応用情報技術者試験の過去問&キーワードを動画2443本の動画で解説!スキマ時間に動画!※2017年9月11日現在

PR広告

平成29年度春 応用情報技術者試験 午後問1 情報セキュリティ 設問1 合格率アップ!動画付き解説!

マルウェア対策に関する次の記述を読んで、設問1~5に答えよ。

T社は、社員60名の電子機器の設計開発会社であり、技術力と実績によって顧客の信頼を得ている。社内のサーバには、設計資料や調査研究資料など、営業秘密情報を含む資料が多数保管されている。

T社の社員は、社内LANのPCからインターネット上のWebサイトにアクセスして、情報収集を日常的に行っている。ファイアウォール(以下、FWという)には、業務上必要となる最少の通信だけを許可するパケットフィルタリングルールが設定されており、社内LANからのインターネットアクセスは、DMZのプロキシサーバ経由だけが許可されている。T社の現在のLAN構成を図1に示す。

図1 T社の現在のLAN構成

T社では、マルウェアの感染を防ぐために、PCとサーバでウイルス対策ソフトを稼働させ、情報セキュリティ運用規程にのっとり、最新のウイルス定義ファイルとセキュリティパッチを適用している。

〔マルウェア対策の見直し〕

 最近、秘密情報の流出など、情報セキュリティを損ねる予期しない事象(以下、インシデントという)による被害に関する報道が多くなっている。この状況に危機感を抱いたシステム課のM課長は、運用担当のS君に、情報セキュリティ関連のコンサルティングを委託しているY氏の支援を受けて、マルウェア対策を見直すよう指示した。

 S君から相談を受けたY氏がT社の対策状況を調査したところ、マルウェアの活動を抑止する対策が十分でないことが分かった。Y氏はS君に、特定の企業や組織内の情報を狙ったサイバー攻撃(以下、標的型攻撃という)の現状と、T社が実施すべき対策について説明した。Y氏が説明した内容を次に示す。

〔標的型攻撃の現状と対策〕

最近、標的型攻撃の一つであるa攻撃が増加している。a攻撃は、攻撃者が、攻撃対象の企業や組織が日常的に利用するWebサイトのbを改ざんし、WebサイトにアクセスしたPCをマルウェアに感染させるものである。これを回避するには、WebブラウザやOSのセキュリティパッチを更新して、最新の状態に保つことが重要である。しかし、ゼロデイ攻撃が行われた場合は、マルウェアの感染を防止できない。

マルウェアは、PCに侵入すると、攻撃者がマルウェアの遠隔操作に利用するサーバ(以下、攻撃サーバという)との間の通信路を確立した後、企業や組織内のサーバへの侵入を試みることが多い。サーバに侵入したマルウェアは、攻撃サーバから送られる攻撃者の指示を受け、サーバに保管された情報の窃取、破壊などを行うことがある。①マルウェアと攻撃サーバの間の通信(以下、バックドア通信という)は、HTTPで行われることが多いので、マルウェアの活動を発見するのは容易ではない

Y氏は、このようなマルウェアの活動を抑止するために、次の3点の対応策をS君に提案した。

・DMZに設置されているプロキシサーバとPCでの対策の実施

・ログ検査の実施

・インシデントへの対応体制の構築

〔DMZに設置されているプロキシサーバとPCでの対策の実施〕

S君は、プロキシサーバとPCで、次の3点の対策を行うことにした。

・プロキシサーバで、遮断するWebサイトをT社が独自に設定できるc機能を新たに稼働させる。

・プロキシサーバで利用者認証を行い、攻撃サーバとの通信路の確立を困難にする。

・プロキシサーバでの利用者認証時に、②PCの利用者が入力した認証情報がマルウェアによって悪用されるのを防ぐための設定を、Webブラウザに行う

〔ログ検査の実施〕

S君は、ログ検査について検討し、次の対策と運用を行うことにした。

プロキシサーバは、社内LANのPCとサーバが社外のWebサーバとの間で通信した内容をログに記録している。業務サーバ、ファイルサーバ、FWなどの機器も、ログインや操作履歴をログに記録しているのでプロキシサーバだけでなく他の機器のログも併せて検査する。③ログ検査では、複数の機器のログに記録された事象の関連性も含めて調査することから、DMZにNTP(Network Time Protocol)サーバを新規に導入し、ログ検査を行う機器でNTPクライアントを稼働させる。導入するNTPサーバは、外部の信用できるサーバから時刻を取得する。NTPサーバの導入に伴って、表1に示すパケットフィルタリングルールをFWに追加する。

表1 FWに追加するパケットフィルタリングルール

項番 送信元 宛先 サービス 動作
1 dのNTPサーバ eのNTPサーバ NTP 許可
2 社内LANのサーバ dのNTPサーバ NTP 許可

注記 FWは、最初に受信して通過させるパケットの設定を行えば、応答パケットの通過を自動的に許可する機能を持つ。

ログ検査では、次の2点を重点的に行う。

・プロキシサーバでの利用者認証の試行が、短時間に大量に繰り返されていないかどうかを調べる。この検査によって、マルウェアによるサーバへのf攻撃が行われた可能性があることを発見できる。

・セキュリティベンダやセキュリティ研究調査機関が公開した、バックドア通信の特徴に関する情報を基に、プロキシサーバのログに記録された通信内容を調べる。この検査によって、バックドア通信の痕跡を発見できることが多い。

〔インシデントへの対応体制の構築〕

S君は、④インシデントによる情報セキュリティ被害の発生、拡大及び再発を最少化するために社内に構築すべき対応体制についてまとめた。

以上の検討を基に、S君は、マルウェア対策の改善案をまとめてM課長に報告した。改善案は承認され、実施に移すことになった。

設問1

本文中のacfに入れる適切な字句を解答群の中から選び、記号で答えよ。

解答群

  • ア:DDoS
  • イ:IPアドレス
  • ウ:URLフィルタリング
  • エ:Webページ
  • オ:キーワードフィルタリング
  • カ:総当たり
  • キ:フイッシング
  • ク:水飲み場型
  • ケ:レインボー

設問1の解説

a

b

c

f

に入れる字句を解答群の中から選びます。

abの解説

[標的型攻撃の現状と対策]

a攻撃は、攻撃者が、攻撃対象の企業や組織が日常的に利用するWebサイトのbを改ざんし、WebサイトにアクセスしたPCをマルウェアに感染させるものである。

とあります。このような攻撃手法は「水飲み場型」攻撃といいます。企業や組織のサイトには多くの人がアクセスします。そこを攻撃の起点する攻撃手法です。

aは「ク 水飲み場型」が入ります。

WebサイトのWebページにマルウェアに感染するようなコードを入れます。

従って、bには「エ Webページ」が入ります。

cの解説

マルウェア感染を防ぐための具体的な手段を考えます。

[DMZに設置されているプロキシサーバとPCでの対策の実施]

プロキシサーバで、遮断するWebサイトをT社が独自に設定できるc機能を新たに稼働させる。

Webサイトには世界でただ一つのURLが割り振られています。悪意のあるアクセスをするURLを設定して防ぐようにすれば攻撃を防げます。このような機能を「URLフィルタリング」といいます。

cには「ウ URLフィルタリング」が入ります!

fの解説

[ログ検査の実施]

プロキシサーバでの利用者認証の試行が、短時間に大量に繰り返されていないかどうかを調べる。この検査によって、マルウェアによるサーバへのf攻撃が行われた可能性があることを発見できる。

上記のように、短時間に大量に利用者認証の試行が行われるような攻撃を「総当たり」攻撃といいます。

fには「カ:総当たり」が入ります!

設問2

本文中の下線①の理由について、最も適切なものを解答群の中から選び、記号で答えよ。

解答群

  • ア:バックドア通信の通信相手を特定する情報は、ログに記録されないから
  • イ:バックドア通信の通信プロトコルは、特殊なので解析できないから
  • ウ:バックドア通信は大量に行われるので、ログを保存しきれないから
  • エ:バックドア通信は通常のWebサーバとの通信と区別できないから

解説

下線①は「①マルウェアと攻撃サーバの間の通信(以下、バックドア通信という)は、HTTPで行われることが多いので、マルウェアの活動を発見するのは容易ではない。」です。

バックドア通信がHTTPで行われていることに注目します。」

HTTPはウェブサイトを閲覧するためのプロトコルであるために、日常的に使われます。HTTPである以上は、通常のWebサーバへのアクセスかバックドアの通信か区別がつきません。そのためマルウェアの活動を発見しにくいです。

従って下線「①マルウェアと攻撃サーバの間の通信(以下、バックドア通信という)は、HTTPで行われることが多いので、マルウェアの活動を発見するのは容易ではない。」の理由は「エ:バックドア通信は通常のWebサーバとの通信と区別できないから」となります!

設問3

本文中の下線②の設定内容を、25字以内で述べよ。

設問3の解説

下線②「PCの利用者が入力した認証情報がマルウェアによって悪用されるのを防ぐための設定を、Webブラウザに行う。」です。

認証情報をマルウェアで盗聴する際にオートコンプリートの機能が使われます。オートコンプリートはIDやパスワードをブラウザに保存しているため利用できます。

この機能を使わないように制御することで、認証情報をマルウェアで盗聴することを防ぎます。

IPA公式解答「オートコンプリート機能を無効にする。」

設問4

〔ログ検査の実施〕について、(1)、(2)に答えよ。

(1) 本文中の下線③について、NTPを稼働させなかったときに発生するおそれがある問題を、35字以内で述べよ。

(2) 表1中のdeに入れる適切な字句を、図1中の名称で答えよ。

設問4 (1)の解説

下線③は「ログ検査では、複数の機器のログに記録された事象の関連性も含めて調査する」です。

NTPを稼働させなかったときに発生するおそれがある問題を、35字以内で述べよ。

NTPとは問題文にある通り、「外部の信用できるサーバから時刻を取得する」機能です。

時刻がずれるとどのようなことが起こるのでしょうか?

ログはいつ誰がどのようなアクセスをしたかを記録します。時刻がずれると「いつ」がわかりません。その結果起こった事象が追えなくなります。

従って、IPA公式解答「各機器のログに記録された事象の時系列の把握が困難になる」です!

設問4 (2)の解説

d, eの穴埋めです。

問題文にある通り、DMZにNTPサーバを新規に導入します。このNTPサーバは外部の信頼できるNTPサーバと接続して正確な時刻を取得します。社内LANは直接外部NTPサーバにアクセスするのではなくこのDMZのNTPサーバにアクセスします。

d, eは表1 FWに追加するパケットフィルタリングルールにあります。

表1 FWに追加するパケットフィルタリングルール

項番 送信元 宛先 サービス 動作
1 dのNTPサーバ eのNTPサーバ NTP 許可
2 社内LANのサーバ dのNTPサーバ NTP 許可

項番2は送信元が社内LANのサーバで、NTPを取得するために、DMZのNTPサーバにアクセスします。

DMZのNTPサーバはインターネット上のNTPサーバと通信するため、項番1のようにDMZのNTPサーバが送信元になり、インターネットのNTPサーバが宛先になります。

設問5

本文中の下線④の対応体制について、適切なものを解答群の中から二つ選び、記号で答えよ。

解答群

  • ア:インシデント発見者がインシデントの内容を報告する窓口の設置
  • イ:原因究明から問題解決までを社外に頼らず独自に行う体制の構築
  • ウ:社員向けの情報セキュリティ教育及び啓発活動を行う体制の構築
  • エ:情報セキュリティ被害発生後の事後対応に特化した体制の構築
  • オ:発生したインシデントの情報を社内外に漏らさない管理体制の構築

設問5の解説

下線④は「④インシデントによる情報セキュリティ被害の発生、拡大及び再発を最少化するために社内に構築すべき対応体制」です。

インシデントとは、上記にある通り情報セキュリティ被害の発生などを事象です。

拡大及び再発を最少化するために社内に構築すべき対応体制を考えます。

ア:インシデント発見者がインシデントの内容を報告する窓口の設置

→ インシデントを発見しても報告する体制がなければインシデントの状況がわかりません。正解

イ:原因究明から問題解決までを社外に頼らず独自に行う体制の構築

→ インシデントによっては社外の専門家に協力を要請する必要があります。不正解

ウ:社員向けの情報セキュリティ教育及び啓発活動を行う体制の構築

→ インシデント発生時の正確な報告など教育をすることにより、円滑な管理ができます。正解

エ:情報セキュリティ被害発生後の事後対応に特化した体制の構築

→ 情報セキュリティ被害を未然に防ぐことも重要です。不正解

オ:発生したインシデントの情報を社内外に漏らさない管理体制の構築

→ インシデントは隠すべきことではありません。不正解


PR広告

フェイスブックコメント

難解な応用情報技術者試験午前で80点中48点を取る優しい方法

平成28年度春 応用情報技術者試験 午後 テキスト・動画解説

平成28年度春 応用情報技術者試験 午後 動画解説再生リスト

平成28年度春 応用情報技術者試験 午前 テキスト・動画解説

平成28年度秋 応用情報技術者試験 午前 動画解説再生リスト

平成27年度秋 応用情報技術者試験 午前 テキスト・動画解説

平成27年度秋 応用情報技術者試験 午前 動画解説再生リスト

平成27年度春 応用情報技術者試験 午後 テキスト・動画解説

平成27年度春 応用情報技術者試験 午後 動画解説再生リスト

平成27年度春 応用情報技術者試験 午前 テキスト・動画解説

平成27年度春 応用情報技術者試験 午前 動画解説再生リスト

平成26年度秋 応用情報技術者試験 午前 テキスト・動画解説

平成26年度秋 応用情報技術者試験 午前 動画解説再生リスト

平成26年度春 応用情報技術者試験 午前 テキスト・動画解説

平成26年度春 応用情報技術者試験 午前 動画解説再生リスト