設問3 [標的型攻撃への対策]について、(1)~(4)に答えよ。

(2) 本文中の下線②に示したPC又はサーバの監視強化にはいくつかの方法が考えられる。監視強化のためのシステムを導入する場合、導入するシステムの名称及び設置場所を10字以内で答えよ。また、そのシステムで監視すべき事象を15字以内で答えよ。
システムの名称:ネットワークモニタ(9文字)
設置場所:社内LAN上(6文字)
監視すべき事象:トラフィックの急激な増加(12文字)

解説

本文抜粋
S主任:典型的な標的型攻撃では、(A)ウイルスが、様々な方法で社内に侵入し、(B)社内で感染を拡大させ、 (C)感染したPC及びサーバのアクセス権を入手して情報収集を行います。このとき、ウイルスの活動によって異常なトラフィックが発生したり、PC又はサーバが異常な振る舞いをしたりすることもあります。 その後、(D)収集した情報をネットワーク経由で攻撃者に報告します。

P部長:そうだな。このような被害の拡大をどこかで断ち切れるように対策を強化していこう。

S主任:はい。(A)については、MX1及びPRXにウイルス対策ソフトを導入しており、(B)についてはPC及びサーバにウイルス対策ソフトを導入しています。(C)については②PC又はサーバの監視強化を検討します。(D)は、バックドア通信と呼ばれるものですが、対策は簡単ではありません。
 上記の(C)のウイルスの活動によって起きる異常なトラフィックや、PC・サーバの異常な振る舞いを監視するシステムを答えよ!という問題です。異常な振る舞いの方は定義が広すぎるので、異常なトラフィックを監視すればよいと分かります。ここで、監視すべき事象の「 トラフィックの急激な増加 (12文字)」が導き出せます。
が、異常なトラフィックを監視するには、ざっと以下の様なシステムがあります。
  • IDS(Intrusion Detection System)/IPS(Intrusion Prevention System)
  • ネットワークプロトコルアナライザ(ネットワークアナライザ・LANアナライザ・スニッファ)
  • RMON(Remote network MONitoring)
  • SNMP(Simple Network Management Protocol) + MRTG(Multi Router Traffic Grapher)
    • MRTGは特定のソフトウェア(SNMPマネージャ)のため、SNMP + SNMPマネージャの方が試験の性格的に相応しいかも。

そして、これらのネットワークを監視するためのシステムの一般的な名称が ネットワークモニタ のようで、これが導入する「システムの名称」になります。管理人的にはあまり聞き覚えがなくて戸惑いますが、IDS、IPS、RMONあたりも正解貰えるのではないでしょうか。「SNMP+SNMPマネージャ」となると10文字に収まらない、「SMNPマネージャ(9文字)」では何か足りない感じがするので諦めましょう。
※マイクロソフトが無償公開しているソフト「ネットワークモニタ」は、プロトコルアナライザのようです。

 最後にシステムの設置場所ですが、公式解答例の「社内LAN上(6文字)」は、問題文に特に記述はありませんが、「従業員が業務に使用するPCが真っ先にウイルスやワーム、トロイの木馬に感染する」という判断なのかと思います。管理人は、どの機器の間に設置しようかなーと図1を眺めていたため、「社内LAN」は気づきませんでした。