HOME平成15年度試験メニュー >問題と解説
  

情報セキュアド 平成15年度試験 問題(午後2 問1)

 
問1 セキュリティ事件への対応に関する次の記述を読んで,設問1〜5に答えよ。
 
 A社は,社員数が300名ほどの健康食品の輸入と販売を行う商社である。これまで,A社では,Webを利用した商品の宣伝や社外との電子メール(以下,メールという)のやり取りのために,インターネットサービスプロバイダ(以下,ISPという)が提供する小規模事業者向けの各種のサービスを利用してきた。具体的には,ダイヤルアップによるインターネット接続サービス,ISPが提供するWebサーバのホスティングサービスやメールアカウント利用サービスなどである。しかし,ダイヤルアップによる接続では,顧客とのメールのやり取りが遅れがちで業務に支障が出始めていた。そこで,昨今,高速なインターネット常時接続サービスが低価格で利用できるようになってきたことや,A社内の情報システムの拡充に伴って情報システム課の課員が増強されたことなどから,自社内にWebサーバやメールサーバなどのインターネット向け情報システム(以下,新システムという)を構築し,インターネットに常時接続することにした。A社の情報システム課のB課長をリーダとする3名でチーム(以下,構築チームという)を組み,新システムの構築を推進することになった。図1に,新システムの構成を示す。
 
平成15年度 午後2問1 図1
 
 構築チームによる検討の結果,新システムは,図2に示すような方針で運用することにした。
 
図2 新システムの運用方針
(1)  ルータ
 DNSサービス,SMTPサービス,HTTPサービス及びNTPサービスに必要のないインターネットからの通信は,ルータですべて遮断する。
(2)  FW兼DNSサーバ
 FW兼DNSサーバ上でFW機能及びDNSサービスを提供する。
 インターネット側からのDNSの問合せに対しては,バリアセグメントの情報だけを返す。
 社内LANからのDNSの問合せに対しては,バリアセグメント,社内LAN及び外部ドメインに関する情報を返す。
 インターネットから社内LANへのアクセスは,FW機能ですべて遮断する。
 バリアセグメントから社内LANへのアクセスは,SMTPサーバからPOP兼SMTPサーバヘのSMTPによる通信と,バリアセグメント上の各サーバからSYSLOGサーバヘのSYSLOGによる通信だけを許可し,それ以外はFW機能で遮断する。
(3)  NTPサーバ
 NTPサーバを設置し,ISPが提供する時刻同期用のサーバと時刻を同期させる。
 バリアセグメントと社内LAN上の全サーバ,FW及びパソコンは,NTPサーバと時刻を同期させる。
 NTPサーバの運用及び保守は,社内LANからFW兼DNSサーバを経由するtelnet通信で行う。
 NTPサーバ上では,NTPサービスと運用及び保守に必要のないネットワークサービスをすべて停止する。
(4)  SMTPサーバ及びPOP兼SMTPサーバ
 社外から社内に送られてくるメールは,SMTPサーバで中継され,POP兼SMTPサーバに転送される。
 社内で交換されるメールは,POP兼SMTPサーバ上で処理される。
 社内から社外に送られるメールは,POP兼SMTPサーバから,SMTPサーバを経由して転送される。
 SMTPサーバの運用及び保守は,社内LANからFW兼DNSサーバを経由するtelnet通信で行う。
 SMTPサーバ上では,メールの送受信と運用及び保守に必要のないネットワークサービスをすべて停止する。
(5)  Webサーバ(社外向けの情報発信)
 Webサーバを用いて,社外向けに情報発信を行う。
 Webコンテンツの更新時には,更新したいコンテンツをフロッピーディスクやCD-Rなどの記録媒体にいったん格納し,それをWebサーバのドライブに挿入して,データを更新する。
 Webコンテンツの更新を除くWebサーバの運用及び保守は,社内LANからFW兼DNSサーバを経由するtelnet通信で行う。
 Webサーバ上では,HTTPサービスと運用及び保守に必要のないネットワークサービスをすべて停止する。
(6)  Webプロキシサーバ(社内からインターネット上にあるWebを閲覧)
 社内LAN上のパソコンから,インターネット上にあるWebを閲覧するためには,Webプロキシサーバを経由させる。
(7)  SYSLOGサーバ
 バリアセグメント及び社内LAN上の各サーバが出力するログは,すべてSYSLOGサーバに転送される。SYSLOGサーバは,定期的に書き込み専用の記録媒体ヘログを出力する。
(8)  そのほかの共通事項
・各サーバでは,毎日午前3時から早朝にかけて,バックアップを採取する。バックアップ媒体は,3世代分を保管する。
 
 情報システムへの投資に対する予算の制約もあり,必要なハードウェアやソフトウェアの選定,調達及び設定まで,構築チームがすべての作業を実施することになった。
 
〔新システムのぜい弱性の検査〕
 3か月ほどの期間を経て,新システムの構築がほぼ一段落した。そこで,構築チームのメンバである情報システム課のC主任が,新システムをインターネットに接続する前に,新システム全体の情報セキュリティの状況について確認することになった。
 C主任は,新システムで利用するOSやアプリケーションソフトウェアに関連したぜい弱性の情報を集め,各種の設定ファイルの内容や修正パッチの適用状況などを調査した。その結果,Webサーバに関連するセキュリティ上の問題が二つ発見された。
 次は,それらの問題に関するB課長とC主任の会話である。
C主任: 新システムのWebサーバで,セキュリティ上の問題が二つ発見されました。インターネットに接続する前に,これらの問題を解決しておく必要があります。
B課長: それはどのような問題かね。もう少し具体的に説明してほしい。
C主任: 一つは,クロスサイトスクリプティング(以下,XSSという)と呼ばれるぜい弱性に関する問題です。このぜい弱性を悪用されてしまうと,[ a ]といった被害の発生する可能性が考えられます。
B課長: それは大きな問題だな。この問題を解決するには,どのような対策を実施すればよいのだろう。
C主任: XSSの問題を解決するためには,幾つかの対策を実施しなくてはなりません。詳細は,改めて文書で報告いたしますが,一つだけ例を挙げますと,Webブラウザからのリクエストに対してWebサーバが返すWebコンテンツ中に[ b ]が存在した場合には,それらに対する[ c ]処理をWebサーバが実施しなければならないといったことがあります。
B課長: ほかにも問題はあったのかね。
C主任: もう一つは,バッファオーバフロー(以下,BOFという)と呼ばれるぜい弱性に関する問題です。このぜい弱性を悪用されてしまうと,遠隔地からインターネットを経由した不正な[ d ]や,[ e ]といった被害の発生する可能性が考えられます。
B課長: それでは,新システムへの移行時期を少し延期した方がよさそうだな。
C主任: 2週間ほど時間をいただけないでしょうか。その間に,XSSやBOFの対策として必要な修正を加えた上で,再度,確認試験を行いたいと思います。
B課長: 分かった。それでは,担当役員を通じて取締役会に報告し,承認を得た上で延期することにしよう。
 
〔新システムヘの移行〕
 2週間ほどたって,C主任からB課長にWebサーバで発見されたぜい弱性への対策を終了したとの報告があった。B課長は,その結果を担当役員を通じて再度取締役会に報告し,新システムヘの移行について承認を得た。
 この承認を受けて,A社では,新システムへの移行が実施された。B課長は引き続き新システムの運用責任者に任命され,構築チームは解散した。新システムでは,インターネットとの常時接続や回線速度の増強などが実現され,顧客や社員に極めて好評であった。新システムヘの移行が終了してから数週間は,大きなトラブルもなく,順調であった。
 
〔事件の発生〕
 新システムに移行してから数週間が過ぎたある日,某社(以下,X社という)のサイト管理者からA社のサイト管理者のメールアドレスあてに,図3に示すようなメールが届いた。
 
図3 X社のサイト管理者から届いたメール
To:root@A-Company.co.jp
From:root@X-Company.co.jp
Subject:貴社ホストからの不審なアクセスについて
Date:20 Mar 2003 16:47:46 +0900
 
 私は,X社のサイトを管理している者です。
 この1週間ほど,貴社サイト内のホスト(Webサーバ)が発信源と推測できる不審なアクセスを観測し続けています。アクセスの内容は,当社のDNSに登録している外部公開サーバ群に対するポートスキャンです。
 これまでのところ,当社ホストには不正侵入といった深刻な被害は発生しておりませんが,貴社ホストが何者かに悪用されている可能性がありますので,状況を調査していただくとともに,不審なパケットの送出を停止していただくようお願いいたします。
 下記に,当社のルータで捕そくした貴社ホストからのアクセスのログを添付いたします。
(以下,ログは省略)
 
 このメールは,直ちに情報システム課のメンバに伝達され,状況調査が行われた。図4に,新システムの状況調査の結果を示す。
 
図4 新システムの状況調査の結果
(1)  インターネットに接続するルータ自身には,不正アクセスを受けた形跡はない。
(2)  Webサーバ上に隠しディレクトリが作られており,その中に構築チームのだれも知らないデータファイルが置かれていた。
(3)  FW兼DNSサーバには,不正アクセスを受けた形跡はない。
 
 C主任は,〔1〕Webサーバに置かれていた不審なデータファイルを削除し,再度Webサーバ上のOSやアプリケーションソフトウェアについて,各種の設定ファイルの内容や修正パッチの適用状況などの確認作業を行ったが,ほかに問題は発見できなかった。
 
〔事件の再発〕
 C主任が確認作業を行ってから数時間後に,Webページを見た顧客からの連絡で,Webサーバのコンテンツが改ざんされたことが分かった。インターネットに接続した状態では更に何が起こるか分からなかったので,C主任は,B課長と相談の上,Webサーバのネットワーク接続を一時的に切断し,徹底的な原因の究明を行って,再発防止の対策を実施することにした。
 B課長は,直ちに情報システム課のメンバを召集して対策会議を開いた。しかし,このような事件に対してどのようなステップで対応すべきかについて,経験のあるメンバがおらず,明確な対策を打ち出せずにいた。
 そこで,B課長は,このような事件に対する一般的な対応手順について,C主任に至急情報を収集するように命じた。C主任は,情報システム課のメンバのD君と協力して情報を収集し,図5に示す一般的な対応手順を取りまとめ,B課長に報告した。
 
図5 セキュリティ事件発生時の一般的な対応手順
(1)  責任者及び担当者への連絡
 セキュリティ事件は,だれが発見するか分からないので,事前に緊急時の連絡先を定めておくこと。事件を発見した者は,直ちに定められた連絡先の担当者に状況を報告して適切な指示を受けること。責任者は,事前に定めた手順に沿って対応すること。もし,手順が定められていなければ,(2)以降の記述を参考にして対応すること。
(2)  事実の確認
 セキュリティ事件の内容や状況などについて,事実関係を明らかにすること。
(3)  システムの利用状況の記録とハードディスクの内容の保存
 後日の調査及び対応処置に備えるために,事件を発見したら,なるべく早い段階で,システムの利用状況を記録し,ハードディスクの内容を保存しておくこと。
(4)  ネットワーク接続の遮断又はシステムの停止
 不正侵入が継続しているなど,他システムヘの影響や被害の拡大が想定される場合には,ネットワーク接続を遮断するか,システムを緊急に停止すること。
(5)  影響範囲の特定
 どのような範囲に対して,どのような影響が生じたのかを正確に把握すること。
(6)  関係サイトへの連絡
 自組織のサイトを踏み台にして不正にアクセスされたサイト又は自組織のサイトに不正にアクセスしてきたサイトに対して,事実の報告と対応の依頼を行うこと。
(7)  要因の特定
 ホストに対して不正にアクセスが行われた時間的順序を明らかにし,不正なアクセスの経路を特定すること。さらに,その経路から,不正なアクセスを許すきっかけになった要因を特定すること。
(8)  システムの復旧
 システムが改ざんや破壊などの被害を受けた場合,又はそのような被害を受けていないという確証が得られない場合には,バックアップによるシステムの復旧又は初期インストール用のメディアによるクリーンインストールを実施すること。
(9)  再発防止策の実施
 システムを事件発生前の状態に戻しただけでは,同じ事件が再発する可能性があるので,上記(7)で特定された要因を除去するための措置を講じること。
(10)  監視体制の強化
 不正にアクセスを受けた場合には,同じ手口による不正なアクセスが再発する可能性が高いので,当面の間,そのようなアクセスに対する監視体制を強化すること。
(11)  作業記録と作業結果の報告
 上記(1)〜(10)の一連の作業記録を確実に保管し,作業結果を責任者に報告すること。
 
 B課長は,C主任から報告を受けるとすぐに,新システムに関する事件発生時の全サーバ,ルータ及びFWを対象にした対応手順を,図5を参考にして検討するようC主任に指示した。図6に,事件発生時の対応手順の検討結果を示す。
 
図6 事件発生時の対応手順の検討結果
(1)  責任者及び担当者への連絡(省略)
(2)  事実の確認
〔1〕  バリアセグメント上の全サーバ及びFWに関するログを調査し,不審なアクセスの記録について,アクセスの内容の確認を行う。
〔2〕  社内LAN上の全サーバについてログを調査し,上記〔1〕と同様の確認を行う。
〔3〕  社外向け及び社内向けの全サービスについて,異常の有無を確認する。異常があった場合には,その状況の調査を行う。
(3)  システムの利用状況の記録とハードディスクの内容の保存
〔1〕  全サーバ及びFWについて,ユーザのログインの状況,ネットワーク接続の状況及びプロセスの稼働状況を記録する。
〔2〕  全サーバ及びFWについて,“tar”コマンドを用いてハードディスク内にある全ファイルのバックアップを採取し,保存する。
(4)  ネットワーク接続の遮断又はシステムの停止(省略)
(5)  影響範囲の特定(省略)
(6)  関係サイトへの連絡(省略)
(7)  要因の特定(省略)
(8)  システムの復旧
〔1〕  保存されている最新のバックアップを用いて,システムの復旧を行う。
〔2〕  バックアップ採取時点から後の更新内容を,できる限り反映させる。
(9)  再発防止策の実施
〔1〕  上記(7)で特定された要因を除去するために,不正にアクセスを受けたサーバに対して,設定ファイルの更新や修正パッチの適用などを実施する。
〔2〕  同じ手口による不正なアクセスが実行できないことを確認する。
(10)  監視体制の強化(省略)
(以下省略)
 
 C主任は,B課長に図6の検討結果を報告して判断を仰いだ。B課長は,C主任が作成した〔2〕図6の対応手順を見て,二つの重大な技術上の問題点を指摘した。C主任は,B課長の指摘を受けて対応手順を修正し,直ちにその対応手順に従って対策を開始した。
 翌日になり,Webサーバが復旧したところで,B課長が事件の経過を担当役員を通じて取締役会に報告したところ,情報セキュリティ対策に関する対応の不備について厳しい指摘を受けた。また,取締役会では,社長を委員長とする情報セキュリティ委員会を直ちに設置して,情報セキュリティポリシの策定をはじめ,総合的なセキュリティ対策を推進することが決議された。
 
  
設問1 本文中の[ a ]〜[ e ]に入れる適切な字句を解答群の中から選び,記号で答えよ。
 
解答群
ア URLフィルタリング イ 暗号化 ウ エスケープ
エ 機密情報の漏えい オ コマンドの実行 カ サービスの妨害
キ メール中継 ク メタキャラクタ ケ レイティング
 
設問1の正解例へ
 
設問2 本文中の下線〔1〕で実施した処置は,重大な誤りであった。そのため,A社が本来実施すべきであった対応を実施できない可能性がある。図6中の(5)に沿って,A社が本来実施すべきであったのはどのような対応か。A社の状況を踏まえて,80字以内で具体的に述べよ。
 
設問2の正解例へ
 
設問3 B課長が本文中の下線〔2〕で指摘した二つの重大な技術上の問題点を,図6中から選び,それぞれ番号で答えよ。また,それらの問題点を回避するために実施すべき対応を,問題点の内容も含めて,それぞれ80字以内で述べよ。
 
設問3の正解例へ
 
設問4 図4に示した状況調査の結果だけでは,事件の影響範囲を特定し,再発を防止するには不十分であった。X社のサイト管理者からメールを受け取った時点で,更に調査の対象とすべきであった新システムの構成要素を,SYSLOGサーバ以外に二つ挙げ,図1中の字句を用いてそれぞれ答えよ。また,それらに対する調査の内容を三つ挙げ,図6中の字句を用いて,それぞれ15字以内で述べよ。
 
設問4の正解例へ
 
設問5 事件発生時のB課長の行動や判断には,情報セキュリティマネジメントを実施する上で問題がある。あなたがA社の担当役員から依頼を受けた情報セキュリティスペシャリストであるとしたら,どのような点を助言するか。重大と思われる問題を二つ挙げ,B課長が本来実施すべきであった対応も含めて,それぞれ70字以内で述べよ。
 
設問5の正解例へ
 
メニューへ戻る