応用情報技術者過去問題 平成24年春期 午後問9
⇄問題文と設問を画面2分割で開く⇱問題PDF問9 情報セキュリティ
セキュリティインシデントへの対応に関する次の記述を読んで,設問1~4に答えよ。
E社では,外部から自社ネットワークへの不正アクセスなどの脅威に備えて,社内LANとインターネットとの接続ポイントにファイアウォールを設置している。それに加えて,よりセキュリティ強度を高めるために,ネットワーク型侵入検知システム(以下,IDSという)を図1のように設置した。
〔インシデントの発生〕
IDSの稼働開始の翌日,情報システム部セキュリティ担当のF主任が業務終了後に帰宅しようとしたところ,IDSからのアラートに気付いた。すぐに,上司であるG課長に連絡し,対応を開始した。しかし,情報システム部では,インシデント発生時に,どのような関係部署や社外の関係機関に連絡すればよいかを文書化しておらず,連絡に漏れと遅れが生じた。
アラートへの対応はG課長とF主任が中心になって実施し,対応に必要な要員を確保するのに時間を要したが,結果的に大きな問題は生じなかった。今回の事態を重視した情報システム部のH部長は,インシデント発生から対応完了までの手順に問題がなかったかを検証するために,F主任が作成したインシデント報告書を精査するとともに,G課長やF主任など,当日対応に当たった関係者から詳しい状況を聴取した。
〔インシデント対応の整理〕
関係者から聴取した内容に基づいて,H部長は,今回のインシデントへの対応を,次の(1)~(8)のように整理した。
インシデント対応の経緯を整理したH部長は,G課長に次のような指摘をして,対応手順を見直すよう指示した。
E社では,外部から自社ネットワークへの不正アクセスなどの脅威に備えて,社内LANとインターネットとの接続ポイントにファイアウォールを設置している。それに加えて,よりセキュリティ強度を高めるために,ネットワーク型侵入検知システム(以下,IDSという)を図1のように設置した。
IDSの稼働開始の翌日,情報システム部セキュリティ担当のF主任が業務終了後に帰宅しようとしたところ,IDSからのアラートに気付いた。すぐに,上司であるG課長に連絡し,対応を開始した。しかし,情報システム部では,インシデント発生時に,どのような関係部署や社外の関係機関に連絡すればよいかを文書化しておらず,連絡に漏れと遅れが生じた。
アラートへの対応はG課長とF主任が中心になって実施し,対応に必要な要員を確保するのに時間を要したが,結果的に大きな問題は生じなかった。今回の事態を重視した情報システム部のH部長は,インシデント発生から対応完了までの手順に問題がなかったかを検証するために,F主任が作成したインシデント報告書を精査するとともに,G課長やF主任など,当日対応に当たった関係者から詳しい状況を聴取した。
〔インシデント対応の整理〕
関係者から聴取した内容に基づいて,H部長は,今回のインシデントへの対応を,次の(1)~(8)のように整理した。
- アラートの内容から,インターネット上の特定のサイトから自社のWebサーバに対するpingの発生頻度が高く,外部からの攻撃の疑いがあると判断した。その判断に基づいて,G課長とF主任が相談の上で,初動対応を次のように実施した。
まず,危機管理担当部署など,インシデントの発生を認識する必要のある自社の関連部署に連絡した。次に,対応手順を検討し,"発生した事実の確認","影響の内容と範囲の調査","インシデントの原因と発生要因の特定","対策の検討と実施"の順で行うことにした。 - 続いて,G課長は,アラートの内容から対応に必要となる要員を選定し,情報システム部のオペレーション室に参集するよう連絡を取ろうとした。しかし,全ての情報システムの機能やネットワーク構成,及びシステム間での機能やデータの連携関係が詳細に把握できていなかったので,要員選定に非常に手間取った。
- 必要な要員の参集後,G課長の指示の下で各要員が手分けして,次の(4)~(8)の作業を進めた。
- アラートの発生状況や意味について事実を確認し,情報を整理した。また,インシデント発生時の状況を示す記録として,各サーバへのログイン状況,外部とのネットワーク通信状況,各サーバのプロセスの稼働状況に関するaをコピーした。
- 通常業務が終了した時間帯であったので,特段の連絡は行わずに,発生したインシデントとの関連が懸念されるネットワークセグメント(図1で,破線で囲った二つのセグメント)を,外部ネットワーク及び社内LANの他のセグメントから切断した。この点に関しては,残業をしていた部署から情報システム部の担当者にクレームがあった。
- インシデントによってもたらされた影響の有無とその内容・範囲を明確にするために,アラートに関連するログを調査し解析した。具体的には,サーバのシステムログからサーバへのログインやサーバ内のファイルへのアクセス状況を調査した。また,インシデントが検知されたネットワーク内の各サーバから外部に異常な通信がないかどうか,ファイアウォールとIDSのログを調査した。調査に当たっては,ログがbされたおそれがないかを事前に検証した。ログの解析作業において,各ログ間の前後関係がすぐには特定できず,作業に手間取った。
- ログの調査結果と各種設定値の確認結果に基づき,インシデントの原因と発生要因の特定を進めた。その際,IDSではアノマリー検知におけるcがあり得ることを念頭においた。特定作業の結果,アラートが発せられた原因は,E社の取引先がE社のWebサーバとの通信における応答時間をpingコマンドを使って測定する際に,pingコマンドのオプション項目を誤って指定したことによって,pingが短時間に大量に発信されたことであったと判明した。
- インシデントの原因調査と並行して,社外の関係機関への連絡を準備するよう要員に指示したが,インターネット上の他サイトは連絡の対象外とした。これは,E社のサーバがdに利用されたおそれが低いと判断したからである。その後,インシデントの発生要因への対策,システムの復旧,再発防止策を実施した。
インシデント対応の経緯を整理したH部長は,G課長に次のような指摘をして,対応手順を見直すよう指示した。
- インシデント発生時の連絡体制の整備について
- 今回関係者への連絡が遅れたという事実への反省から,インシデント発生時に連絡すべき社内各部暑の責任者,及び外部の機関を一覧にして連絡先を記載し,それを関係者に配布する。
- インシデントの内容や発生場所に応じて,eし,連絡先とともに文書化する。
- 対応手順の整理について
- 一部の部署には影響があったが,対応手順に大きな問題はなかった。しかし,対応手順をその場で検討するのではなく,インシデントの内容や発生場所ごとに手順をあらかじめ想定して,それを文書化しておくべきである。
- 〔インシデント対応の整理〕の(5)については,今回の対応ではやむを得なかったが,セキュリティに関する攻撃を受けたおそれがあるなどの限定された状況以外では,ネットワークの切断を実施すべきではない。まず,対応手順の実施によってインシデントの影響範囲を拡大させないこととともに,インシデントの原因・影響の調査に必要となる記録を消滅させないことや業務へ影響を及ぼさないという,二次的損害の防止を考慮して対応手順を実施すべきである。また,実施に当たっては,fを怠らないことも重要である。あわせて,意思決定プロセスや判断基準をあらかじめ制定しておくことも検討すべきである。
- 今回の対応では,〔インシデント対応の整理〕の(6)のログの解析作業において,各ログ間の前後関係がすぐには特定できず,作業に手間取るという事象が発生した。①このための対策を実施すべきである。
設問1
本文中のa~dに入れる適切な字句を解答群の中から選び,記号で答えよ。
a,b,c,d に関する解答群
- SQLインジェクション攻撃
- 改ざん
- 誤検知
- シグネチャ
- 盗聴
- 踏み台
- マッチング
- ログ
解答入力欄
- a:
- b:
- c:
- d:
解答例・解答の要点
- a:ク
- b:イ
- c:ウ
- d:カ
解説
〔aについて〕
セキュリティインシデントの発生時には原因究明や法的証拠に必要となる電子的記録を収集し、解析を行います。これをデジタルフォレンジックスといいます。
本文中では「各サーバへのログイン状況,外部とのネットワーク通信状況,各サーバのプロセスの稼働状況」を表す記録であるaをコピーしたと記述されています。デジタルフォレンジックスの考え方、および選択肢中の他の技術・データの目的が稼働状況の記録ではないことから、コピーによって保全された記録は各サーバに記録されたログであると判断できます。
∴a=ク:ログ
〔bについて〕
bにはファイアウォールとIDSのログの調査に当たり事前に実施した項目が入ります。
ログの調査は、ログに記録されたデータが正確であることを前提として行われます。攻撃の程度によってはアクセスログが消去・改ざんされている恐れもあるため事前にログの改ざんが行われた形跡が無いかをチェックする必要があります。
改ざんの他にbに入りそうな字句として「盗聴」がありますが、ログは各サーバに格納されていて通信経路上で盗聴される恐れはないため誤りです。たとえログが情報漏えいしたとしてもログ調査の正確性には影響がありません。
∴b=イ:改ざん
〔cについて〕
アノマリー(Anomaly)検知とは、通常の範囲から逸脱した例外的な通信パターンを検出するフィルタリング機能です。この機能は通過するパケットを監視し不正アクセスの兆候を示す通信を検出するためのものですが、設定の度合いによっては正常な通信を不正アクセスと見なしたり、不正アクセスを素通りさせてしまう誤検知が大量に生じます。また設定に改善を重ねても判断ミスを完全になくすことは困難です。
本文中の「アノマリー検知におけるcがあることを念頭においた」という記述から、アノマリー検知を行う機器を運用する際に考慮しなくてはならない誤検知が入ることが分かります。
∴c=ウ:誤検知
〔dについて〕
不正アクセスによる影響は攻撃を受けたサイトだけに留まるとは限りません。もしE社のサーバに脆弱性が存在したならば、攻撃者にそれを悪用され外部のサイトへの攻撃の中継地点として利用されることがあります。これを「踏み台される」といいます。
踏み台を中継した攻撃を被害者(外部の他サイト)側から見ると、踏み台サイトから行われた攻撃に見えます。このため実際は(踏み台に利用された)被害者であるにもかかわらず不正アクセスの犯人という嫌疑がかけられてしまいます。このような理由から事実通知と釈明を含めた連絡を外部の他サイトに行う必要があります。
本文中の「インシデントによる社外機関への連絡」および「E社のサーバがdに利用されたおそれが低いため連絡の対象外とした」という記述から、dには踏み台が入ると判断できます。
∴d=カ:踏み台
セキュリティインシデントの発生時には原因究明や法的証拠に必要となる電子的記録を収集し、解析を行います。これをデジタルフォレンジックスといいます。
本文中では「各サーバへのログイン状況,外部とのネットワーク通信状況,各サーバのプロセスの稼働状況」を表す記録であるaをコピーしたと記述されています。デジタルフォレンジックスの考え方、および選択肢中の他の技術・データの目的が稼働状況の記録ではないことから、コピーによって保全された記録は各サーバに記録されたログであると判断できます。
∴a=ク:ログ
〔bについて〕
bにはファイアウォールとIDSのログの調査に当たり事前に実施した項目が入ります。
ログの調査は、ログに記録されたデータが正確であることを前提として行われます。攻撃の程度によってはアクセスログが消去・改ざんされている恐れもあるため事前にログの改ざんが行われた形跡が無いかをチェックする必要があります。
改ざんの他にbに入りそうな字句として「盗聴」がありますが、ログは各サーバに格納されていて通信経路上で盗聴される恐れはないため誤りです。たとえログが情報漏えいしたとしてもログ調査の正確性には影響がありません。
∴b=イ:改ざん
〔cについて〕
アノマリー(Anomaly)検知とは、通常の範囲から逸脱した例外的な通信パターンを検出するフィルタリング機能です。この機能は通過するパケットを監視し不正アクセスの兆候を示す通信を検出するためのものですが、設定の度合いによっては正常な通信を不正アクセスと見なしたり、不正アクセスを素通りさせてしまう誤検知が大量に生じます。また設定に改善を重ねても判断ミスを完全になくすことは困難です。
本文中の「アノマリー検知におけるcがあることを念頭においた」という記述から、アノマリー検知を行う機器を運用する際に考慮しなくてはならない誤検知が入ることが分かります。
∴c=ウ:誤検知
〔dについて〕
不正アクセスによる影響は攻撃を受けたサイトだけに留まるとは限りません。もしE社のサーバに脆弱性が存在したならば、攻撃者にそれを悪用され外部のサイトへの攻撃の中継地点として利用されることがあります。これを「踏み台される」といいます。
踏み台を中継した攻撃を被害者(外部の他サイト)側から見ると、踏み台サイトから行われた攻撃に見えます。このため実際は(踏み台に利用された)被害者であるにもかかわらず不正アクセスの犯人という嫌疑がかけられてしまいます。このような理由から事実通知と釈明を含めた連絡を外部の他サイトに行う必要があります。
本文中の「インシデントによる社外機関への連絡」および「E社のサーバがdに利用されたおそれが低いため連絡の対象外とした」という記述から、dには踏み台が入ると判断できます。
∴d=カ:踏み台
設問2
本文中のeに入れる適切な字句を20字以内で答えよ。
解答入力欄
- e:
解答例・解答の要点
- e:招集すべき要員をあらかじめ選定 (15文字)
解説
本文中の〔インシデント対応の整理〕(2)では、
「アラートの内容から対応に必要な要員を選定し,情報システム部のオペレーション室に参集しようとした。しかし … 要員の選定に手間取った」
という初期対応の遅れが指摘されています。この問題は、E社でインシデント発生時にどのような関係部署や社外の関係機関に連絡すればよいかが文書化されていなかったことに起因するため、eを含む一文では連絡体制の文書化が指示されています。
本文中のインシデント発生時の連絡では「対応に必要となる要員の選定に手間取った」ことが問題になったため、eには、これを改善するために行うべき事項が入ります。さらに「eし,連絡先とともに文書化する」という文脈からeには連絡対象に相当する字句が入ることが予想できます。これらを総合するとインシデント発生の都度、要員の選定を行うのではなく、インシデントの内容や発生場所に応じて対応に必要となる要員を前もって選定しておくという旨の記述が入ると判断できます。
∴e=招集すべき要員をあらかじめ選定
「アラートの内容から対応に必要な要員を選定し,情報システム部のオペレーション室に参集しようとした。しかし … 要員の選定に手間取った」
という初期対応の遅れが指摘されています。この問題は、E社でインシデント発生時にどのような関係部署や社外の関係機関に連絡すればよいかが文書化されていなかったことに起因するため、eを含む一文では連絡体制の文書化が指示されています。
本文中のインシデント発生時の連絡では「対応に必要となる要員の選定に手間取った」ことが問題になったため、eには、これを改善するために行うべき事項が入ります。さらに「eし,連絡先とともに文書化する」という文脈からeには連絡対象に相当する字句が入ることが予想できます。これらを総合するとインシデント発生の都度、要員の選定を行うのではなく、インシデントの内容や発生場所に応じて対応に必要となる要員を前もって選定しておくという旨の記述が入ると判断できます。
∴e=招集すべき要員をあらかじめ選定
設問3
本文中のfに入れる適切な字句を,〔インシデント対応の整理〕(5)で示された問題点を参考にして,30字以内で答えよ。
解答入力欄
- f:
解答例・解答の要点
- f:影響を受ける恐れのある部署への事前連絡 (19文字)
解説
本文中の〔インシデント対応の整理〕(5)では、
「通常業務が終了した時間であったので,特定の連絡を行わずに … 2つのセグメントを切断した」
「その結果、残業をしていた部署からクレームがあった」
という問題が指摘されています。事情を知らずに業務を行っていた部署からすれば、急な切断によって業務を途中で停止せざるを得ない状況に陥ってしまったのですからクレーム対象となって当然です。
設問中の「(5)で示された問題点を参考にして」という条件、および本文中の「業務への影響を及ぼさないことを考慮して対応手順を実施すべき」という記述から、fに入る字句はインシデント対応の影響を受ける部署への事前連絡を行うという旨の記述が適切といえます。
○分後に対応を実施するなどの事前通知があれば、対象部署ではその間に相応の対処を行うことが可能になり、今回のようなクレームは発生しにくくなると考えられます。
∴f=影響を受ける恐れのある部署への事前連絡
「通常業務が終了した時間であったので,特定の連絡を行わずに … 2つのセグメントを切断した」
「その結果、残業をしていた部署からクレームがあった」
という問題が指摘されています。事情を知らずに業務を行っていた部署からすれば、急な切断によって業務を途中で停止せざるを得ない状況に陥ってしまったのですからクレーム対象となって当然です。
設問中の「(5)で示された問題点を参考にして」という条件、および本文中の「業務への影響を及ぼさないことを考慮して対応手順を実施すべき」という記述から、fに入る字句はインシデント対応の影響を受ける部署への事前連絡を行うという旨の記述が適切といえます。
○分後に対応を実施するなどの事前通知があれば、対象部署ではその間に相応の対処を行うことが可能になり、今回のようなクレームは発生しにくくなると考えられます。
∴f=影響を受ける恐れのある部署への事前連絡
設問4
本文中の下線①について,最も適切な対策を解答群の中から選び,記号で答えよ。
解答群
- NTPサーバをネットワーク内に設置して,各機器の時刻を同期させる。
- SNMPを使って,機器の情報を収集する。
- ログ解析ツールを導入する。
- ログのバックアップを,書換え不能な媒体に取得する。
解答入力欄
- o:
解答例・解答の要点
- o:ア
解説
本文中の「前後関係がすぐには特定できず」という記述に注目します。
E社のシステムは、各サーバや機器が自身のログを記録するという形態で運用されています。個々の機器に記録されているログ単体で考えれば前後関係の問題は生じませんが、解析などの際に2種類以上のログを併合する段階でログ間に前後関係の「ずれ」が発生する可能性があります。
この原因となるのがログの出力日時として使われる各機器の内部時計の時刻差です。たとえ機器同士の時計の差が数秒程度であったとしても、ほぼ一瞬で到達する電気通信の速度を考えれば併合したログ上での前後関係が逆転することは十分に予想できます。
この問題は各機器の内部時計を同期させることで解決できるため、NTP(Network Time Protocol)サーバを設置する「ア」の対策が適切です。
∴ア:NTPサーバをネットワーク内に設置して,各機器の時刻を同期させる
なおISMSの管理策ではログの取得・監視について以下の策を講じるように求めています。
「組織またはセキュリティ領域内の関連する全ての情報処理システムのクロックは,単一の参照時刻源と同期させなければならない」
E社のシステムは、各サーバや機器が自身のログを記録するという形態で運用されています。個々の機器に記録されているログ単体で考えれば前後関係の問題は生じませんが、解析などの際に2種類以上のログを併合する段階でログ間に前後関係の「ずれ」が発生する可能性があります。
この原因となるのがログの出力日時として使われる各機器の内部時計の時刻差です。たとえ機器同士の時計の差が数秒程度であったとしても、ほぼ一瞬で到達する電気通信の速度を考えれば併合したログ上での前後関係が逆転することは十分に予想できます。
この問題は各機器の内部時計を同期させることで解決できるため、NTP(Network Time Protocol)サーバを設置する「ア」の対策が適切です。
∴ア:NTPサーバをネットワーク内に設置して,各機器の時刻を同期させる
なおISMSの管理策ではログの取得・監視について以下の策を講じるように求めています。
「組織またはセキュリティ領域内の関連する全ての情報処理システムのクロックは,単一の参照時刻源と同期させなければならない」
