ログ管理ポリシ策定要件と通常時トラフィックの把握【情報処理安全確保支援士試験 平成30年度 秋期 午後2 問2 設問2】

情報処理安全確保支援士試験 平成30年度 秋期 午後2 問2 設問2

問2 セキュリティインシデントへの対応に関する次の記述を読んで、設問1〜5に答えよ。

(略)

 A社は、国内に本社を置き、海外に工場をもつ。A社のネットワーク構成を図2に示す。

f:id:aolaniengineer:20200501042742p:plain

(略)

f:id:aolaniengineer:20200501042813p:plain

(略)

f:id:aolaniengineer:20200501042841p:plain

(a:侵入検知、b:教育と意識向上)

(略)

【インシデント対応能力の向上への取組み】

 G部長は、図4の事項の具体化を、F氏の支援を受けながら進めることにした。

 インシデント対応ポリシの適用範囲は全社とした。非常時対応チームは、A社におけるインシデント対応のための組織横断チーム(以下、A-CSIRTという)として、再編成することにした。インシデント対応ポリシでは、A-CSIRT及び各部の役割、責任及び権限レベルを規定した。A-CSIRTは、従来の非常時対応チーム同様、各部の代表者で構成することにした。ただし、インシデントへの迅速な対応を可能にするため、各部で人選を見直し、更にシステム部所属のメンバを増やした。A-CSIRTのリーダはG部長が務めることにした。メンバのスキルを高めるため、定期的に勉強会を開催し、外部の研修などにも積極的に参加してもらう方針を立てた。

 ログについては、ログの管理に関する規定(以下、ログ管理ポリシという)を作成することにした。ログ管理ポリシの適用対象は、社内の全ての機器であり、システム部が管理する機器、部門サーバ及び開発用サーバも含まれる。ログ管理ポリシでは、図3中の(6)dに挙げられたログに関わる課題を解決できるように、次の要件を定める。

要件1 取得するログについての要件

・(f:ログを取得する機器)について

・(g:取得するログの種類)について

要件2 取得したログについての要件

・(h:保存期間)について

・バックアップの作成について

・アクセス制御について

要件3 各機器の時計を同期するとともに、各機器が出力するログに記録する時刻情報の(i:タイムゾーン)を(j:統一)するという要件

f:ログを取得する機器、g:取得するログの種類、h:保存期間

図3中の(6)dには、「開発部はログ取得を定めた規程をもたず、開発部が管理する機器のうちログを取得していたものは少数だった。また、取得していたログの種類保存期間にはばらつきがあった」という課題が記載されています。

これらの課題を要件としてあげれば良さそうです。

i:タイムゾーン、j:統一

複数のログを正確で効率的に突合するためには、ログの時刻情報について、「各機器の時計を同期する」以外には、「時刻情報のタイムゾーンの統一」、「時刻情報のフォーマットの正規化」などがあります。

「時刻情報のタイムゾーンの統一」については、「ログ管理ポリシの適用対象は、社内の全ての機器」であり、その対象機器は、問題文冒頭に「A社は、国内に本社を置き、海外に工場をもつ」とあることから、タイムゾーンの統一が必須であることが分かります。

なお、タイムゾーンとは、協定世界時(UTC:Coordinated Universal Time)との時差のことで、日本標準時(JST:Japan Standard Time)は協定世界時より9時間早いので「+0900」と表記されます。

「時刻情報のフォーマットの正規化」については、12時間制表記と24時間制表記などの書式を合わせることです。

 情報セキュリティ委員会は、各部に対して、それぞれが管理する機器について、早急に、ログ管理ポリシに従った運用を開始するよう指示した。また、システム管理者に対して、①管理する機器について、通常時のネットワークトラフィック量や日、週、月、年の中でのその推移などの情報(以下、通常時プロファイルという)の把握に務めるよう指示した。

【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後2問2(一部、加工あり)】

①について、取得した通常時プロファイルの利用方法を35字以内で具体的に述べよ。:ネットワークトラフィック量と比較して異常を検知する。

通常時プロファイルの利用方法ということで、少し漠然とした設問のように感じますが、ここではインシデント対応能力の向上への取組みという観点で考えましょう。

インシデントにつながるマルウェア感染や外部からの攻撃によって、ネットワークトラフィック量や推移が、通常とは異なる状態となる場合が多くなります。

この兆候を掴むための比較基準として、通常時プロファイルを把握することは重要です。

通常時プロファイルと比較して、異なるネットワークトラフィック量や推移を示す兆候があった場合、異常として検知することができます。