドメイン名という)を利用している。

f:id:honmurapeo:20170424153400p:plain

〔A社の情報システム〕  A社の情報システムのネットワーク構成を図1に示す。

f:id:honmurapeo:20170424153431p:plain

 DMZの各サーバには,グローバルIPアドレスを割り当てている。L3SW,PC,内部LANのサーバ及び業務LANのサーバには,プライベートIPアドレスを割り当てている。
 ウイルス対策として,サーバ及びPCにW社のウイルス対策ソフトを導入している。サーバ及びPCでは,リアルタイムスキャンを有効にし,さらに,サーバでは毎週土曜日20時に,PCでは毎日12時にフルスキャンを起動している。ウイルス定義ファイルは,サーバ,PCとも,1時間おきに更新している。
 A社では,全ての従業員にPCを1台ずつ貸与している。PCのOS及びソフトウェアの端弱性修正プログラムを,それぞれ毎月1回自動で適用している。

〔DMZのサーバの概要〕
 A社は,2年前にDMZへのプロキシサーバ新設に合わせ,DMZの全サーバをリプレースした。DMZのサーバは,システム部が運用している。システム部では,業者に委託して,年1回,DMZのサーバに対するインターネットからの脆弱性検査を実施しており,問題がないことを確認している。また,システム部では,DMZのサーバで使用されているOS及びソフトウェアの脆弱性情報を収集している。DMZのサーバでは,脆弱性修正プログラムがリリースされてから1か月以内に適用するようにしている。
 DMZのサーバの機能概要を表2に示す。

f:id:honmurapeo:20170424153507p:plain

 外部メールサーバの転送機能の設定を表3に示す。この設定によってオープンリレーが防止されている。

f:id:honmurapeo:20170424153531p:plain

〔内部LANのサーバ及び業務LANのサーバの概要〕
 内部LANのサーバは,システム部が運用している。内部LANのサーバの機能概要を表4に,内部メールサーバの転送機能の設定を表5に,業務LANのサーバの機能概要を表6に示す。

f:id:honmurapeo:20170424153559p:plain

f:id:honmurapeo:20170424153632p:plain

 業務LANのサーバ間では,日次でデータの転送がある。業務LANのサーバのうちコンテンツ管理Webサーバは,システム部が運用している。各部のサーバはそれぞれの部で運用している。
 内部LANのサーバ及び業務LANのサーバでは,OS及びソフトウェアの脆弱性修正プログラムの適用を年1回実施している。直近では,2か月前の3月に実施した。しかし,コンテンツ管理Webサーバ及び営業部サーバでは,ソフトウェアの動作検証が間に合わず,0S及びソフトウェアの脆弱性修正プログラムの適用を8月に延期した。

〔マルウェア感染と調査〕  5月11日13時10分に,システム部Web管理グループのHさんからシステム部運用グループのE主任に,“PCのフルスキャン中にPDFファイルがマルウェアXとして検出され,駆除された”との連絡があった。5月9日に,Hさんは次の操作を行ったとのことであった。

・このPDFファイルは,公開Webサーバで公開するコンテンツの一部であり,暗号化された形でコンテンツ作成業者B社のJ氏からメールで送信されたファイルの一つである。送信されたファイルを,一旦,PC上で復号し,展開した。 ・復号し,展開したファイルをコンテンツ管理Webサーバにアップロードした。 ・コンテンツ管理Webサーバでコンテンツの内容を確認した。

 E主任は,念のために,各部のサーバ管理者にサーバのフルスキャンを依頼した。フルスキャンの結果,コンテンツ管理WebサーバではマルウェアX及びマルウェアYが,営業部サーバではマルウェアYが検出され,駆除された。E主任は,上司のD部長に一報するとともに,部下のFさんに調査を指示した。  Fさんが行った調査の結果と感染への対処を図2に示す。

f:id:honmurapeo:20170424153711p:plain

f:id:honmurapeo:20170424153734p:plain

 E主任とFさんは図2についてD部長に報告した。複数のサーバでマルウェアが検出されたことから,D部長は,セキュリティ対策の見直しが必要と判断し,セキュリティ専門業者のC社に助言を求めることにした。C社のP氏が担当することになった。  FさんとP氏は,図2を精査した。P氏は,追加の調査事項として,次の2項目を挙げた。

  • マルウェアXに感染したサーバからC&CサーバへのHTTP通信及びHTTPoverTLS通信の有無を確認するために,  e  のログから  f  という条件に合致するログを抽出する。
  •   g  のログから,マルウェアYによって送信されたメールが  h  という条件に合致するログを抽出する。

 Fさんは,P氏が挙げた調査を実施した。
 続いて,FさんとP氏は,マルウェアYへの対策について検討した。次は,その際の会話である。

P氏:マルウェアYは,C&Cサーバから指示を受け取ります。マルウェアYと同様のタイプのマルウェアに感染した場合に備えて,①外部DNSサーバと内部DNSサーバのDNS問合せに関する設定を変更してください
Fさん:はい,分かりました。
P氏:さらに,内部DNSサーバで,DNS問合せの内容とその結果をログに記録すると,マルウェアYと同様のタイプのマルウェアの検出に役立ちます。
Fさん:マルウエア中に多数のFQDNがあり,それぞれのFQDNに合致するログを抽出するのは時間が掛かりそうです。効率よく抽出するにはどうしたらいいでしようか。
P氏:内部DNSサーバのログから  i  という条件に合致するログを抽出する方法はどうですか。
Fさん:それならば,すぐにできます。

FさんとP氏は,検討した結果を運用手順としてまとめた。

 

〔ウイルス対策の強化の検討〕
 FさんとP氏は,図2を基にし,ウイルス対策の強化について検討することにした。P氏は,問題点として,次の5点を挙げた。
(あ)SMTPウイルススキャンでは,暗号化されたファイルについてウイルス検出ができないこと
(い)PC利用者からのマルウェア感染の申告をきっかけにして,調査及び対処に着手しているが,マルウェア感染の影響を最小限にするためには,遅過ぎること
(う)図2中の(6)にあるようなメール送信を防止するための対策が不十分であること
(え)業務LANのサーバからC&Cサーバへの通信を遮断するための対策が不十分であること
(お)業務LANのサーバ間のマルウェア感染を防止するための対策が不十分であること

 問題点(あ)について,P氏は,コンテンツ作成業者との間でファイルをやり取りするためにデータ交換サーバをDMZに導入すること,及びメールへのフアイル添付を禁止することを,Fさんに提案した。データ交換サーバの機能を図3に示す。

f:id:honmurapeo:20170424153808p:plain

 さらに,P氏は,②図3中の(4)のウイルススキャン機能を有効なものとするためのアップロード時の注意点を説明した。
 問題点(い)について,FさんとP氏は検討の結果,サーバ用及びPC用の③ウイルス対策集中管理ソフトをインストールしたウイルス対策管理サーバの導入を提案することにした。

〔内部LANのサーバに関する見直し〕
 問題点(う)について,FさんとP氏は内部メールサーバの設定を見直すことにした。次は,その際の会話である。

Fさん:内部DNSサーバ及び業務LANのサーバから内部メールサーバに転送されるインターネット宛てのメールを拒否する方法はありますか。
P氏:表5を見直し,表7のとおりに変更すれば,拒否できます。
Fさん:はい,分かりました。表7のとおり,設定変更を提案します。

f:id:honmurapeo:20170424153831p:plain

〔業務LANのサーバに関する見直し〕
 問題点(え)について,FさんとP氏は,検討の結果,業務LANのサーバからインターネットへの通信として,OS及びソフトウェアの脆弱性修正プログラムのダウンロード,並びにウイルス定義ファイルのダウンロードだけを許可するように,プロキシサーバの設定変更を提案することにした。  問題点(お)に起因するマルウェア感染によって,万が一,業務LANのサーバが1台でも停止すると,A社の業務に著しい支障が発生する。しかし,脆弱性修正プログラムがリリースされたとしても,業務LANのサーバでは,動作検証に時間を要し,すぐに適用できないこともある。そこで,P氏は,④業務LANのサーバ間の必要な通信を維持しながら業務LANのサニバ間のマルウェア感染を防止するセキュリティ強化案を提案した。  FさんとP氏がまとめた提案内容は,D部長の承認を得た。一部の対策は即時実施され,ウィルス対策管理サーバ及びデータ交換サーバの導入,並びにセキュリテイ強化案については,今年度末に予定されている内部LANのサーバ及び業務LANのサーバのリプレース計画に反映され,実施されることになつた。

 

IPA公開情報

出題趣旨

 (公表前)

採点講評

 (公表前)