テクニカルエンジニア(情報セキュリティ)平成19年度試験問題(午後1問2)
問2 ネットワークのセキュリティに関する次の記述を読んで,設問1〜3に答えよ。
B社は,顧客のネットワークやシステムの構築を主要業務とするシステム開発会社である。今回,顧客であるC社から,オフィスの移転を機にDMZを含むネットワークの再構築を依頼された。C社は,従業員数200名の経営コンサルタント会社である。コストを抑えるために既存のサーバ類は移設するが,ファイアウォール(FW)は更新し,ネットワーク型の侵入検知システム(IDS)又は侵入防止システム(IPS)を新規に導入する計画である。B社のシステム開発部では,J主任をリーダとしてプロジェクトチームを編成し,C社のネットワーク再構築を進めることにした。プロジェクトチームでは,メンバのK君がFWのフィルタリングルールの設計と,IDS又はIPSの導入の検討を行うことになった。
〔FWのフィルタリングルールの設計〕
C社のネットワークについては,図に示す構成で設計を進めている。
K君はFWのフィルタリングルールの設計案を作成した段階で,セキュリティに詳しいJ主任に意見を求めた。
| K君 | :C社のFWには,パケットフィルタリング方式を採用する方針です。フィルタリングルールの設計案は表1に示すとおりですが,この案について,セキュリティ面で何か問題があるでしょうか。 |
| J主任 | :表1のルール10は,セキュリティに配慮した定石どおりの設定になっているし,ルール1は,社内外へのウイルス感染を防止するために設定していることは分かる。しかし,ルール7を設定した特別な理由はあるのか。 |
| K君 | :C社の要求事項に,“Webサーバの緊急対応用に,Web管理者の自宅からtelnetで接続できること”という項目があるので設定しました。 |
| J主任 | :telnetは,〔1〕パスワードを流出させるおそれがある。例えば,ポート番号が22の[ d ]などの安全なプロトコルに変更した方がよいと思うが。 |
| K君 | :分かりました。要求事項のこの項目については,telnetから[ d ]に変更すべきであることを,C社に提案します。 |
| J主任 | :それから,ルール8には,セキュリティ上の問題がある。このままでは,〔2〕インターネットから社内LANに不正にアクセスされるおそれがある。 |
| K君 | :分かりました。このルールを削除して,DMZから社内LANへのアクセスは最小限の運用にするよう,C社に提案します。 |
K君は,J主任の助言に従ってFWのフィルタリングルールを修正して,設計を完了し,続いてIDS又はIPSの導入の検討を実施した。
〔IDS又はIPSの導入〕
数日後,J主任はK君の検討結果を基に,IDS又はIPSの導入に関して,C社のL氏と打合せを行った。
: L氏: J主任:
| L氏 | :IDS又はIPSを導入する必要性について,説明してください。 |
| J主任 | :〔3〕FWのフィルタリングルールの設定だけでは,Webサーバに対するバッファオーバフロー攻撃などを防御できません。こうした攻撃への対策として,IDS又はIPSの導入や,サーバにセキュリティパッチを適用することが考えられます。しかし,御社では,セキュリティパッチ適用時のサーバの動作確認や,適用前のデータのバックアップ採取を行う必要があり,すぐにセキュリティパッチを適用することはできません。そこで,IDS又はIPSの導入をお勧めした次第です。 |
| L氏 | :分かりました。では,IDS,IPSには,どのような機種を選定したらよいでしょうか。 |
| J主任 | :IDS及びIPSの候補機種について比較した結果を,表2に示します。 |
| J主任 | :検知方式には,シグネチャ型とアノマリ型があり,シグネチャ型は,既知の攻撃パターンに基づく情報とマッチングすることによって攻撃を検知し,例えば,サーバの既知の脆弱性を突いた攻撃を防ぐことができます。一方,アノマリ型は,RFCのプロトコル仕様などと比較して異常なパケットや,トラフィックを分析して[ e ]的に異常なパケットを攻撃として検知します。 |
| L氏 | :では,サーバにセキュリティパッチを適用して既知の脆弱性をなくしておけば,シグネチャ型のIDSやIPSは不要なわけですね。 |
| J主任 | :いえ,そうでもありません。一部のDoS攻撃などについては,セキュリティパッチの適用では防御できませんが,シグネチャ型のIDS又はIPSで検知又は防御できる場合があるので,やはりIDS又はIPSを導入した方がよいでしょう。 |
| L氏 | :分かりました。それでは,そのほかに機種Pと機種Qの違いは何ですか。 |
| J主任 | :機種Qは,インライン接続で通信路上に挿入され検知した攻撃については防御することができるので,運用負荷が軽くなります。機種Pは,基本的には,通信をモニタリングし,攻撃を検知すると警告を発するだけです。機種Pにも,〔4〕FWとの連携によって攻撃を防御する機能がありますが,完全なものとは言えません。 |
| L氏 | :機種Qには問題点はないのですか。 |
| J主任 | :機種Qの場合は,処理能力が不足していると,それがボトルネックになり,通信のスループットが低下する可能性があります。しかし,御社の回線速度を考慮すると,機種Qの処理能力なら問題ありません。 |
| L氏 | :運用面で注意することはありますか。 |
| J主任 | :一般に,IDS及びIPSには,〔5〕フォールスポジティブや,〔6〕フォールスネガティブというエラーが存在します。IPSは,攻撃と判断した通信パケットを自動的に破棄するので,前者のエラーから受ける影響は,IDSよりも大きくなります。しかし,機種Qは,自動的な学習によって,これらのエラーを極力少なくする機能をもっています。 |
| L氏 | :それでは,価格は多少高いですが,運用負荷が軽いので,機種Qの導入を前提として具体的な案を作成してください。 |
B社は,C社に機種Qを含む再構築案を提出し,了承を得た。その後,C社のネットワーク再構築は順調に進み,運用を開始することができた。
設問1 表1中の[ a ]〜[ c ]について,(1),(2)に答えよ。
| (1) | ウイルス拡散を防ぐためには,[ a ],[ b ]をどのように設定すればよいか。それぞれ6字以内で答えよ。 |
| (2) | [ c ]に入れる適切な字句を,“許可”又は“拒否”のいずれかで答えよ。 |
設問1の解答例へ
設問2 〔FWのフィルタリングルールの設計〕について,(1)〜(3)に答えよ。
| (1) | 本文中の[ d ]に入れる適切な字句を,5字以内で答えよ。 |
| (2) | 本文中の下線〔1〕のおそれがある理由を,プロトコルの特徴に着目して,20字以内で述べよ。 |
| (3) | 本文中の下線〔2〕のおそれは,どのような攻撃を想定しているか。40字以内で述べよ。 |
設問2の解答例へ
設問3 〔IDS又はIPSの導入〕について,(1)〜(4)に答えよ。
| (1) | 本文中の[ e ]に入れる適切な字句を,3字以内で答えよ。 |
| (2) | 本文中の下線〔5〕,下線〔6〕とはどのようなエラーか。それぞれ30字以内で述べよ。 |
| (3) | 本文中の下線〔3〕について,FWのパケットフィルタリングルールだけでは攻撃を防御できない理由を,30字以内で述べよ。 |
| (4) | 本文中の下線〔4〕について,FWとの連携によって攻撃を防御する機能が完全でない理由を,60字以内で述べよ。 |
設問3の解答例へ
メニューへ戻る