※解答はIPAのサイトを引用しておりますが、解説は独自ですので参考程度にご覧ください
(1) 図2中の[a]に入れる適切な字句を答えよ
答: [a] 接続先が保守用中継サーバでない
SSHでは安全な接続を行うためにフィンガプリント(接続先サーバの情報)を接続元のクライアント(PC-A、PC-B)に保存します。SSH接続時には、接続元が保持するフィンガプリントと、接続先の保守用中継サーバのフィンガプリントが一致しているかを確認し、一致しなければSSH接続を中断します。
このようにすることで接続先サーバの正当性を確保でき、意図しない別のサーバへ接続してしまうことを防ぎます。
このことからSSH接続を中断される状況は、保守用中継サーバのフィンガプリントが変わっている、または接続先が保守用中継サーバでないという状況が想定されます。
よって解答は「接続先が保守用中継サーバでない」になります。
(2) 図2中の下線①の設定にした目的を”操作ログ”という字句を用いて述べよ
答: 操作ログが改ざんや削除を防止するため
図2のログの説明の3つめに”操作ログへのアクセスには特権利用者の権限が必要であり、それらのログの確認はJ社のシステム管理者が行う”とあります。
もしM社の保守員の利用者IDに特権利用者の権限を付与した場合、M社の保守員が操作ログへアクセスが可能となります。
悪意のある保守員が作業報告の内容とは異なる作業をした後に操作ログを改ざん、削除することで不正を隠蔽できてしまいます。そのためM社の保守員の利用者IDには一般利用者権限を付与します。
よって解答は、操作ログが改ざんや削除を防止するためになります。
(3) [b]、[c]に入れる適切な字句を答えよ
答: [b] 保守PC-A [c] インターネット
[b]には保守PC-Aが入ります。
図2の接続経路と接続方法の説明にて、”保守PCのいずれかから保守用中継サーバにSSH接続し、さらに保守用中継サーバから顧客サーバにSSH接続”すると記載があります。そのためFWでは保守PCから保守用中継サーバへのSSHを許可する必要があります。
図2の文頭で”通常は保守PC-Aから、必要に応じて保守PC-B又は保守PC-Cから保守を行っている。”という説明があり、通常はJ社内のPC-LANに接続されている保守PC-Aからのみ保守用中継サーバへのSSH接続を許可させることがわかりますので、解答は保守PC-Aになります。
[c]にはインターネットが入ります。
図2の”保守PC-B又は保守PC-Cはスマートフォンでテザリングしインターネット経由で行う”という説明と、表1の注1)の”保守PC-B又は保守PC-Cからの保守作業の際は、事前申請に記載された作業時間帯だけJ社システムのシステム管理者が許可に変更する。”という注記から、インターネットが送信元の保守用中継サーバ宛のSSH接続は拒否しておき、保守PC-B、保守PC-Cを使用する場合はインターネットから保守用中継サーバへのSSH接続を許可するように切り替える運用にしていることが分かります。
(1) 下線②の通信は表1のどのルールによってFWのログに記録されるか
答: 項番6
図1より保守用中継サーバはDMZにあることがわかります。また、下線②の内容から宛先はインターネットであることがわかります。
これを表1のFWのルールにあてはめると項番6のルールに該当し、アクセスが拒否された上でFWのログにその内容が記録される動作になります。
(2) 今回のセキュリティインシデントにおいて、第三者が保守用中継サーバにSSH接続可能だった期間は何月何日の何時何分から何月何日の何時何分までか
答: 6月14日7時00分から6月14日9時30分まで
図3の事前申請及びFWの設定変更にて、”顧客サーバの保守を保守PC-Cを使って6月14日7時00分から6月14日9時30分まで行うという事前申請が出されていた。事前申請に従ってJ社のシステム管理者はFWの設定を変更した。”とあります。
つまり6月14日7時00分から6月14日9時30分までの時間帯は、一時的に表1のFWのルールの項番4の設定が変更され、保守PC-CからSSH接続が許可され、第三者が保守用中継サーバに接続可能な期間であったと考えられます。
(1) 下線③について、パスフレーズを設定する目的を述べよ
答: 秘密鍵が盗まれても悪用できないようにするため
公開鍵認証方式では、公開鍵に対応する秘密鍵があれば認証を突破されてしまいます。
秘密鍵に強力なパスコードを設定しておくことで、万が一、不正アクセスにより保守用中継サーバにある秘密鍵が漏えいした場合でも秘密鍵のパスコードが分からなければ使用できないため認証を突破されるリスクを下げることができます。
(2) [d]に入れる適切な字句を答えよ
答: [d] パスワード認証
[d]にパスワード認証が入ります。
図5のとおり、サーバの認証を強化するため、パスワード認証から公開鍵認証へ認証方式を変更するということで、SSHサーバの設定では公開鍵認証の初期登録が完了し有効でき次第、パスワード認証を無効にする必要があります。
(3) [e]に入れる適切な字句を答えよ
答: [e] 秘密鍵
[e]に秘密鍵が入ります。
SSH Agentは認証を代理で行うプログラムのことです。
SSH Agent Forwarding機能とは、SSH接続の認証用の秘密鍵をローカルPC(保守PC)のメモリ内に保持しておき、その秘密鍵を利用して代理認証によりSSH接続をおこなう機能です。
SSH Agent Forwarding機能を使うと、秘密鍵を保守用中継サーバ上に保存しなくてよいため秘密鍵漏えいのリスクを下げることができます。
(4) [f]に入れる適切な字句を答えよ
答: [f] 送信元IPアドレスを固定にする
”保守PC-B及び保守PC-Cは、M社が貸与するスマートフォンでテザリングしインターネットに接続する。固定のグローバルIPアドレスは付与されない”とあります。
保守PC-B及び保守PC-Cに固定のグローバルIPアドレスを付与することが可能であれば、FWのルールでその送信元が付与したグローバルIPアドレスだけを保守用中継サーバ宛のSSH接続を許可することが可能になります。
よって解答は送信元IPアドレスを固定にするになります。
答: [a] Pパスワードの変更
[b] PCにコピー
[a]にはPパスワードの再設定が入ります。”設計秘密にはプロジェクト単位のパスワード(Pパスワード)を使用する”と記載があるため、Pパスワードはプロジェクト単位で共通のパスワードが使われています。
そのためプロジェクト離任者が出た場合は、離任者が不正にプロジェクトにアクセスできないよう、離任者の出たプロジェクトの全てのファイルのPパスワードの再設定が必要となります
[b]にはPCにコピーが入ります。[設計秘密の管理]にて、設計秘密は「R社のネットワーク内のファイルサーバだけに保管する」という規則が定められています。
これに反して設計秘密をPCにコピーした場合は、プロジェクト離任後も参照することができてしまいます。
(1) 表2中の下線①について操作を行えるアカウントだけを記号で選び答えよ。また、その操作を具体的に述べよ
答: [アカウント] ア、イ
[操作] プロジェクト離任者の利用者アカウントをグループから削除する
まず、プロジェクト離任者による設計秘密の参照を禁止する方法ですが、離任者の利用者アカウントを所属グループから削除することで参照ができなくなります。
図1の4.にて”ファイルの利用権限が自身の所属するグループのうち選択したグループに付与される”とありますので、利用者の所属グループに参照または編集の権限が付与されることがわかります。
そのためプロジェクト離任者については所属グループから削除することで、その利用者はファイルにアクセスする権限がなくなります。
次に利用者アカウントを所属グループから削除する操作が可能なアカウントについてです。
図1の2.アカウントの種類にてグループ管理者アカウントでは利用者アカウントをグループから削除することが可能であることがわかります。
また、IRM管理者アカウントもグループ管理者アカウントと同様の権限を持っていることから利用者アカウントをグループから削除することが可能です。
よって、解答はアとイになります。
(2) 下線②について参照不可になるのは図1中の5.のどの処理でエラーになるからか
答: (ii)
利用者アカウントを所属グループから削除されることにより、利用者アカウントはファイルに参照する権限がないことになりますので、(ii)のタイミングでエラーになります。
(3) 図2中の[c]、[d]に入れる整数を答えよ
答: [c]60 [d]196
[c]には60が入ります。Pパスワードが文字種64種で長さが10字の場合、パスワード文字列は2の何乗通りになるかという問題です。
まずは例題を出します。0から9までの数字を使用できる2桁のパスワードは全部で何通りになるでしょうか。
1桁目は0から9で10種、2桁目は0から9で10種となり、10種×10種で答えは全部で10の2乗通り(=100通り)になります。
設問に戻ると64種×64種×64種…と続き、全部で64の10乗通りになります。解答欄は2の何乗通りかで問われており64は2の6乗×10乗となり、答えは2の60乗となります。
[d]196が入ります。
1.Wソフトによって暗号化されたファイルの解読
→鍵を総当たりで特定するには2の256乗の計算量、鍵を生成するパスワードを見破るには2の60乗の計算量が必要です。
2.IRM-Lによって保護されたファイルの解読
→鍵を総当たりで特定しパスワードを破るには2の256乗の計算量
なので256-60で2の196乗倍の計算量が必要となります。
(4) [e]に入れる字句を答えよ
答: [e]辞書
[e]には辞書が入ります。辞書攻撃とは、よく使われる単語や人物名などの文字を組合せたものをパスワードに使用してログインを試みる方法です。
例えばpasswordやadminなどが該当し、これらを組合せた文字列は容易に推測されてしまいます。
(5) [f]に入れる字句を答えよ
答: [f] 多要素認証
[f]には多要素認証が入ります。多要素認証とは2つの異なる認証要素を組み合わせて行う認証方式のことです。
例えばパスワード入力による認証と、登録メールアドレスにセキュリティコードを送信する認証の両方に成功することで初めてログイン可能になります。
(3) 下線③についてどのような動作するマルウエアに感染すると不正に取得されるか
答: 利用者がファイルを開いたとき、画面をキャプチャし、攻撃者に送信する動作
利用者がPCでファイルを復号して画面に表示させたとき、その表示内容を読み取り、読み取ったデータを攻撃者のサーバに送信する動作を行うマルウエアの場合に不正に取得されてしまいます。
ファイルを参照、編集する際には必ず文書が画面に表示されるため表示画面をキャプチャするマルウエアに対しては設計秘密の漏えいを防ぐことができません。
(1) 下線①について初動対応の内容を答えよ
答: LANを切り離す
PCがウイルスに感染している可能性がある場合、同じネットワーク内の他のPCへの感染拡大を防ぐため、そのPCをネットワークから切り離します。
よって解答はLANを切り離すになります。
(2) 下線②についてどのような情報か答えよ
答: ディスクイメージ
デジタルフォレンジックスとは、主にサーバー攻撃などのコンピュータ犯罪に関して証拠となり得る端末に記録されたデータのことです。調査や分析に使用します。
ウイルス感染の恐れのあるPCは感染拡大を防止するため速やかにネットワークから切断する必要がありますが、切断後はC&Cサーバとの通信が途絶えることになり、どのような指示を攻撃者から受け取り、どのようなプログラムを実行しているのかなどの情報が監視できなくなります。
代わりの措置として、現時点のディスクイメージを取得することが挙げられます。
ディスクイメージとは、ハードディスクなどに保存されているデータ内容をまるごと記憶したファイルのことで、このディスクイメージを取得しておくことで攻撃者や攻撃内容を特定する調査の手がかりとなります。
(3) [a]に入れる適切な方法、[b]に入れる適切な対応、[c]に入れる適切な方法をそれぞれ述べよ
答: [a] 最新のマルウエア定義ファイルが保存したDVD-Rの使用
[b] マルウエア定義ファイルの更新
[c] マルウエア対策ソフトの画面の操作
新種のマルウエアが検出できない可能性があるためフルスキャンをする前に、必ずマルウエア定義を最新に更新しておく必要があります。
よって[b]には「マルウエア定義ファイルの更新」という対応が入ります。
続いて「マルウエア定義ファイルの更新」方法についてですが、PC-Gはウイルス感染の恐れがありQ社のネットワークから切り離され外部のサイトとは一切繋がらない状態になっています。
代わりに15ページの文中にある”V社マルウエア定義配布サイトから手動でダウンロードし、そのファイルを保存したDVD-R”を使用してマルウエア定義を更新します。
よって[a]は「最新のマルウエア定義ファイルが保存したDVD-Rの使用」が入ります。
最後に[c]について、貸与しているPCのマルウエア定義ファイルを更新する方法は「マルウエア対策ソフトの画面の操作」になります。
”利用者及びサーバの管理者はマルウエア対策ソフトの画面の操作”によってマルウエア定義ファイルを手動で更新することもできるとありますので、Q社全体に
この操作指示を行うことでマルウエア定義ファイルを最新に更新させることが可能です。
別解としてPCの再起動を指示しても起動時にマルウエア定義ファイルが自動更新されるためこの対応でも可能となります。
(4) 下線③について追加の調査範囲を答えよ
答: Q社内の全てのPC及びサーバからのアクセス
図3の(4)よりプロキシサーバのアクセスログの調査内容は、”アクセス元IPアドレスがPC-Gであるアクセスを調査した”という内容です。
調査の結果、Cリスト中のURLアクセスは12月6日の1件だけで、その1件もURLフィルタリングで拒否されておりPC-Gからの不正なアクセスはなかったことは確認できましたが、この調査ではPC-G以外のPCもマルウエア感染があった場合の考慮ができておりません。
そのため、追加の調査として「Q社内の全てのPC及びサーバからのアクセス」についても、Cリスト中のURLアクセスがなかったかを調査する必要があります。
(1) 下線④について変更する2つのルールの項番とそれぞれの変更後の内容を答えよ
答: 項番:3 変更内容:送信元 総務部LAN、営業部LAN
項番:4 変更内容:送信元 技術部LAN
下線④の直前の説明にて”Fサーバ1の利用者を総務部員及び営業部員に、Fサーバ2の利用者を技術部員にそれぞれ振り分けて”とあります。
よって表2のFWのフィルタリングルールの項番:3については送信元を総務部LAN、営業部LANに限定し、項番:4については送信元を技術部LANに限定すれば良いことになります。
(2) [d]、[e]に入れる適切な設定内容を答えよ
答:
[d] V社配布サイトのURL
[e] 全て
表1より管理者許可リストはアクセスを許可するURLのリスト、管理者拒否リストはアクセスを拒否するURLのリストになります。
また、15ページ中段あたりに”Fサーバ1及びFサーバ2がインターネットと通信するのはマルウエア定義ファイルの更新時だけ”と記載があり、運用ではV社配布サイトのみアクセス可能にする必要があります。
よって、アクセス元がサーバLANについてのUFルールについて、管理者許可リストのURLの[d]には「V社配布サイトのURL」が入り、管理者拒否リストのURLの[e]には「全て」が入ります。
(1) 下線⑤について、どのような場合か具体的に述べよ
答: 登録した実行ファイルがバージョンアップされた場合
19ページの文頭にてYソフトは”登録した実行ファイルだけの実行を、ファイルのハッシュ値と比較することによって許可するソフトウエア”とあります。
ハッシュ値とは元になるファイル(データ)に対して、ある特定の計算(ハッシュ関数)にかけることで得られた値のことです。
ファイルの中身が完全に同じものであれば完全に同じハッシュ値が得られ、少しでも値がファイル内容が異なれば全く異なるハッシュ値が得られるので、もし登録した実行ファイルをバージョンアップした場合は、ハッシュ値が一致しなくなり、実行の許可がされなくなるため登録変更が必要となります。
よって解答は「登録した実行ファイルがバージョンアップされた場合」になります。
(2) 下線⑤について、どのようなマルウエアか具体的に述べよ
答: 登録した実行ファイルのマクロとして実行されるマルウエア
Yソフトでは実行ファイルについてだけウイルス感染の疑いを検知し実行を禁止することが可能です。
そのためマクロとして実行するようなウイルスやバッファオーバーフロー攻撃のようなメモリ上の領域でshellコードを実行する攻撃については実行を禁止することができません。
バッファオーバーフロー攻撃とは、PCのメモリ上の領域(バッファ)が処理できるデータ量を超えるデータを送信することで意図しない動作を起こさせる攻撃のことです。