脆弱性公開直後のWAFによる暫定対策【情報処理安全確保支援士試験 平成30年度 秋期 午後1 問3 設問5】

情報処理安全確保支援士試験 平成30年度 秋期 午後1 問3 設問4

問3 ソフトウェアの脆弱性対策に関する次の記述を読んで、設問1〜5に答えよ。

(略)

f:id:aolaniengineer:20200419141822p:plain

 通販システムは、Eサーバ、待機サーバ、FW2及びDBサーバから構成される。Eサーバの購入受付処理は、インターネットからHTTP over TLS(以下、HTTPSという)でアクセスされる

(略)

【リスク軽減策の検討】

 セキュリティ専門会社からは、脆弱性情報が公開されると、その後間もなく攻撃が急増することが多いことから、脆弱性情報が公開された際に迅速に対応できるようにあらかじめ対応を検討しておくべきであるとアドバイスを受けた。そこで、今回のインシデントも踏まえて、KリーダとS君はAFなどを利用しているシステムの脆弱性が公開された際の対応について検討した。次は、このときのS君とKリーダの会話である。

S君:AFの脆弱性が公開された際は、早期に対応することが望まれます。その点では、暫定的な対策としてWAFの導入が有効との話をよく聞くので、調査しました。

Kリーダ:どうだったかな。

S君:脆弱性Tについては、情報が公開されてから1日以内にシグネチャが提供されたWAFがありました。

Kリーダ:通販システムではパッチの適用作業に7日掛かったが、それより、WAFによる対応の方が早かったようだな。しかし、WAFによる対応では、通販システムへの影響があるのではないか。

S君:影響があるので、導入時には遮断はせずにアラートを通知するだけのモニタリングモードを用いて検証します。ただし、このモードでは、アラートが通知された際に検知した通信が(b:攻撃)であるかどうかを直ちに確認しなければなりません。もし、(b:攻撃)であった場合は、場合によってはEサーバの停止が必要となります。また、(b:攻撃)ではなかった場合は、WAFのシグネチャの見直しが必要となります。これら一連の手順を決めておかなければなりません。

b:攻撃

WAFによるアラートを検証する目的は、検知した通信が本当に攻撃に該当するものかを確認することです。

「Eサーバの停止が必要」となるのは、明らかにそれが攻撃の通信であった場合です。

「WAFのシグネチャの見直しが必要」となるのは、正常な通信を攻撃として誤検知してしまっているということになります。

Kリーダ:分かった。次に、WAFの選定方法について、確認しておこう。

S君:WAFには、大きく分けると、ソフトウェア型、ハードウェア型、クラウド型の3種類があります。いずれもモニタリングモードを実現する機能と攻撃とみなされる通信を遮断する機能があります。さらに、④暗号通信に関する機能が用意されているものがあります。

B社で、ハードウェア型WAFを導入する場合、通販システム利用者の通信プロトコルを考慮すると④の機能が必要である。その機能を30字以内で具体的に述べよ。:インターネットからのHTTPS通信を復号する機能

通販システム利用者の通信プロトコルについては、問題文に「Eサーバの購入受付処理は、インターネットからHTTP over TLS(以下、HTTPSという)でアクセスされる」とあり、通信が暗号化されています。

WAFでは暗号化された通信を解析することができないため、復号する必要があります。

設問では、ハードウェア型WAFについて問われていますが、ソフトウェア型、クラウド型であっても基本的には暗号化されたままでは解析ができません。ただ、ハードウェア型は通信を復号してそのままEサーバに渡せばいいですが、例えばクラウド型では復号し解析した後に、さらに暗号化する必要があるなど、前後の動作が異なるため、ハードウェア型に限定した設問となっていると思われます。

Kリーダ:なるほど。導入はどのようにするのかな。

S君:ソフトウェア型WAFの場合は、Eサーバに導入します。ハードウェア型WAFの場合は、図1中のDMZ内のL2SWとEサーバとの間に設置します。クラウド型WAFの場合は、サービス事業者がインターネット上で運用しているものを利用します。クラウド型WAFを利用する場合は、幾つか設定変更が必要です。例えば、図1中の(c:外部DNSサーバ)の設定を変更して、Eサーバへのアクセス経路をクラウド型WAF経由に変える必要があります。クラウド型WAFのIPアドレスが変更された場合でも(c:外部DNSサーバ)の設定に影響が出ないように、(d:CNAME)レコードを定義して、そのレコードにEサーバの別名としてクラウド型WAFサービスの事業者が指定するFQDNを記述することが推奨されています。

Kリーダ:なるほど。当社にはどの種類が適しているか調査してくれ。

S君:分かりました。

c:外部DNSサーバd:CNAME

Eサーバへのアクセスは、利用者がWebブラウザのURLで指定したFQDNを名前解決することで、EサーバのIPアドレス宛てに通信します。

Eサーバへのアクセス経路をクラウド型WAF経由にするには、その名前解決を担う外部DNSサーバで、FQDNをクラウド型WAFに紐付ける必要があります。

その方法としては、FQDNのIPアドレスを変更するのではなく、別名として記述するCNAMEレコードを定義することで、IPアドレスが変更になっても影響されずにすみます。

 調査の後、B社では、WAFを選定し、導入した。以降、攻撃を数多く受けたが、WAFが遮断し、Eサーバへの侵入は起きていない。

【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後1問3(一部、加工あり)】

Follow me!