※解答はIPAのサイトを引用しておりますが、解説は独自ですので参考程度にご覧ください
答: GDPR
GDPR(EU一般データ保護規則)とは、欧州議会、欧州理事会および欧州委員会が策定した新しい個人情報保護の枠組みです。個人のためにデータ保護を強化し統合することを意図している規則です。
(1) 条件2について、プロジェクト専用サーバをクラウド環境に移行した場合、満たせなくなる具体的内容を述べよ
答: R&D情報は、物理的な入退室管理が行われているプロジェクトルーム内に配置されたプロジェクト専用サーバに保管する。
プロジェクト専用サーバ内に保存されているR&D情報は、「物理的な入退室管理が行われているプロジェクトルーム内に配置」するという要件ですが、クラウド環境に移行した場合、クラウドベンダが提供する各国や各地域のデータセンタへプロジェクト専用サーバが移ることになり、満たせなくなります。
(2) 生産関連サーバをクラウド環境に移行しかつIaaS Cのサービスを全て利用した場合に満たせなくなる要件の内容を3つ挙げ、そのうちのひとつの理由を答えよ
答:・生産関連サーバは、X社の工場及びデータセンタに配置する
・生産関連サーバのバックアップを他の工場又はデータセンタに配置する
・同じ重要インフラ設備を製造する工場及び生産関連サーバは同一の国又は地域内の2か所以上に配置する
理由: 日本国内のデータセンタが被災した場合はシンガポールのデータセンタでサービスが継続される
IaaS Cのサービスはクラウド環境のため、クラウドベンダから提供されるデータセンタを利用することになります。
つまり基本要件の中にあるような生産関連サーバや生産関連サーバのバックアップをX社工場や東日本、西日本データセンタに配置することはできません。
また、同一の国又は地域内の2か所以上に配置することもできません。その理由のひとつを挙げると、日本国内のデータセンタが被災した場合はシンガポールのデータセンタでサービスが継続されるからになります。
(3) X社内のネットワークとIaaS Cとの接続においてNAT機能を用いることにしたのはどのような問題を回避するためだと考えられるか
答: X社のシステムの機器に割り当てているIPアドレスが、IaaS Cで予約されているプライベートアドレスと重複する可能性があるという問題
NATはIPアドレスを変換する技術のことです。X社のシステムの機器に割り当てているIPアドレスが、IaaS Cで予約されているプライベートアドレスと重複してしまうと、通信時にどちらの機器なのか判別がつかない不具合が発生します。そこで、X社のシステムの機器のプライベートIPアドレスは別のIPアドレスに変換するようにして重複を回避します。
(1) 認証サーバをSAML2.0やSPNEGOプロトコルで通信させると利用者にどのような利便性が提供されるか
答: 一度のログインで全システムにアクセスできるという利便性
SAML2.0やSPNEGOには、SSO(シングルサインオン)機能があります。SSOとは、一度のユーザー認証で複数のシステムの利用が可能になる仕組みのことです。利用者が各サーバを使うときにそれぞれログイン作業が必要ですが、SSOを使えば一度のユーザー認証で済むようになり、利用者の利便性が向上します。
(2) 案2を選択した場合、案1と比べて構成要素の負荷が高くなるのは社内サーバからどの業務サーバへの通信か。また、負荷が高くなる構成要素はどれか
答: [業務サーバ] イ: 業務サーバ(Linux)、ウ: 業務サーバ(商用UNIX)
[構成要素] ク:IPS、ケ:FW1、コ:FW1⇔インターネット、サ:FW2
認証サーバB1をIaaS Cに移行するのが案2の内容になります。
認証サーバB1はWebブラウザを用いてLinuxと商用UNIXの二つの業務サーバにログオンする際に利用者認証を行いますが、これをIaaS Cに移行すると図2の認証サーバA2と同列の位置に配置されるイメージになります。そうなれば、認証サーバB1がIaaS Cから業務サーバにアクセスするためには、認証サーバB1 → FW2 → インターネット → FW1 → IPS → 業務サーバ(Linuxまたは商用UNIX)の通信経路となるため、これらの構成要素の負荷が高くなります。
(1) ティア1からティア3に該当するものを記号で答えよ
答: ティア1) イ.部分的である
ティア2) ウ.リスク情報を活用している
ティア3) ア.繰り返し適用可能である
フレームワークインプリメンテーションティアとは、組織が現状どの程度達成できているかを数値化するための成熟度評価基準として以下の4段階のティアを定義しています。
ティア1: 部分的である(Partial)・・・サイバーセキュリティリスクが適切に管理されておらず、リスクは場当たり的に、場合によっては事後に対処される状態
ティア2: リスク情報を活用している(Risk Informed)・・・サイバーセキュリティリスク意識はあるが、リスクを管理するための組織全体にわたる取組みは定められていない状態
ティア3: 繰り返し適用可能である(Repeatable)・・・リスクの変化に効果的に対応するための一貫した手法が存在しており、従業員は割り当てられた役割、責任を果たすための知識とスキルを持っている状態
ティア4: 適応している(Adaptive)・・・発生する可能性のあるサイバーセキュリティイべントに対処するためのリスク情報を活用したポリシー、プロセス、手順を用いた組織全体のサイバーセキュリティリスクマネジメントのアプローチが確立されており、意思決定の際にはサイバーセキュリティリスクと組織の目的の間の関係が明確に理解され、考慮されている状態
よって解答には、ティア1は「イ.部分的である」、ティア2は「ウ.リスク情報を活用している」、ティア3は、「ア.繰り返し適用可能である」になります。
(2) 目視でセキュリティ設定パラメタの設定値をチェックする方法と比べて製品Dによる方法はどのような利点があるか二つ挙げよ。
答: ・正確である
・作業が速くできる
製品Dでは、管理画面でセキュリティ設定パラメタの設定値が異なるサーバ又はPCの一覧表示ができ、1回の操作で指定した値に変更することができます。これにより作業が1回で済み、設定値の変更漏れもなくなります。
よって「正確である」、「作業が速くできる」の2つの利点が解答になります。
(1) 案A及び案Bにおける利用者認証後の通信経路のうち案Cに比べ構成要素の負荷が高くなるのはどのクライアントからどの業務サーバへの通信か
答:
【案A】
・H(スマホ)→D(IaaSC Linux業務サーバ)
・I(モバイルPC)→D(IaaSCのLinux業務サーバ)
【案B】
・G(スマホ)→B(Linux業務サーバ)
・H(スマホ)→B(Linux業務サーバ)
・I(モバイルPC)→B(Linux業務サーバ)
案CではIaaS C環境に認証サーバB2を用意し、スマホ、モバイルPCからIaaS C環境のLinux業務サーバへの利用者認証を行う場合は、IaaS C環境内の構成要素だけに通信します。
一方で案Aではオンプレミス環境(東日本データセンタ)に認証サーバB1を配置するため、スマホ、モバイルPCからIaaS CのLinux業務サーバへの通信があった場合は、オンプレミス環境(東日本データセンタ)に認証サーバB1で認証する通信経路になるため、スマホ、モバイルPC から IaaS CのLinux業務サーバへの通信で、構成要素の負荷が高くなります。
(2) [a]~[h]に入る適切なメッセージを記号で答えよ
答: [a]カ [b]ウ [c]イ [d]ア [e]オ [f]ク [g]キ [h]エ
[a]にはカ.認証サーバB1が発行したトークン要求が入ります。SaaS Qでは認証サーバB1が発行したトークンを使い利用者認証を行います。そのため、まず最初にスマートフォンからSaaS Qへトークンなしのアクセス要求があった場合、スマートフォン宛に「認証サーバB1が発行したトークン要求」を行います。
[b]にウ.接続要求が入ります。[モバイル環境の検討]対策2の文中より、スマートフォンはVPNクライアントを起動し、VPNサーバと接続し、クライアント証明書を用いた端末認証を行うと記載があります。よってスマートフォンからVPNサーバ宛の「接続要求」が入ります。
[c]にはイ.クライアント証明書の要求、[d]にはア.クライアント証明書が入ります。VPNクライアント(スマートフォン)からVPNサーバ宛に接続要求があった場合、まずVPNサーバは利用者認証を行うために必要な「クライアント証明書の要求」をスマートフォン宛に行い、それを受けたスマートフォンはVPNサーバ宛に「クライアント証明書」を送り、VPNサーバ側でクライアント証明書の検証が行われ、SaaS Qへアクセスを許可された端末であるかの確認が行われます。
[e]にはオ.トークン発行要求、[f]にはク.利用者ID及びパスワードの入力要求、[g]にはキ.利用者ID、パスワード、[h]にはエ.トークンの発行が入ります。
端末認証により接続OKであればIPアドレスが割り当てられ、認証サーバB1に「トークン発行要求」が可能になります。
要求を受けた認証サーバB1は、要求元の利用者が本人であるかを確認をするために「利用者ID及びパスワードの入力要求」を要求元へ行います。
要求元のスマートフォンから「利用者ID、パスワード」を認証サーバB1へ送り、認証サーバB1側での検証により本人であることが確認できた場合、認証サーバB1は要求元のスマートフォンへ「トークンを発行」します。
(1) [a]、[b]に入る字句を記号から選び答えよ
答: [a] イ.教育と意識向上 [b] エ.侵入検知
インシデント対応チームのサービスの例としてNIST SP 800-53 Rev2では、アドバイザリの配布、脆弱性評価、侵入検知、教育と意識向上、技術動向の監視、パッチ管理の6例を挙げています。
よって[a]、[b]には本文中にない「教育と意識向上」、「侵入検知」が入ります
(2) [c]~[e]に入る字句を記号から選び答えよ
答: [c] ケ.マネジメント層 [d] ウ.インシデント [e] コ.優先順位付け
[c]は「マネジメント層」が入ります。情報セキュリティの意思決定を行っているのは情報セキュリティ委員会であり、その委員長は社長、委員は各部門の部長と記載されていますので、責任を表明するのはマネジメント層になります。
[d]には「インシデント」が入ります。(セキュリティ)インシデントとは、システムの運用におけるセキュリティ上の脅威となりうる事象です。インシデント対応を行うにあたり、まずは何がインシデントとなるかを明確に定義することが必要となります。
[e]には「優先順位付け」が入ります。インシデントが発生した場合、対応可否や緊急性をする材料として、インシデントがどれだけ深刻であるかという度合いと、インシデントの中での「優先順位付け」(レベル分け)をすることが必要となります。
(1) [f]~[h]に入る字句を答えよ
答: [f] ログを取得する機器 [g] 取得するログの種類 [h] 保存期間
本文中の図3の(6)で開発部の管理するログは少数であった、取得していたログの種類や保存期間にばらつきがあったと記載されています。このことから、解決策として取得するログについては、機器と種類を定め、取得したログについては保存期間を定めるようにするということになります。
よって解答は、[f] ログを取得する機器、[g]取得するログの種類、[h] 保存期間となります。
(2) [i]、[j]に入る字句を答えよ
答: [i] タイムゾーン [j] 統一
標準時を地域ごとに区切った時間帯を「タイムゾーン」と呼びます。例えば日本をタイムゾーンに設定した時計での10時とアメリカをタイムゾーンに設定した時計での10時は、時差があるため実際はまったく違う時間になります。
複数の機器からログを取得する場合、タイムゾーンが異なるとログを突合した際などに時系列がおかしくなり整合性がとれなくなります。
そのためタイムゾーンは「統一」しなければなりません。
(3) 下線①について取得した通常時プロファイルの利用方法を述べよ
答: ネットワークトラフィック量と比較して異常を検知する。
通常時プロファイルを把握しておくと、平常時のおよそのトラフィック量の平均を知ることができます。
このトラフィック量と現在あるいは調査時のトラフィック量を比較し、かけ離れているトラフィック量であった場合は、不正アクセスや障害などの異常が発生している可能性があり、それを検知することができます。
(1) 下線②についてマルウエアMにアクセスしたPCを特定した方法を答えよ
答: プロキシサーバのログからアクセス先がサイトMのエントリを抽出し、このエントリからPC-AのIPアドレスを得た。
マルウエアMのログに残っていたアクセス元のIPアドレスはA社のプロキシサーバのものだったと記載があります。社内PCがインターネットへアクセスする場合、プロキシサーバが代わりとなってアクセスしますのでプロキシサーバのIPアドレスが記録されます。
社内のどのPCから実際にアクセスしたかを特定する場合、図6にも抜粋があるようにプロキシサーバのログを確認します。
プロキシサーバのログにはどのIPアドレスからいつどのサイトへアクセスし、どれくらいのデータサイズの通信をしたかの詳細なエントリが記録されています。よって解答はプロキシサーバのログからアクセス先がサイトMのエントリを抽出し、このエントリからPC-AのIPアドレスを得た。となります。
(2) 下線③について、マルウエアが何を行っていたと考えられるか
答: HTTPリクエストによる活動:C&Cサーバへのコマンド要求又は応答
HTTPレスポンスによる活動:C&Cサーバからのコマンド受信
C&Cサーバとは攻撃者が用意したサーバになります。このC&Cはコマンド&コントロールの略になります。
攻撃者はPCをマルウエアに感染させたあと、PCからC&Cサーバへコマンド要求(又はC&Cサーバからの応答)と、C&Cサーバからのコマンド受信を繰り返すことで、攻撃者は遠隔操作でPCをコントロールし、コマンドを実行しながらファイルを盗み出したり、ファイルを暗号化させたり攻撃をおこないます。
(3) 下線④について調査の観点から見たときの問題は何か。また、この問題を軽減するために実行する前に行うべき措置を述べよ
答: 問題:PCのネットワークインタフェースや通信の状態についての情報が失われること
措置:メモリダンプを取得する
ウイルス感染したPCは、感染拡大を防止するため速やかにネットワークから切断する必要がありますが、切断後はC&Cサーバとの通信が途絶えることになり、どのような指示を攻撃者から受け取り、どのようなプログラムを実行しているのかなどの情報がリアルタイム監視できなくなります。代わりの措置として、現時点のメモリダンプを取得することが挙げられます。
メモリダンプとは、PCのメモリ上に記憶されているプログラムの実行状態やデータ内容をまるごと記憶したファイルのことで、このメモリダンプを取得しておくことで攻撃者や攻撃内容を特定する調査の手がかりとなります
(4) [k]に入る調査内容を述べよ
答: [k]プロキシサーバのログから、IPnのサイトにアクセスした機器がほかにないか
表1のnew3.exeの説明にて、マルウエアKが実行されるとIPnのサイトにアクセスしてレスポンスに従って動作するとあります。
また、図6のプロキシサーバのログを見るとマルウエアKに感染したPC-Aは9月4日14時37分から頻繁にIPnとHTTP通信していることがわかります。
よって他の機器がマルウエアKに感染したかどうかを確認するには、「プロキシサーバのログから、IPnのサイトにアクセスした機器がほかにないか」を調査すればわかることになります。
(5) 下線⑤について攻撃者が何回ログインに失敗したことが記録されているか
答: 7回
PC-Aは9月4日14時30分頃(正確には14時35分31秒)にnew3.exeをダウンロードしたことが本文中と図6のログからわかるため9月4日14時35分より前の段階では普段の作業でログイン、9月4日14時35分以降が攻撃者によるログインと考えることができます。
そのため図8のログイン履歴の中で、攻撃者の遠隔操作により最初にログインが成功したと考えられるのは9月5日10時41分(図8の上から3行目)になり、14時35分31秒から9月5日10時41分の間の時間帯に図9に記録されている行数が攻撃者がログインを試行し失敗した数になります。
図9の上から4~10行の時刻がそれに該当しますので7回が解答になります。
(6) [i]に入る字句を答えよ
答: [i]ハッシュ値
ハッシュ値とは元になるファイル(データ)に対して、ある特定の計算(ハッシュ関数)にかけることで得られた値のことです。
ファイルの中身が完全に同じものであれば完全に同じハッシュ値が得られ、少しでも値がファイル内容が異なれば全く異なるハッシュ値が得られますので、このハッシュ値を検索のキーにすることで、ファイルAと異なるファイル名に変えられて保存されていたとしてもファイルAと同じ内容のファイルを探し出すことが可能になります。
ハッシュ関数にはMD5やSHA-256といった種類がありますのであわせて覚えておきましょう。
(7) 下線⑥についてファイルの社外への送信の可能性を示す行番号とファイル送信の有無に役立つ情報を述べよ
答: 28行目:プロキシサーバがインターネットに送信したデータのサイズ
図6のログのうちリクエストURLと送信したメッセージのサイズ、使用するメソッドに着目します。
まず、メッセージのサイズが大きいことは、データ量が多い、つまり何かのファイルを送信した可能性が高いと考えることができますのでその行に着目します。
攻撃者が最初にログインが成功した14時41分31秒以降の時刻でメッセージのサイズが大きい通信は21行目、28行目が該当しますが、21行目は、10行目と同じURLへのアクセスでほとんど同じメッセージサイズ、そして同じPOSTメソッドということで、通常のログイン動作と考えられます。
一方で28行目は、同じURLの11行目と比較するとメッセージサイズはかけ離れ、GETメソッドではなくPOSTメソッドを使用しています。
このことから28行目の通信で送信された可能性が高いと判断できます。
また、プロキシサーバがインターネットに送信したデータのサイズを調べ、データ量が多ければファイル送信した可能性がさらに高まります。
(1) [ア]~[ウ]に入る日時を答えよ
答: [ア] 9/4 14:31 [イ] 9/4 14:37 [ウ] 9/5 10:41
[ア]には9/4 14:31が入ります。図6の4行目より、14:31:15にsamplebun.zipをダウンロードしたことがわかります。
[イ]には9/4 14:37が入ります。図6の8行目の9/4 14:37:06からIPnに連続して頻繁にアクセスしていることがわかります。
[ウ]には9/5 10:41が入ります。図8の3行目より攻撃者の遠隔操作によりPC-Bへ最初にログインが成功したと考えられるのは9/5 10:41になります。
(2) [m]~[s]に入る字句を記号で答えよ
答: [m]タ [n]コ [o]ソ [p]ケ [q]シ [r]カ [s]オ
[m]にはタ.マルウエアL、[n]にはコ.サイトMが入ります。表1より、ファイルWを実行すると「マルウエアL」が実行されることがわかります。その後、マルウエアLは「サイトM」からプログラムをダウンロードし実行します。
[o]にはソ.マルウエアK、[p]にはケ.遠隔操作が入ります。表1および図6より、マルウエアLはサイトMからnew3.exeをダウンロードし「マルウエアK」を実行し「遠隔操作」でのIPnのサイトとの通信を開始しました。
[q]にはシ.ファイルA、[r]にはカ.PC-Bが入ります。図7の文中よりPC-Bへログイン成功後、ファイルAをPC-Bのローカルディスクのディレクトリ”/tmp/20xx/”においていたことがわかります。
[s]にはオ.PC-Aが入ります。フォレンジックスツールを用いた調査をした結果、9/8 15:35にファイル名は異なっているものの、ファイルAと同じ内容のファイルが「PC-A」に作成されていました。
答: 課題:b 措置:インシデント対応の作業手順書を作成する。
[インシデント対応能力の向上への取組み]の内容を確認しますと、(a)については、インシデント対応のための組織横断チームを編成することで対応しています。
続いて(c)については、メンバのインシデント対応スキルを高めるため、勉強会や外部研修へ参加することで課題を解決します。
(d)についてはログ管理ポリシを定めログに関わる問題を解決しています。
よって未解決の課題は(b)になります。また、解決のための措置については作業手順が明確になっていないという問題のため「インシデント対応の作業手順書を作成する」ことで解決可能です。