情報セキュリティ対策の強化【情報処理安全確保支援士試験 平成30年度 春期 午後1 問2 設問2】
情報処理安全確保支援士試験 平成30年度 春期 午後1 問2 設問2
問2 情報セキュリティ対策の強化に関する次の記述を読んで、設問1〜3に答えよ。
(略)
(略)
(略)
(略)
〔サーバの設定の点検及び見直し〕
KさんはW氏の支援を受けて、表4に示すサーバの設定のチェックリストを作成した。
e:インターネット上のドメイン名についての名前解決
オープンリゾルバ(Open Resolver)とは、DNSサーバがインターネットからの問合せに応答するよう設定されている状態のことで、DNSリフレクション攻撃など、DNSサーバが攻撃者の踏み台として悪用される可能性があるため、好ましくない状態とされています。
表2にあるDNSサーバの機能概要に以下の記述があります。
- インターネット向けのT社ドメイン名を管理する機能がある。
- インターネット上のドメイン名の名前解決を行う機能がある。
- オープンリゾルバ防止機能がある。
3項のとおり、オープンリゾルバ防止機能は有効になっているものの、2項にあるようにT社内(DMZ上のサーバ)からのインターネット上のドメイン名の名前解決は可能にする必要があります。
これを可能にするには、2項で、DMZ上のサーバからのみインターネット上のドメイン名の名前解決を行えるとすることです。
表4に基づいて点検していたところ、プロキシサーバのポート制限機能に問題があることが分かった。次は、プロキシサーバのポート制限機能の利用方法に関するW氏とKさんの会話である。
W氏:プロキシサーバの設定をみると、CONNECTメソッドの悪用を防ぐ制限がなされていませんね。
Kさん:CONNECTメソッドを悪用すると、どういう問題が生じるのでしょうか。
W氏:図3に示すようにCONNECTメソッドを悪用してトンネルを確立させることで、Webメールサーバの機能を回避できます。そして、①この回避によっていくつかの問題が生じます。
Kさん:ポート制限機能に関する設計の見直しと設定変更案を作成します。
①について、回避によって生じる問題を二つ挙げ、それぞれ40字以内で具体的に述べよ。:インターネットへのメールの送信を許可されていない従業員が、送信できるという問題/送信者メールアドレスを詐称したメールを送信できるという問題/マルウェアのスキャンを行わずにメールを送信できるという問題
CONNECTメソッドは、プロキシサーバ経由でHTTPS通信を中継する際に利用されるものです。コネクション確立時に接続先のドメイン名またはIPアドレスを指定して、TCPトンネルを確立した後、そのTCPトンネル内で通信することが可能となります。
図3では「x1.y1.z1.4:25」とあり、外部メールサーバのSMTPのポートにトンネル接続をリクエストするものです。これにより、HTTPS通信で直接外部メールサーバとSMTP通信が可能となります。
本来、社内からのSMTP通信はWebメールサーバを介して外部メールサーバとやり取りされますので、外部メールサーバと直接SMTP通信が可能となるとWebメールサーバの機能が回避されてしまいます。
表1にあるWebメールサーバの機能で、SMTP通信に関して回避される機能は以下のとおりです。
- SMTP通信及びHTTP通信のマルウェアスキャンを行うマルウェアスキャン機能がある。
- 送信メールについて、送信者メールアドレスをメールアカウントに対応付ける送信者メールアドレス詐称防止機能がある。
- インターネットへの送信メールについて、送信者メールアドレスごとにインターネットへの送信の可否を設定できるインターネットメール送信制限機能がある。
KさんとW氏は、サーバの点検を続け、他に問題がないことを確認した。
【出典:情報処理安全確保支援士試験 平成30年度 春期 午後1問2(一部、加工あり)】