【情報処理安全確保支援士試験 令和6年度 春期 午後 問2 設問4】サイバー攻撃対策-DDoS攻撃に対する具体的対策
今回は、【設問4】DDoS攻撃に対する具体的対策をテーマに、解答へのプロセスを詳しく解説していきます。これまでの設問ではVPNの認証強化やステルス化といった対策を検討してきましたが、設問4ではより大規模なDDoS攻撃からサービス全体を守るための、包括的なアプローチが問われます。
【出題趣旨】にもある通り、この問題は「DDoS攻撃に対するセキュリティ対策を設計、構築する能力」を問う、まさに実践的な内容です。最後まで気を抜かずに、一緒にゴールを目指しましょう!
情報処理安全確保支援士試験 令和6年度 春期 午後 問2
【出典:情報処理安全確保支援士試験 令和6年度 春期 午後 問2(一部、加工あり)】
[DDoS攻撃に対する具体的対策の検討]
T主任は、表4の項番3以外に対する具体的対策の検討に着手した。
まず、通信回線については、DDoS攻撃で大量のトラフィックが発生すると、使えなくなる。これについては、通信回線の帯域を大きくするという方法のほか、⑤外部のサービスを利用するという方法があることが分かった。
次に、サーバへの影響は、これまでに検討したUTMのIPS機能とWAF機能を有効化することで軽減できることが分かっている。加えて、取引先向けWebサーバについては、次の対応によって、⑥更にDDoS攻撃の影響を軽減できることが分かった。
- 取引先には、H社との取引専用のPC(以下、取引専用PCという)を貸与する。取引専用PCには、Sソフトを導入する。
- 取引専用PCごとのIDと秘密情報を、S-APPLと取引専用PCそれぞれに設定する。
- S-APPLに、取引専用PCがVPN確立後にアクセス可能なサーバとして、取引先向けWebサーバだけを設定する。
- UTMのファイアウォール機能で、インターネットから取引先向けWebサーバへの通信を拒否するように設定する。
その後、H社では、S-APPLの導入、UTMの設定変更、DNSサーバの変更などを行い、新たな運用を開始した。
まずは問題の状況を整理しよう!【本文要約】
設問4を解くために、H社が最終的にどのようなDDoS対策を講じようとしているのか、その計画を整理します。
- 課題① 通信回線の逼迫: DDoS攻撃による大量のトラフィックで自社の回線が使えなくなることへの対策が必要です。帯域増強以外の方法として、T主任は「外部のサービスを利用する」という方法を見つけました 。
- 課題② サーバへの影響: サーバ自体への負荷を軽減するため、UTMのIPS/WAF機能の有効化に加え、「取引先向けWebサーバ」についてはさらに踏み込んだ対策を講じます 。
- 具体的な追加対策:
- 取引先には、SPA機能を持つSソフトを導入した「取引専用PC」を貸与します 。
- S-APPL(新しいVPNゲートウェイ)で、取引専用PCがアクセスできるのは「取引先向けWebサーバ」のみに制限します 。
- UTMのファイアウォール設定を変更し、インターネットから取引先向けWebサーバへの直接通信をすべて拒否するようにします 。
この「取引先向けWebサーバへのアクセス経路を根本から変える」という点が、設問4を解く上での最大の鍵となります。
【設問4 (1)】自社を守る「外部サービス」とは?
(1) 本文中の下線⑤について、利用する外部のサービスを、20字以内で具体的に答えよ。
(下線⑤: 外部のサービスを利用するという方法があることが分かった。)
考え方のポイント
DDoS攻撃の脅威は、その圧倒的な物量です。自社のインターネット回線の帯域(例えば1Gbps)をはるかに超える攻撃(例えば100Gbps)が来た場合、自社の機器に届く前段階で回線がパンクしてしまいます。自社で回線帯域を増強し続けるのは、コスト的にも現実的ではありません。
そこで登場するのが、巨大なインフラを持つ専門事業者のサービスを利用するという考え方です。自社に攻撃トラフィックが到達する前に、これらのサービスが盾となって攻撃を受け止め、正常な通信だけを自社に届けてくれます。このプロセスはスクラビング(洗浄)とも呼ばれます。
このような機能を提供する代表的な外部サービスには、以下のようなものがあります。
- DDoS対策機能を持つCDN (Content Delivery Network): 世界中に分散配置されたキャッシュサーバでコンテンツを配信するCDNは、その広帯域なネットワークを活かしてDDoS攻撃を吸収・分散させる機能を提供していることが多いです。Webサーバの防御に特に有効です。
- クラウド型WAF / クラウド型ファイアウォール: DNSの向き先をこれらのクラウドサービスに向けることで、自社にトラフィックが届く前にクラウド上で攻撃をフィルタリングしてくれます。
- ISPが提供するDDoS防御サービス: 契約しているインターネットサービスプロバイダ(ISP)が提供するオプションサービスです。ISPのネットワークの上流で異常なトラフィックを検知し、遮断してくれます。
解答への道筋
これらのサービスの中から、いずれかを20字以内で具体的に記述すれば正解となります。複数の選択肢が考えられる問題ですね。
【解答例】
・DDoS対策機能を有するCDNサービス
・クラウド型ファイアウォールサービス
・ISPが提供するDDoS防御サービス
【設問4 (2)】なぜWebサーバへのDDoS攻撃はさらに軽減されるのか?
(2) 本文中の下線⑥について、軽減できる理由を、40字以内で答えよ。
(下線⑥: 更にDDoS攻撃の影響を軽減できることが分かった。)
考え方のポイント
この問題の核心は、「取引先向けWebサーバ」のアーキテクチャが根本的に変更されたことを理解できるかどうかにあります。
【対策前】 取引先向けWebサーバは、インターネットに公開されており、不特定多数からのアクセスを受け付ける状態でした(もちろん、ログイン認証はありますが)。そのため、DDoS攻撃の格好の標的でした。 攻撃元 (インターネット) → UTM → 取引先向けWebサーバ
【対策後】 本文に書かれた一連の対策により、状況は一変しました。
- 正規の利用者は、Sソフトが入った「取引専用PC」からしかアクセスできなくなりました 。
- このアクセスは、S-APPLを介したVPN接続が必須となりました 。
- そして決定的なのが、「UTMのファイアウォール機能で、インターネットから取引先向けWebサーバへの通信を拒否するように設定」したことです 。
この結果、取引先向けWebサーバは、もはやインターネットから直接アクセスできるサーバではなくなりました。 いわば、VPNという鍵のかかった部屋の中に隠された状態です。
DDoS攻撃で使われるボットネットなどの不特定多数の攻撃元からの通信は、すべてUTMのファイアウォールによって入口で遮断されます。サーバに到達できるのは、S-APPLで正規のVPN接続を確立した「取引専用PC」からの通信のみです。
これにより、Webサーバに対するDDoS攻撃は劇的に軽減されるのです。
解答への道筋
この「アクセス経路がVPN経由に限定され、インターネットからの直接アクセスが不可能になった」という理由を、40字以内で簡潔に説明します。
【解答例】
・取引専用PC以外からの通信は取引先向けWebサーバに到達しないから
・UTMの設定変更によって、ボットネットからの通信が遮断されるから
・UTMの設定変更に伴って、外部からの接続対象サーバでは無くなったから
どの解答例も、「サーバがインターネットから隔離され、限定された通信しか受け付けなくなった」という本質を的確に表現していますね。
まとめ
令和6年度 春期 午後 問2の解説、お疲れ様でした! 最後の設問4では、DDoS攻撃という大きな脅威に対し、外部サービスの活用や、システムのアーキテクチャそのものを見直すといった、多角的で具体的な対策が問われました。
- (1) 外部サービスの活用: 自社だけでは対応しきれない大規模な攻撃には、専門家の力を借りるという視点。
- (2) アーキテクチャによる防御: そもそも攻撃の対象とならないように、サーバをインターネットから隔離し、アクセス経路を厳格に制御するという設計思想。
この問題全体を通じて、リモートワーク環境におけるVPNの認証強化、ステルス化、そしてサービス全体を守るDDoS対策という、現代のセキュリティエンジニアに必須の知識が網羅されていました。一つ一つの技術を理解するだけでなく、それらを組み合わせてシステム全体のセキュリティレベルを向上させる設計能力が求められていることが、ひしひしと伝わってきます。
この記事が、皆さんの合格への道のりを少しでも照らすことができれば幸いです。これからも自信を持って学習を進めていってください。応援しています!
