「資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後1/問2」の編集履歴(バックアップ)一覧はこちら
追加された行は緑色になります。
削除された行は赤色になります。
* 問2 ログの管理に関する次の記述を読んで、説問1~3に答えよ。
H社は、200名が勤務する高級化粧品の訪問販売会社である。H社では、顧客の連絡先、訪問記録、購買履歴などの個人情報を管理する顧客管理システム(以下、Bシステムという)を利用している。Bシステムを利用しているのは、営業部の1課~5課に所属する140名である。そのうち、営業を行っている120名は個人情報にアクセスする権限をもち(以下、有権限者という)、担当顧客の情報を記録、参照している。残りの20名は、売上状況などを集計するためだけにBシステムを利用しているので、個人情報にアクセスする権限をもたない(以下、無権限者という)。各営業部門は貸与された端末を社内で利用している。
最近、H社の同業他社であるC社において、顧客の個人情報がシステムから漏えいするという事件があった。そこでH社では、情報システム部のD部長が中心となって個人情報漏えい対策を強化することになった。D部長は、対策の検討に当たって部下のE課長に対し、H社のシステムの中で最も多くの個人情報を保有しているBシステムのアクセス管理の状況を確認するように指示した。
E課長は、Bシステムの利用者IDの管理状況を調査した。その結果、次の点を確認することができた。
・利用者IDの登録、変更及び削除は、申請に基いて実施している。
・3か月ごとに利用者IDと利用者名の一覧を営業部の各課長に提示の上、業務上の必要性について確認している。なお、利用者IDと利用者は1対1に対応している。
・Bシステムのログを取得し、3年間保存している。
E課長がこれらの調査結果をD部長に報告したところ、D部長から、”利用者IDの管理状況は分かったが、それだけではBシステムの利用が適切に行われているという保証にはならない。個人情報漏えいにつながるような不審な利用がないか、その予兆も含めて、ログを分析して確認するプロセス(以下、そのプロセスをモニタリングという)が必要である”と指摘された。
[モニタリングの検討]
指摘を受けたE課長は、まず、Bシステムで取得しているログの種類を確認し、表1にまとめた。
** 表1 取得しているログ
|ログを取得するイベント|取得する情報|
|ログイン成功|日付、時刻、機能番号(0001)、端末ID、利用者ID、成功(1)|
|ログイン失敗|日付、時刻、機能番号(0001)、端末ID、ログインしようとした利用者ID、失敗(0)|
|ログアウト|日付、時刻、機能番号(0099)、端末ID、利用者ID|
|ログインとログアウト以外の機能の利用成功|日付、時刻、機能番号(1000~9999)、端末ID、利用者ID、成功(1)|
|ログインとログアウト以外の機能の利用失敗(1)|日付、時刻、機能番号(1000~9999)、端末ID、利用者ID、失敗(0)|
注(1) 利用権限のない機能もメニューに表示される。選択しても利用できず、ログが取得される。
注記1 個人情報にアクセスする機能の機能番号は8000番台である。
注記2 機能を使って読み出せる個人情報は1回あたり1人分である。
注記3 集計機能では個人情報を読み出すことはできない。機能番号は7000番台である。
次にE課長は、Bシステムへのアクセスのうち、不審な利用及びその予兆とする物を表2にまとめた。
** 表2 不審な利用及びその予兆
|記号|不審な利用及びその予兆|
|ア|他人の利用者IDを使おうとして、推測した利用者ID又は推測したパスワードでログインを試みる。|
|イ|有権限者が、自分の利用者IDを用いて、業務目的外で大量の個人情報にアクセスする。|
|ウ|普段、深夜・早朝にBシステムを利用することのない有権限者が、オフィスに人がいない深夜・早朝に、業務目的外で個人情報にアクセスする。|
|エ|無権限者が、自分の利用者IDを用いて、個人情報へのアクセスを試みる。|
続いて、E課長は&u(){①営業部のF部長にヒアリングを行い}、ログから不審な利用者IDを抽出するための条件(以下、モニタリング条件という)を検討し、表3にまとめた。
** 表3 モニタリング条件
|条件名|抽出する利用者ID|表2の対応する記号|
|条件1|1週間で、ログイン失敗が3回以上の利用者ID|ア|
|条件2|1週間で、8000番台の機能の利用成功回数が50回を超えた利用者ID|イ|
|条件3|1週間で、22時~翌日6時に8000番台の機能の利用回数が1回以上の利用者ID|ウ|
|条件4|1週間で、【 a 】の利用者ID|エ|
保存されているログを表3のモニタリング条件で分析したところ、どの条件に合致する利用者IDも見つからなかった。E課長は、F部長へのヒアリング結果とログの分析結果をD部長に報告した。
報告を受けたD部長は、今後も表3の条件でモニタリングを行うように指示した。E課長は継続的にモニタリングを行うには、機械処理が必要と考え、ツールの開発を始めた。ツールの開発では、まず、モニタリング条件が、具体的かつ機械処理が可能なものになっていることを確認した。さらに、Bシステムのモニタリング手順を図1にまとめた。
#divclass(blackdiv){{
手順1.毎週月曜日の朝8時に、過去2週間分(前週分と前々週分)のログをBシステムから抽出し、モニタリング条件に合致する利用者IDがログ中に存在するか確認する。
手順2.モニタリング条件に合致する利用者IDがログ中に存在した場合は、その利用者IDを保有している従業員を調査の対象とする。&u(){②利用者IDがBシステムに登録されていない場合は、関係するログに記録されている端末IDをもつ端末を貸与されている従業員を、調査の対象とする。}
手順3.調査の対象となった従業員の上司に対してヒアリングを行う。個人情報漏えいにつながる可能性があると判断された場合には、更に詳細な調査を行う。
}}
** 図1 Bシステムのモニタリング手順
[モニタリングの実施]
Bシステムのモニタリング手順をまとめてから2週間後にツールが完成し、ツールによるモニタリングを開始した。D部長は&u(){③モニタリングの実施を社内に通達する}よう指示した。ただし、&u(){④モニタリング条件はセキュリティ上の懸念から開示しない}よう指示した。
モニタリングを開始してから3か月後に、化粧品の専門知識をもった従業員4名が、商品部から営業部1課に異動になった。4名は、全ての顧客を対象として、顧客の購買履歴を基に、電話又は電子メールでアフターケアをする新サービスを担当することになった。4名は、新サービスを行うために、1人当たり毎週200回近く個人情報にアクセスすることになった。その結果、4名は表3のモニタリング条件2に該当し、業務目的のアクセスであるにもかかわらず、営業部1課の課長が毎週ヒアリングを受けることになってしまった。そこでE課長は、条件2のりよう成功回数のしきい値を50回から200回に引き上げることをD部長に提案した。
提案を受けたD部長は、&u(){⑤条件2の利用成功回数のしきい値を引き上げると、適切なモニタリングができなくなる}ので、再度検討するようにE課長に指示した。E課長は再検討の結果、改善策として、表3に示すモニタリング条件2を、表4に示す新たなモニタリング条件2で置き換えることを提案した。
** 表4 新たなモニタリング条件2
|条件名|抽出する利用者ID|表2中の対応する記号|
|条件2|【 b 】、かつ、8000番台の機能の利用成功回数が前の週に比べて2倍以上の利用者ID|イ|
D部長は、当分はこの改良を加えたモニタリングを実施することを了承した。さらに、D部長は、”営業部の業務は今後も変化していくと考えられる。今回は、ヒアリングの実施件数が急増したことでモニタング条件を見直すことになったが、モニタリング条件の見直しをせずにいると、モニタリングが有効に機能しなくなったり、非効率になったりすることがある”として、E課長に対し、&u(){⑥モニタリングの有効性と効率性を維持するための施策}を検討するように指示した。
その後、H社ではその施策を踏まえたモニタリングを継続して実施している。
&aname(設問,option=nolink){設問1} [モニタリングの検討]について、(1)~(3)に答えよ。
>(1) 本文中の下線①を行わなかった場合に、表3を作る上でどのような情報が不足すると考えられるか。25字以内で具体的に述べよ。[[解説・回答>資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2012年秋午後1/問2設問1-1]]
>(2) 表3中の【 a 】に入れる条件とは何か。具体例を一つ挙げ、25字以内で述べよ。[[解説・回答>資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2012年秋午後1/問2設問1-2]]
>(3) 図1中の下線②について、調査の対象とする従業員を端末IDで特定しようとするのはどのイベントの場合か。表1中のイベントから選べ。[[解説・回答>資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2012年秋午後1/問2設問1-2]]
設問2 [モニタリングの実施]について(1)~(4)に答えよ。
>(1) 本文中の下線③について、どのような効果があると考えられるか。20字以内で述べよ。[[解説・回答>資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2012年秋午後1/問2設問2-1]]
>(2) 本文中の下線④について、モニタリング条件の開示によるセキュリティ上の懸念とは何か。40字以内で述べよ。[[解説・回答>資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2012年秋午後1/問2設問2-2]]
>(3) 本文中の下線⑤について、適切なモニタリングができなくなるのは、どのようなアクセスを行った場合か。本文中の字句を用いて60字以内で具体的に述べよ。[[解説・回答>資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2012年秋午後1/問2設問2-3]]
>(4) 表4中の【 b 】に入れる条件とは何か。具体例を一つあげ、30字以内で述べよ。[[解説・回答>資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2012年秋午後1/問2設問2-4]]
設問3 本文中の下線⑥について、モニタリングの有効性と効率性を維持するための施策とは何か。50字以内で具体的に述べよ。[[解説・回答>資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2012年秋午後1/問3設問2-1]]
問2 IPアドレス詐称対策に関する次の記述を読んで、設問1、2に答えよ。
A社は、従業員数4,000名の科学メーカである。東京に本社、大阪に支社、国内の3か所に工場がある。A社では、電子メール(以下、メールという)の利用などのために、インターネット接続システム(以下、Xシステムという)を導入している。Xシステムは本社に設置され、B社のインターネット接続サービス(以下、B社サービスという)を利用している。また、本社、支社及び工場のLANはIP-VPNで接続されている。
Xシステムの運用は、責任者である情報システム部のD部長の下で、E主任とFさんが担当している。Xシステムの各サーバでは、サーバへのアクセス及びプログラムの動作状況のログを記録している。
A社のドメイン名は、B社のDNS-Bサーバで管理している。DNS-BサーバはDNSコンテンツサーバであり、リゾルバ機能(インターネット上のサーバ名の名前解決を行う機能)及びDNSキャッシュ機能(名前解決結果を一時的に保持する機能)を持たない。
現在のA社及びB社サービスのネットワーク構成を図1に、Xシステムの主な機器と機能を表1に示す。
&ref(2013SPSCPM102_01.png)
** Xシステムの主な機器と機能
|機器名称|機能|
|FW-A|ステートフルパケットフィルタリング型FWであり、IPアドレス詐称対策機能及びパケットフィルタリング機能がある。IPアドレス詐称対策機能、パケットフィルタリング機能の順に処理する。また、通信の許可及び拒否のログを記録する機能がある。|
|C-DNSサーバ|リゾルバ機能及びDNSキャッシュ機能がある。|
|プロキシサーバ|プロキシ機能、Webコンテンツキャッシュ機能及びウイルススキャン機能がある。|
|外部メールサーバ|インターネットとの間及び内部メールサーバとの間のメール転送機能、SPF(Sender Police Framework)検証機能並びにウイルススキャン機能がある。|
|Webサーバ|コンテンツ公開機能及びコンテンツ更新機能がある。|
[攻撃の検出]
ある週の月曜日、Fさんが前週のFW-Aのログを分析したところ、C-DNSサーバを宛先とするDNSパケットが約10万件も通過を拒否されており、その全てが名前解決応答パケット(以下、応答PTという)であった。しかし、これらの拒否された応答PTに対応する名前解決問合せパケット(以下、問合せPTという)をC-DNSサーバから送信した記録は、FW-Aのログになかった。報告を受けたE主任は、次のことをFさんに説明した。
>・DNSの名前解決通信は主に&bold(){【 a 】}を用いる。&bold(){【 a 】}は、&bold(){【 b 】}ハンドシェイクを用いてコネクションを確立するTCPと比べて、送信元IPアドレスの詐称の検知が困難である。
>・大量のDNSパケットは、応答PTの送信元IPアドレスや宛先ポート番号を細工した、キャッシュポイズニング攻撃(以下、CP攻撃という)のためのものだったと考えられる。
>・CP攻撃への根本的な対策は、公開鍵暗号によるディジタル署名の仕組みを応用した&bold(){【 c 】}というDNSセキュリティ拡張方式を導入することだが、鍵の管理など今までにない運用手順が必要になる。根本的な対策をするかどうか決める前に、なぜCP攻撃が発生したかを調査する必要がある。
そこでE主任とFさんが、C-DNSサーバの設定を調べたところ、CP攻撃を成功しにくくする設定がなされていることを確認した。さらに、再帰的な名前解決の問合せTPの送信元を限定する設定が行われていることも確認した。
しかし、なおも拒否される応答PTが多い状況が続いていることから、E主任は、Fさんに対し、図1中の接続点(α)にパケットモニタを接続した上で、FW-A及びC-DNSサーバを調査するように指示した。Fさんが行った調査の結果を図2に示す。
** 図2 Fさんが行った調査の結果
(1) 送信元を詐称した問合せPT
>・C-DNSサーバは次のような問合せPTを10分ごとに1個受信していた。
>>送信元が外部メールサーバであり、かつ、宛先がC-DNSサーバであり、かつ、FW-Aが通過を許可した問合せPT。内容は国内の取引先のG社が取得したドメイン名のTXTレコードの問合せであった。
(2) C-DNSサーバに向けた応答PT
>・(1)の問合せPTが届いた直後の1秒間に、送信元がG社のDNSサーバであり、かつ、宛先がC-DNSサーバである応答PTが100個届き、FW-Aが通過を許可した。
>・100個の応答PTの宛先ポート番号は、到着順に連番であった。
>・応答内容はG社のドメイン名のTXTレコードであった。
>・TXTレコードには、SPFレコードが設定されていた。SPFレコードに設定されていたIPアドレスは、G社に割り当てられたものではなかった。
>・C-DNSサーバが(1)の問合せPTの名前解決を行うための問合せPTは、インターネット上のDNSサーバに送信されてはいなかった。
(3) C-DNSサーバのキャッシュ
>・C-DNSサーバのキャッシュには、G社のドメイン名のTXTレコードが保存されていた。
>・TXTレコードには、SPFレコードが設定されており、G社に割り当てられたIPアドレスのうち、G社がメールを送信するサーバのIPアドレスが設定されていた。
** 図2 Fさんが行った調査の結果(ここまで
この結果から、E主任は、図2の(2)はG社のドメイン名のTXTレコードに対するCP攻撃であると判断した。
そこで、E主任とFさんは、FW-Aの設定を更に調べることにした。まず、送信元、宛先及びサービスの組み合わせによってパケットの許可又は拒否の動作を指定するフィルタリングルールを確認し、誤りがないことを確認した。
続いて、表2に示すIPアドレス詐称対策ルールを確認したところ、&underline(){①表2の項番1の送信元に誤りがあること}に気が付き、直ちに設定を修正した。
** 表2 IPアドレス詐称対策ルール
|項番|FW-AのIF|送信元|動作|
|1|IF-1|DMZ1、内部ネットワーク|拒否|
|2|IF-1|全て|許可|
|3|IF-2|内部ネットワーク|許可|
|4|IF-2|全て|拒否|
|5|IF-3|DMZ2|許可|
|6|IF-3|全て|拒否|
|7|IF-4|DMZ1|許可|
|8|IF-4|全て|拒否|
注記1 パケットが受信された”FW-AのIF”、及びパケットの”送信元”の組み合わせで、パケットの通過を許可するか又は拒否するかの”動作”を指定する。
注記2 項番が小さいものから順に、最初に一致したルールが適用される。
E主任は、図2の(2)の攻撃は偶然に成功する可能性があることをFさんに説明した。E主任は、&underline(){②図2の(2)の攻撃に続いて行われる可能性が高い、TXTレコードを利用する機能への攻撃}が発生していると考えた。そこで、Xシステムの各サーバのログを、過去1か月にわたって調査するようFさんに指示した。調査の結果、攻撃はあったものの、各サーバの設定が正しく行われていたので失敗に終わっていたことが確認された。
[支社システムの検討と導入]
A社では、インターネット及びIP-VPNのトラフィックの増加に対処するために、支社に新たなインターネット接続システム(以下、支社システムという)の導入を計画していた。E主任とFさんは、支社システムとして、支社に新たにFWを導入し、インターネット、新たなDMZ及び支社LANを接続することにした。新たなDMZにはXシステムのプロキシサーバと同じ機能の支社プロキシサーバを導入し、インターネットとの接続には、B社サービスを利用することにした。
続いて、支社プロキシサーバでの名前解決にC-DNSサーバを利用し、支社プロキシサーバとC-DNSサーバとの間の通信をB社サービス経由にする前提で、FW-AとC-DNSサーバの設定の見直しを検討した。検討の結果、送信元が支社プロキシサーバに詐称された問合せPTを拒否する設定は不可能であり、FW-AのIPアドレス詐称対策機能が有効に機能しないことが分かった。そこで再検討した結果、&underline(){③支社システムに機能を追加する}ことで対応することにした。この対応策によって、支社プロキシサーバとC-DNSサーバ間の通信が不要になることもかくにんした。支社システムへの&bold(){【 c 】}の導入は、Xシステムも合わせて支社システムの完成後に検討することとし、今回は見送ることとした。
E主任とFさんは、検討結果を支社システム導入計画としてまとめ、D部長に報告した。D部長は、支社システム導入計画を経営陣に説明し、了承を得た。E主任とFさんは、支社システム導入計画の遂行に着手した。
* 設問
&aname(設問1,option=nolink){設問1} [攻撃の検出]について、(1)~(5)に答えよ。
>(1) 本文中の&bold(){【 a 】~【 c 】}に入れる適切な字句を、&bold(){【 a 】}については英字5字以内、&bold(){【 b 】}については6字以内、&bold(){【 c 】}については英字8字以内で答えよ。 [[解説・回答>資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後1/問2/設問1-1]]
>(2) E主任とFさんが確認した、C-DNSサーバにおいてCP攻撃をしにくくする対策とは何か。”ポート番号”という字句を用いて、対策の内容を30字以内で述べよ。 [[解説・回答>資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後1/問2/設問1-2]]
>(3) C-DNSサーバにおいて、図2中の(1)の問合せPTを拒否しない設定にしている理由を、40字以内で述べよ。 [[解説・回答>資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後1/問2/設問1-3]]
>(4) 本文中の下線①について、表2の項番1の送信元として設定すべき全てのネットワークを、図1中の(a)~(f)から選び、記号で答えよ。 [[解説・回答>資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後1/問2/設問1-4]]
>(5) 本文中の下線②の攻撃の内容を、40字以内で述べよ。 [[解説・回答>資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後1/問2/設問1-5]]
&aname(設問2,option=nolink){設問2} [支社システムの検討と導入]についいて、(1)、(2)に答えよ。
>(1) 送信元を支社プロキシサーバに詐称した問合せPTに対し、FW-AのIPアドレス詐称対策機能が有効に機能しない理由を、60字以内で述べよ。 [[解説・回答>資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後1/問2/設問2-1]]
>(2) 本文中の下線③について、支社システムに追加する機能を、20字以内で述べよ。 [[解説・回答>資格試験/情報処理技術者試験/情報セキュリティスペシャリスト/過去問2013年春午後1/問2/設問2-2]]