マルウェア感染経路を考慮したサーバ設置位置検討【情報処理安全確保支援士試験 平成30年度 春期 午後1 問3 設問3】

情報処理安全確保支援士試験 平成30年度 春期 午後1 問3 設問3

問3 LAN分離に関する次の記述を読んで、設問1〜4に答えよ。

(略)

f:id:aolaniengineer:20200331140320p:plain

(略)

f:id:aolaniengineer:20200401044125p:plain

(略)

 LAN分離を進めると、研究開発PC及び研究開発用ファイルサーバは更新ファイルの提供を受けられなくなるので、新しい仕組みが必要になる。Rさんは、更新ファイル提供サービスと同じ動作をするパッチ配信兼マルウェア対策管理サーバ(以下、配信サーバという)を用意することにした。

 図3、表3及び図4を見たA氏は、幾つかのシナリオを仮定して図3のLAN構成で想定されるマルウェア感染被害について表4のとおり評価した。表5に、各OSを利用している機器を示す。

f:id:aolaniengineer:20200401045350p:plain

f:id:aolaniengineer:20200401045415p:plain

 この結果から、図3のLAN分離案は研究開発LAN内の新薬ファイルの漏えい防止に有効だとの結論を得て、B取締役は社内ネットワークの変更を進めることにした。

 さらに、表4の項番3について、マルウェアの感染が広がることを防ぐために、Rさんは配信サーバの設置位置を、表6を用いて検討した。検討の際に、FW1とFW2の設定は必要最小限の通信だけを許可するものとした。

f:id:aolaniengineer:20200401134530p:plain

 検討の結果、RさんはB取締役に配信サーバの適切な設置位置を提案して、社内ネットワークを変更した。
【出典:情報処理安全確保支援士試験 平成30年度 春期 午後1問3(一部、加工あり)】

h:高い、i:通信経路上に感染活動を遮断する機器が存在しないから

配信サーバの設置位置が研究開発LANで、感染経路が「研究開発PCから配信サーバへ」の場合を考えるものです。

研究開発PCと配信サーバが同じLAN上にあることで、FWのようなLAN間でパケットを遮断する機器が存在しないため、ファイル共有プロトコルを悪用したマルウェアγに感染する可能性が高いと考えられます。

少し深く考え、研究開発LANはインターネットと通信しないため研究開発PCがマルウェア感染する可能性が低いことや、表4の記載にある「更新ファイルの提供に使用するプロトコルは、ファイル共有プロコトルではない」というコメントに惑わされそうです。

 セキュリティの検討においては、マルウェア感染の可能性が低いことを前提にするのではなく、マルウェア感染が起き得ることを前提に対策を考えることが必要です。

 表6の記載例(感染経路:事務PCから配信サーバへ)に倣って、素直に考えれば良さそうです。

j:低い、k:FW2によって感染活動を遮断できるから

配信サーバの設置位置が中間LANで、感染経路が「研究開発PCから配信サーバへ」の場合を考えるものです。

研究開発LANと中間LANはFW2を経由して通信することになり、FW2で必要最小限の通信のみ許可することで、ファイル共有プロトコルを悪用した感染活動を遮断出来そうです。