応用情報技術者過去問題 令和4年春期 午後問1
⇄問題文と設問を画面2分割で開く⇱問題PDF問1 情報セキュリティ
通信販売サイトのセキュリティインシデント対応に関する次の記述を読んで,設問1~4に答えよ。
R社は,文房具やオフィス家具を製造し,店舗及び通信販売サイトで販売している。通信販売サイトでの購入には会員登録が必要である。通信販売サイトはECサイト用CMS(Content Management System)を利用して構築している。通信販売サイトの管理及び運用は,R社システム部門の運用担当者が実施していて,通信販売サイトに関する会員からの問合せは,システム部門のサポート担当者が対応している。
〔通信販売サイトの不正アクセス対策〕
通信販売サイトはR社のデータセンタに設置されたルータ,レイヤ2スイッチ,ファイアウォール(以下,FWという),IPS(Intrusion Prevention System)などのネットワーク機器とCMSサーバ,データベースサーバ,NTPサーバ,ログサーバなどのサーバ機器と各種ソフトウェアとで構成されている。通信販売サイトは,会員情報などの個人情報を扱うので,様々なセキュリティ対策を実施している。R社が通信販売サイトで実施している不正アクセス対策(抜粋)を表1に示す。
IPSは不正パターンをシグネチャに登録するシグネチャ型であり,シグネチャは毎日自動的に更新される。
項番4の対策をCMSサーバ及びデータベースサーバ上で行うことで不正アクセスを受けにくくしている。R社では,①項番5の対策を実施するために,OS,ミドルウェア及びCMSで利用している製品について必要な管理を実施して,脆弱性情報及び修正プログラムの有無を確認している。また,項番6の対策で利用しているbは,ソフトウェア型を導入していて,シグネチャはR社の運用担当者が,システムへの影響がないことを確認した上で更新している。
〔セキュリティインシデントの発生〕
ある日,通信販売サイトが改ざんされ,会員が不適切なサイトに誘導されるというセキュリティインシデントが発生した。通信販売サイトを閉鎖し,ログサーバが収集したログを解析して原因を調査したところ,特定のリクエストを送信すると,コンテンツの改ざんが可能となるCMSの脆弱性を利用した不正アクセスであることが判明した。
R社の公式ホームページでセキュリティインシデントを公表し,通信販売サイトの復旧とCMSの脆弱性に対する暫定対策を実施した上で,通信販売サイトを再開した。
今回の事態を重く見たシステム部門のS部長は,セキュリティ担当のT主任に今回のセキュリティインシデント対応で確認した事象と課題の整理を指示した。
〔セキュリティインシデント対応で確認した事象と課題〕
T主任は関係者から,今回のセキュリティインシデント対応について聞き取り調査を行い,確認した事象と課題を表2にまとめて,S部長に報告した。
S部長はT主任からの報告を受け,セキュリティインシデントを専門に扱い,インシデント発生時の情報収集と各担当へのインシデント対応の指示を行うインシデント対応チームを設置するとともに,今回確認した課題に対する再発防止策の立案をT主任に指示した。
〔再発防止策〕
T主任は,再発防止のために,表2の各項目への対策を実施することにした。
項番1については,CMSサーバを構成するOS,ミドルウェア及びCMSの脆弱性情報の収集や修正プログラムの適用は実施していたが,②今回の不正アクセスのきっかけとなった脆弱性に対応する修正プログラムはまだリリースされていなかった。このような場合,OS,ミドルウェア及びCMSに対する③暫定対策が実施可能であるときは,暫定対策を実施することにした。
項番2については,bの運用において,新しいシグネチャに更新した際に,デフォルト設定のセキュリティレベルが厳し過ぎて正常な通信まで遮断してしまうcを起こすことがあり,運用担当者はしばらくシグネチャを更新していなかったことが判明した。運用担当者のスキルを考慮して,運用担当者によるシグネチャ更新が不要なクラウド型bサービスを利用することにした。
項番3については,dがセキュリティインシデントの影響度を判断し,サイト閉鎖を指示するルールを作成して,サイト閉鎖までの時間を短縮するようにした。
項番4については,サイトの改ざんが行われたことを検知する対策として,様々な検知方式の中から未知の改ざんパターンによるサイト改ざんも検知可能であること,誤って検知することが少ないことから,ハッシュリスト比較型を利用することにした。
項番5については,④各ネットワーク機器,サーバ機器及び各種ソフトウェアからログを収集し時系列などで相関分析を行い,セキュリティインシデントの予兆や痕跡を検出して管理者へ通知するシステムの導入を検討することにした。
T主任は対策を取りまとめてS部長に報告し,了承された。
R社は,文房具やオフィス家具を製造し,店舗及び通信販売サイトで販売している。通信販売サイトでの購入には会員登録が必要である。通信販売サイトはECサイト用CMS(Content Management System)を利用して構築している。通信販売サイトの管理及び運用は,R社システム部門の運用担当者が実施していて,通信販売サイトに関する会員からの問合せは,システム部門のサポート担当者が対応している。
〔通信販売サイトの不正アクセス対策〕
通信販売サイトはR社のデータセンタに設置されたルータ,レイヤ2スイッチ,ファイアウォール(以下,FWという),IPS(Intrusion Prevention System)などのネットワーク機器とCMSサーバ,データベースサーバ,NTPサーバ,ログサーバなどのサーバ機器と各種ソフトウェアとで構成されている。通信販売サイトは,会員情報などの個人情報を扱うので,様々なセキュリティ対策を実施している。R社が通信販売サイトで実施している不正アクセス対策(抜粋)を表1に示す。
項番4の対策をCMSサーバ及びデータベースサーバ上で行うことで不正アクセスを受けにくくしている。R社では,①項番5の対策を実施するために,OS,ミドルウェア及びCMSで利用している製品について必要な管理を実施して,脆弱性情報及び修正プログラムの有無を確認している。また,項番6の対策で利用しているbは,ソフトウェア型を導入していて,シグネチャはR社の運用担当者が,システムへの影響がないことを確認した上で更新している。
〔セキュリティインシデントの発生〕
ある日,通信販売サイトが改ざんされ,会員が不適切なサイトに誘導されるというセキュリティインシデントが発生した。通信販売サイトを閉鎖し,ログサーバが収集したログを解析して原因を調査したところ,特定のリクエストを送信すると,コンテンツの改ざんが可能となるCMSの脆弱性を利用した不正アクセスであることが判明した。
R社の公式ホームページでセキュリティインシデントを公表し,通信販売サイトの復旧とCMSの脆弱性に対する暫定対策を実施した上で,通信販売サイトを再開した。
今回の事態を重く見たシステム部門のS部長は,セキュリティ担当のT主任に今回のセキュリティインシデント対応で確認した事象と課題の整理を指示した。
〔セキュリティインシデント対応で確認した事象と課題〕
T主任は関係者から,今回のセキュリティインシデント対応について聞き取り調査を行い,確認した事象と課題を表2にまとめて,S部長に報告した。
〔再発防止策〕
T主任は,再発防止のために,表2の各項目への対策を実施することにした。
項番1については,CMSサーバを構成するOS,ミドルウェア及びCMSの脆弱性情報の収集や修正プログラムの適用は実施していたが,②今回の不正アクセスのきっかけとなった脆弱性に対応する修正プログラムはまだリリースされていなかった。このような場合,OS,ミドルウェア及びCMSに対する③暫定対策が実施可能であるときは,暫定対策を実施することにした。
項番2については,bの運用において,新しいシグネチャに更新した際に,デフォルト設定のセキュリティレベルが厳し過ぎて正常な通信まで遮断してしまうcを起こすことがあり,運用担当者はしばらくシグネチャを更新していなかったことが判明した。運用担当者のスキルを考慮して,運用担当者によるシグネチャ更新が不要なクラウド型bサービスを利用することにした。
項番3については,dがセキュリティインシデントの影響度を判断し,サイト閉鎖を指示するルールを作成して,サイト閉鎖までの時間を短縮するようにした。
項番4については,サイトの改ざんが行われたことを検知する対策として,様々な検知方式の中から未知の改ざんパターンによるサイト改ざんも検知可能であること,誤って検知することが少ないことから,ハッシュリスト比較型を利用することにした。
項番5については,④各ネットワーク機器,サーバ機器及び各種ソフトウェアからログを収集し時系列などで相関分析を行い,セキュリティインシデントの予兆や痕跡を検出して管理者へ通知するシステムの導入を検討することにした。
T主任は対策を取りまとめてS部長に報告し,了承された。
設問1
表1中のaに入れる適切な字句を5字以内で答えよ。
解答入力欄
- a:
解答例・解答の要点
- a:サービス (4文字)
解説
〔aについて〕
サーバ上の何かを停止することになっています。また、この対策を行うことにより、不正アクセスを受けにくくなるという効果があると説明されています。
不正アクセスの防止という観点から考えると、外部から攻撃者に狙われる可能性のあるものをあらかじめ停止しておくという文脈になります。メーカーから提供されたままのデフォルト設定のサーバは、様々なサービスが稼働しており、不要なサービスを放置しておくとセキュリティの観点からリスクがあります。攻撃者にとって格好の脆弱性となってしまうからです。サーバ上の不要なサービスを停止する(ポートを塞ぐ)ことにより、不正アクセスを防止するのはセキュリティ対策の基本です。
したがって、[a]に「サービス」が当てはまります。
∴a=サービス
サーバ上の何かを停止することになっています。また、この対策を行うことにより、不正アクセスを受けにくくなるという効果があると説明されています。
不正アクセスの防止という観点から考えると、外部から攻撃者に狙われる可能性のあるものをあらかじめ停止しておくという文脈になります。メーカーから提供されたままのデフォルト設定のサーバは、様々なサービスが稼働しており、不要なサービスを放置しておくとセキュリティの観点からリスクがあります。攻撃者にとって格好の脆弱性となってしまうからです。サーバ上の不要なサービスを停止する(ポートを塞ぐ)ことにより、不正アクセスを防止するのはセキュリティ対策の基本です。
したがって、[a]に「サービス」が当てはまります。
∴a=サービス
設問2
本文及び表1,2中のbに入れる適切な字句をアルファベット3字で答えよ。
解答入力欄
- b:
解答例・解答の要点
- b:WAF (3文字)
解説
〔bについて〕
表1の項番6において、Webアプリケーションを標的にした攻撃を検知し防御するものであること、シグネチャが用いられていること、3文字という指定から「WAF」が当てはまると判断できます。
WAF(Web Application Firewall)は、Webアプリケーションの防御に特化したファイアウォールで、パケットのヘッダー部に含まれるIPアドレスやポート番号だけでなくペイロード部(データ部分)をチェックし、攻撃の兆候の有無を検証します。これによりWebアプリケーションに対する攻撃を検知し、遮断することが可能です。具体的には、あらかじめ攻撃と判断される通信パターンあるいは正常な通信であると判断される通信パターンを登録しておくことで、それぞれに該当するパターンの通信を遮断または通過させます。
∴b=WAF
表1の項番6において、Webアプリケーションを標的にした攻撃を検知し防御するものであること、シグネチャが用いられていること、3文字という指定から「WAF」が当てはまると判断できます。
WAF(Web Application Firewall)は、Webアプリケーションの防御に特化したファイアウォールで、パケットのヘッダー部に含まれるIPアドレスやポート番号だけでなくペイロード部(データ部分)をチェックし、攻撃の兆候の有無を検証します。これによりWebアプリケーションに対する攻撃を検知し、遮断することが可能です。具体的には、あらかじめ攻撃と判断される通信パターンあるいは正常な通信であると判断される通信パターンを登録しておくことで、それぞれに該当するパターンの通信を遮断または通過させます。
∴b=WAF
設問3
本文中の下線①で管理するべき内容を解答群の中から全て選び,記号で答えよ。
解答群
- 販売価格
- バージョン
- 名称
- ライセンス
解答入力欄
解答例・解答の要点
- イ,ウ
解説
表1の項番5は、OS、ミドルウェア及びCMSについて修正プログラムを毎日確認し、最新版の修正プログラムを適用する対策について、必要となる管理情報が問われています。「全て選ぶ」ということなので、選択肢を複数選ぶ可能性があることに注意します。
- 販売価格は、最新版の修正プログラムを適用する対策に直接関連していないので誤りです。
- 正しい。バージョンは、修正プログラムが存在しているかどうか、また、最新版の修正プログラムがOS、ミドルウェア、CMSに適用されているかどうかを確認するために必要な情報となります。
- 正しい。名称は、現在適用されている製品がR社において使用されているものか、利用されている製品は適切であるかどうかを確認する必要があるため必要な情報となります。
- ライセンスは、一般的にはソフトウェアを使用する権利のことを意味しますが、これは不正アクセスとは直接関係がないので誤りです。
設問4
〔再発防止策〕について,(1)~(5)に答えよ。
解答群
- 過去の修正プログラムの内容を確認
- 修正プログラムの提供予定日を確認
- 脆弱性の回避策を調査
- 同様の脆弱性が存在するソフトウェアを確認
c に関する解答群
- 過検知
- 機器故障
- 未検知
- 予兆検知
解答入力欄
- c:
- d:
解答例・解答の要点
- ゼロデイ攻撃 (6文字)
- ウ
- c:ア
- d:インシデント対応チーム (11文字)
- SIEM (4文字)
解説
- CMSの脆弱性を利用した不正アクセスであること、下線②において、まだ脆弱性に対応する修正プログラムがリリースされていなかったことから、脆弱性が公開されてから修正プログラムや修正パッチがリリースされるまでの期間を利用したサイバー攻撃である「ゼロデイ攻撃」が解答になります。8文字以内なので「ゼロデイアタック」でも可です。
∴ゼロデイ攻撃 - 脆弱性に対応する修正プログラムがリリースされていない段階で行う暫定対策が、実施可能かどうかを判断するために必要な情報が問われています。
- 過去の脆弱性には対応できる可能性はありますが、現在の脆弱性に対応することができないため誤りです。
- 現在の脆弱性に本格的に対応できる日時を確認することはできますが、暫定対策にはなっていないため誤りです。
- 正しい。暫定的な対応として可能であり、また脆弱性の利用を困難にするため、セキュリティインシデント発生後に起こる同様の不正アクセスが発生するリスクを下げることができます。
- 脆弱性に関する情報を得られますが、不正アクセス後の暫定対策としては不十分であるため誤りです。
- 〔cについて〕
WAFの運用において、新しいシグネチャに更新した際に、セキュリティレベルが厳し過ぎて正常な通信まで遮断してしまう誤検知について問われています。誤検知の性質を表す言葉には「フォールスポジティブ」と「フォールスネガティブ」があります。- フォールスポジティブ
- 正常な通信を攻撃だと判断して遮断してしまうこと
- フォールスネガティブ
- 攻撃を正常な通信と判断して通過させてしまうこと
∴c=ア:過検知
「イ:機器故障」や「エ:予兆検知」は誤検知とは直接関係のない言葉なので誤り、「ウ:未検知」は攻撃を検知できないフォールスネガティブの状態を表しているため誤りです。
フォールスポジティブとフォールスネガティブは常にトレードオフの関係にあります。過検知を減らそうと設定を緩くすると攻撃が通過しやすくなる、逆に攻撃に対して厳しい設定をすると過検知が増えてしまうことになります。運用者は適宜最適なチューニングを求められます。 - 〔dについて〕
本文中に「セキュリティインシデントを専門に扱い,インシデント発生時の情報収集と各担当へのインシデント対応の指示を行うインシデント対応チームを設置」とあります。空欄には、セキュリティインシデントの影響度を判断し、サイト閉鎖を指示するルールを策定する主体を表す字句が入るので、セキュリティインシデントを専門に扱う「インシデント対応チーム」が適切であると判断できます。
∴d=インシデント対応チーム - 各ネットワーク機器,サーバ機器及び各種ソフトウェアからログを収集し時系列などで相関分析を行い,セキュリティインシデントの予兆や痕跡を検出して管理者へ通知するシステムを4文字縛りで問われています。
各機器に分散しているセキュリティ関連のログを収集し、時系列などで相関分析を行い、セキュリティインシデントの予兆や痕跡を効率よく検出するシステムをSIEM(Security Information and Event Management)といいます。SIEMはログの収集、分析を行いそれが異常であると判断すれば管理者に通知を行い、何らかの対応を促すシステムです。SIEMの中には、検知した異常の内容から対策方法を知らせるものや、リアルタイムでの監視を行うものも存在します。
Syslog、IDS、IPSが連想されても文字数縛りですぐに除外できます。
∴SIEM
