平成21年秋 情報セキュリティスペシャリスト試験(SC) 午後Ⅱ 問1 解説
問1
問題:2009h21a_sc_pm2_qs.pdf (ipa.go.jp)
解答:2009h21a_sc_pm2_ans.pdf (ipa.go.jp)
設問1
a 認証アサーション b サインオフ c リダイレクト
10ページに「利用者が個別にサインオン~」という文言があるので、bは対義として「サインオフ」(オン⇔オフ)となる。※ログアウト等は相応しくない。
設問2
(1) 業務システムごとに拡張属性を定義して使用しており、スキーマが異なるから(35/40文字)
LDAP(Lightweight Directory Access Protocol)エルダップ
ユーザーやコンピュータの情報を集中管理する「ディレクトリサービス」にアクセスするためのプロトコル。スキーマ
構造。
LDAPを使用する業務システムで、 ディレクトリを容易に統合できない理由を答える。
拡張属性は、統合時に複数定義しなおすことで問題ないように見える。
しかし問題文に「容易に統合できない」とあるので、この拡張属性を複数定義することが「容易ではない」と判断できる。
(2) 退職や異動で権限がなくなったはずの者が業務システムにアクセスできてしまう(36/40文字)
設問3
(1) 業務対象:顧客情報、業務操作:閲覧
(2)
分離すべき理由:発注起案書申請と発注起案書承認が同一人物によって行われ、架空発注などの不正を発見できないおそれがあるから(52/60文字)
分離後:
内部統制上の問題を答える。
アクセス権付与の原則
発注起案書処理機能には、申請と承認がある。
同一人物が申請と承認をどちらも行うことが操作上可能であるため、不正や過失が発生する可能性がある。
(3)
① 職掌変更などで役職に対する役割に変更が発生した場合に、容易に対応できるから(37/45文字)
職掌…担当の職務。
問題文中に「組織変更や職掌変更などに伴うアクセス権付与管理を~」とある。
ロールベースのアクセスでは権限を柔軟に変更することが可能であり、ロール3つで権限分離されている案4が相応しい。
② 申請と承認のような分類されるべき責務が、同じ権限として定義されていないから(37/45文字)
案1と案2は、作成と承認・申請と承認が、同じロールで定義されているため相応しくない。
アクセスコントロールの種類
- ロールベースアクセス制御 ※RBAC(Roll-Based Access Control)
権限をロール(役割)別に付与し、利用者を適宜マッチングさせる。
柔軟に権限を変更することが可能。
(4)
追加される管理項目:ロールに関する情報(9/10文字)
運用見直しの内容:人事部あるいは管理者によって、従業者の所属組織や職掌の変更の都度、遅滞なく、情報を更新する(45/50文字)
ロールベースのアクセス制御を行うため、ロール情報の追加が必要。
問題文中に「組織変更や職掌変更などに伴うアクセス権付与管理を~」とあるので、「組織変更」「職掌変更」で情報更新をする必要がある。
設問4
①認証方式をアプリ認証方式からプロキシ認証方式に変更する(27/40文字)
②認可ロジックをロールベースのアクセス制御に対応した実装にする(30/40文字)
SSO対応以外で、営業管理システムに必要な改修内容を2点挙げる。
11ページに下記の記載あり。
- アプリ認証方式は、プログラムの構造をかなり変更する必要がある。
- プロキシ認証方式は、容易に移行が可能。(Webサーバの接続先をSSOサーバに変えるだけ)
4ページの表より、営業管理システムはアプリ認証方式なので、プロキシ認証に変更する必要がある。
12ページに下記の記載あり。
- ロール定義を認証・認可情報リポジトリで一元管理する。
ロールベースのアクセス制御を行うことになったため、アクセス制御の方式を変える必要がある。
平成25年春 情報セキュリティスペシャリスト試験(SC) 午後Ⅰ 問2 解説
問2
問題:2013h25h_sc_pm1_qs.pdf (ipa.go.jp)
解答:2013h25h_sc_pm1_ans.pdf (ipa.go.jp)
スイッチ
設問1
(1) a UDP b 3way c DNSSEC
TCP・UDP
レイヤー3のIPプロトコルで通信相手までたどり着き、TCP/UDPで利用するサービスを決定する。
DNS(Domain Name System)サーバ
ドメイン(FQDN)とIPアドレスの対応関係を管理し、ドメイン名からIPアドレスを参照する。
DNSキャッシュポイズニング
キャッシュDNSサーバに不正な情報を送り込み、本来とは異なるWebサーバへ誘導させる攻撃。
DNSSEC(DNS Security Extentions)※Extentions:拡張機能
DNSのセキュリティを強化するための拡張仕様。
権威DNSサーバで保存しているDNSレコードに、ディジタル署名を施すことによって、真正性を証明する。
(2) 問い合わせPTの送信元ポート番号をランダムに変えること(27/30文字)
ソースポートランダマイゼーション(UDPポート番号のランダム化)
キャッシュDNSサーバでは、権威DNSサーバに問い合わせるたびに、ランダムなポート番号などを保持しておき、正しい応答かを判断している。
このとき、ポート番号が53固定にしていると、攻撃が成功しやすくなるので、ランダム化して推測し難くする。
本問題では、C-DNSサーバでランダム化設定がされており、外部からのCP攻撃を弾きやすくなっている。
代表的なプロトコルとポート番号
TCP 22:SSH
TCP 23:Telnet
TCP 25:SMTP
UDP 53:DNS
TCP 80:HTTP
TCP 443:HTTPS
(3) 送信元が外部メールサーバの場合、再帰的な名前解決を許可する必要があるから(36/40文字)
メールサーバ
- 内部メールサーバ
社外へのメール送信を、外部メールサーバへ中継する。- 外部メールサーバ
内部メールサーバから中継されたメールを、社外のネットワークへ中継する。
社外から受信したメールを、内部メールサーバへ中継する。
「送信元が外部メールサーバで、宛先がC-DNSサーバで、FW-Aが通過を許可した問合せPT」が許可されている理由を答える。
A社がインターネット接続システム(Xシステム)を導入しているのは、電子メールの利用などのためである。
表1より、C-DNSサーバにはリゾルバ機能(DNSサーバに名前解決を依頼するプログラム)とDNSキャッシュ機能がある。
送信元が外部メールサーバの場合、インターネットへメールを中継する際に、リゾルバがキャッシュDNSサーバに再帰問合せを行ってドメインの名前解決をする必要がある。
(4) (d)、(e)、(f)
物理的にFW-AのIF-1へ届かない送信元を拒否しておく。
(d)DMZ1、(e)DMZ2、(f)内部ネットワークは物理的に届かないので拒否する。
元々の設定に、「(e)DMZ2」が不足していた。
(5) G社のドメイン名になりすましたメールを外部メールサーバへ送信すること(34/40文字)
TXTレコード
権威DNSサーバが保持するゾーンファイルのコメント行のこと。コメントの使い方として「SPF(Sender Policy Framework)レコード」がある。
SPFレコードには送信元メールサーバの情報が書かれており、「メールアドレスに対応する送信元メールサーバ」が分かる。
よって、送信元メールサーバ以外から送信されてきた場合は不正と判断できる。
図2
- 攻撃者が送信元を外部メールサーバに偽装し、C-DNSサーバへ「G社ドメイン名のTXTレコード問合せPT」を送信、到達。
- 攻撃者が送信元をG社DNSサーバに偽装し、C-DNSサーバへ応答PTを100個送信、全て拒否。
・FW-Aがステートフルパケットフィルタリング型FWなので、「過去に通過したパケットの応答ではない」と判断し、通過拒否している。(ので、助かった!)
・C-DNSサーバでは、権威DNS-Bサーバへ問合せする際、ランダムなポート番号を割り当て、戻りポート番号が一致するかチェックしている。
→偽装応答PTのポート番号が連番100個。もし、FW-Aが拒否していなければヒットする可能性がある!
・G社ドメイン名のTXTレコード内SPFレコード内のIPアドレスを不正書き換えしようとしている!
図2(2)の攻撃の後に行われる「TXTレコードを利用する機能への攻撃」を答える。
図2(3)より、キャッシュDNSサーバであるC-DNSサーバには、「G社ドメイン名のTXTレコード」が保存されている。
(2)の攻撃が成功した場合、G社ドメイン名のTXTレコード内SPFレコード内のIPアドレス(G社がメールを送信するサーバのIPアドレス)が書き換わる。
SPFレコードは「メールアドレスに対応する送信元メールサーバ」を判断するために使用される。よって、「G社のメールサーバから送信されたメール」を偽装することができる。
そのため、A社が受ける攻撃としては「G社ドメイン名に成りすましたメールが、A社の外部メールサーバに送られること」になる。
設問2
(1) FW-1経由で届く支社プロキシサーバのからの正規の問合せPTと、詐称された問合せPTとを識別できないから(52/60文字)
FW-Aの装備
- IPアドレス詐称対策機能
IPアドレス詐称=IPスプーフィング(spoofing:なりすまし)
FWで送信元IPアドレスをチェックし、本来送られてくるはずがないパケットは、偽装IPと見なして破棄する。
例えば、攻撃者が外部から、発信元IPアドレスを内部アドレスに偽装して内部PCへ攻撃したとする。
このとき、FWが「発信元IPアドレスが内部IPアドレスだから、内部PCがアクセスした」と判断して通信を許可すると、攻撃が成功してしまう。
FWはここで「外部から内部へアクセスするのに、発信元が内部IPアドレスなのはおかしい」と気付く必要がある。
そのため、FWは「外部から入るパケットの送信元IPアドレスが自ネットワークのものであればそのパケットを破棄する。」ようにする。
- パケットフィルタリング機能
パケットのヘッダ部分の情報(送信元/宛先IPアドレス、送信元/宛先ポート番号、通信の方向)を元に装置を通過するパケットを検査し、
許可されたパケットのみを通過させる機能。
DNSサーバに対するセキュリティとして、「オープンリゾルバの禁止」がある。
オープンリゾルバ=インターネットからの再帰問合せに対して応答するキャッシュDNSサーバを禁止する。
権威DNSサーバ
外部からの問合せに回答しないといけないので、インターネットからのアクセスは許容する必要がある。
キャッシュ機能を持たせると攻撃対象になってしまうので、キャッシュ機能は持たない。あくまでもドメイン名とIPアドレスを対応付ける各種レコード(ゾーンファイル)を保持しているだけ。
キャッシュDNSサーバ
ゾーンファイルは持たず、キャッシュするだけ。
こっちはアクセスコントロールをしてインターネット等の外部からアクセスできないようにする。
支社プロキシサーバからの正規問合せPTは、B社サービスを経由してFW-AのIF-1に到達する。が、インターネットからの詐称問合せPTも同じくFW-AのIF-1に到達するため、両者の区別がつかない。
(2) リゾルバ機能およびDNSキャッシュ機能(16/20文字)
この機能追加によって、支社プロキシサーバとC-DNSサーバ間の通信が不要になる。
つまり、支社とDNS-Bサーバが直接やりとりする形になる。
ということは、C-DNSサーバと同じ機能を支社に持たせればよい。
平成19年春 テクニカルエンジニア(情報セキュリティ)試験(SV) 午後Ⅰ 問2 解説
問2
問題:2007h19h_sv_pm1_qs.pdf (ipa.go.jp)
回答:2007h19h_sv_pm1_ans.pdf (ipa.go.jp)
設問1
(1)
a 任意 または 社内LAN
b 任意
Windowsで利用されるポート番号の135,137~139,445は、原則双方向禁止にすることを検討する。
Windowsのセキュリティホールを悪用したウイルスなどによって狙われやすいポートだからである。
(2) c 拒否
各アクセスは必要最小限にしておき、その他すべての通信を禁止とするのが原則。
設問2
(1) d SSH
代表的なプロトコルとポート番号
TCP 22:SSH
TCP 23:Telnet
TCP 25:SMTP
UDP 53:DNS
TCP 80:HTTP
TCP 443:HTTPS
(2) パスワードが平文で送信されるから(16/20文字)
telnet:通信内容が暗号化されない。
SSH:通信内容が暗号化される。
→telnetは安全ではないため、SSHを使用するのが望ましい。
(3) DMZ上のサーバを踏み台にして、社内LANにアクセスする攻撃(30/40文字)
ルール8「DMZ→社内LAN/任意ポート番号/許可」
⑧インターネットから社内LANに不正にアクセスされるおそれ
について、どのような攻撃を想定しているかを解答する。
DMZ→社内LANへのアクセスを許可しているので、
インターネットからDMZを踏み台にし、外部から社内ネットワークに侵入する攻撃が想定される。
設問3
(1) e 統計
不正アクセスを検知する仕組み
- シグネチャ型
不正アクセスの攻撃パターンをデータベース化しておき、登録されたアクセスパターンと比較して正常なアクセスかを判断する。
既知の不正アクセスに強いが、未登録の不正アクセスパターンは検知できない。 - アノマリ型
正常アクセスのパターンを登録しておき、正常動作から離れた動きをするものを異常として検知する。分析によって統計的に異常パターンを検知する。
未知の異常にも対応できるが、検知の仕方によっては誤検知が多くなる。
(2)
⑤ 正常なものまでも攻撃として検知してしまうエラー(23/30文字)
⑥ 検知すべき攻撃を検知できないエラー(17/30文字)
(3)
・パケットのヘッダ情報だけで攻撃か否かを判断しているから(27/30文字)
・ペイロードの内容を見ていないから(16/30文字)
③FWのフィルタリングルールの設定だけでは、Webサーバに対するバッファオーバーフロー攻撃などを防御できません。
この理由を答える。
パケットフィルタリング型は、通信パケットのヘッダを確認してフィルタリングする。
ヘッダ情報は、送信先IPアドレス・ポート番号、送信元IPアドレス・ポート番号、プロトコルなどで構成されている。
バッファオーバーフロー攻撃やウイルス付きEメールは、パケットのデータ部に特徴があるため、ヘッダ情報だけでは判別できない。
※ステートフルインスペクション機能であれば、パケットのヘッダ情報とデータ部を検査するため、上記攻撃を検知することができる。
(4) 攻撃を発見してから防御手段が有効となるまでの間に通過したパケットによる攻撃が、成功する場合があるから(50/60文字)
採点講評
設問3(4)では、IDSがFWと連携する機能として、TCPのリセットパケットの送出やFWのフィルタリングルールの動的な追加などに気付いてほしかった。FWとの連携における問題点ではなく、IDSやFW単独の問題点を指摘した誤った解答も見受けられた。
また、単に”タイムラグがある”というだけではなく、タイムラグがあることによってどのようなリスクが発生するのか、まで解答に含めてほしかった。
IDS(侵入検知システム)は検知するだけ。
検知すると、ログに記録したり管理者にメールを発信したりする。
「IDSとFWの連携」とは、「IDSが検知した後にFWと連携し、後続のパケットを遮断する」などの方法があるが、検知した時点のパケットは通過してしまっているので、そこで被害が発生している可能性はある。
用語まとめ
こういうのまとめて使いやすくしたい…
※名称、正式名称、同義語、意味、同じカテゴリの別用語、など
--------------------------------------------------------------------------------------
オンプレミス(on-premises)
自社運用形態。自社の中で各種サーバーや通信回線、付随するサービスなどを揃えて運用すること。物理サーバ等の導入でイニシャルコストがかかる。
premise〔~s;複数扱い〕:会社などの建物と敷地。
導入コスト、初期コスト(=イニシャルコスト):初期導入のための費用。
運用コスト(=ランニングコスト):運用のための維持費。
パッケージ
パッケージ型のソフトウェアをインストールして使用する。インストール作業とバージョンアップ時の更新作業が必要。
クラウド
外部委託(アウトソーシング)形態。ネットワーク経由で接続できるサービス。Gmailなどのウェブメール、Twitter、Skype、Googleカレンダーなど。
イニシャルコスト無しですぐに利用開始できるが、長期で見るとランニングコストが割高になる場合もある。
--------------------------------------------------------------------------------------
SaaS
Software as a Service(=サービスとしてのソフトウェア)の略。
XaaS(X as a Service):下記サービスの総称
- SaaS(Software as a Service):ソフトウェアの機能性を提供する。
- IaaS(Infrastructure as a Service):ITインフラをサービスとして提供する。
- PaaS(Platform as a Service):ソフトウェアの起動・開発プラットフォームを提供する。
- DaaS(Desktop as a Service):デスクトップを提供する。
--------------------------------------------------------------------------------------
ASP(Application Service Provider)
インターネット経由でアプリケーションの機能を提供する事業者。
提供されるサービスそのもののこと。
クラウドサービスの一種として、SaaSやASPが提供されている。
※SaaSはソフトウェア、ASPは提供事業者やサービス全体のこと。
--------------------------------------------------------------------------------------
アーキテクチャ
構造、構成。
スケーラブル(scalable)
スケーラビリティ(scalability)が拡張性、拡張可能性。
スケーラビリティが高いことを「スケーラブルな」と表現する。
リラン(rerun)
再実行。最初から再び実行すること。
リトライ(retry)
再試行。再び実行すること。
※最初からやり直すとは限らない。失敗した処理限定で再実行するのもリトライ。
デプロイ(deploy)
開発したプログラムを利用できる状態にすること。
実行ファイルを動かしたい環境(サーバなど)に置き、実行すること。
SIer(エスアイアー/エスアイヤー)
=システムインテグレーター(System Integrator)。
システムインテグレーション(SI)を行う業者のこと。
SI(システムインテグレーション)は、システム構築などのSEの仕事のこと。
インテグレーション(integration)とは、統合、統一、融合、一体化…などのこと。
SIは企業、SEは個人。
デベロップメント
開発。
セキュア(secure)
安全な。
名詞形はセキュリティ(security)。
--------------------------------------------------------------------------------------
…羅列し始めたらきりがないので、別途まとめておいてチャットボットとか作ってみるか?
Office 365 …じゃなくてMicrosoft 365
サブスクリプション(サブスク):商品ごとに購入金額を支払うのではなく、一定期間の利用権として料金を支払う方式。
Microsoft 365はユーザーサブスクリプション(ユーザー1人に1ライセンスが必要なライセンス)。1法人1ユーザーではない。
ユーザー毎に所有するPC等に5台までインストール可能。
時短アイデア
excel
ホーム > アイデアで勝手にexcelが色々傾向分析してくれる。
パワポ
ホーム > デザインアイデアで、デザインを複数提案してくれる。
- 写真、文字のみ、時系列それぞれで最適デザインを提案してくれる。
- 「ストック画像」はロイヤリティフリーの画像が選べる。
スライドショー > キャプション字幕 > 字幕の設定で、話し手と字幕の言語を設定すると、音声が自動で字幕表示される。
話し手日本語→字幕英語の変換も可能。
モバイル
- カメラで撮った文書画像をwordに変換する。
- スマホからサイン(手書き署名)。
諸々資料を無償提供してもらえるの有り難し。