セキュリティインシデントの被害拡大防止策【情報処理安全確保支援士試験 平成30年度 秋期 午後1 問3 設問3】

情報処理安全確保支援士試験 平成30年度 秋期 午後1 問3 設問3

問3 ソフトウェアの脆弱性対策に関する次の記述を読んで、設問1〜5に答えよ。

(略)

f:id:aolaniengineer:20200419141754p:plain

f:id:aolaniengineer:20200419141822p:plain

(略)

 ある日、S君は、アプリケーションフレームワーク(以下、AFという)のうち、Eサーバで使用しているもの(以下、E-AFという)の脆弱性(以下、脆弱性Tという)の情報が、前日に公開されていることを発見し、Kリーダに報告した。脆弱性Tの情報を図2に示す。

f:id:aolaniengineer:20200420045256p:plain

 脆弱性Tの情報が公開されると同時に、E-AFの脆弱性修正プログラム(以下、パッチという)が公開されていたが、Kリーダは、パッチを適用するには、通販システムの動作に影響がないことの確認が必要な上、もし何らかの影響がある場合、通販システムを修正するなど時間が掛かることになり、営業上大きな機会損失となることを懸念した。Kリーダは、パッチを適用するために通販システムを直ちに停止させるよりも、当面は稼働を継続させつつ、半月後の定期メンテナンス作業時に、影響の確認と必要な修正をできるだけ短時間に実施する方が望ましいと考えた。

(略)

【セキュリティインシデントの発生と対処】

 脆弱性Tの情報をS君が発見してから2日後、Eサーバの日次バッチ処理が異常終了するという事象が発生した。S君が確認したところ、日次バッチプログラムの内容が、見覚えのないスクリプト(以下、スクリプトUという)に書き換えられていた。スクリプトUは、B社と関係のないサイトZからプログラムをダウンロードして起動したり、コマンド履歴を参照したりするなどの内容であった。

 S君は、スクリプトUを外部記憶媒体に証拠保全した後、日次バッチプログラムをリカバリした。リカバリ後、日次バッチプログラムを実行し、正常に処理されたことを確認した。さらに、Eサーバのほかのバッチプログラムを調査して、改ざんされていないことを確認し、Kリーダに状況を報告した。

 Kリーダは、顧客データが大量に漏えいするなどの重大なセキュリティインシデント(以下、セキュリティインシデントをインシデントという)の可能性もあると考え、専門家による調査を緊急に行うことを経営陣に提案した。Kリーダは経営陣の承認を得て、②被害拡大を防止するために必要な措置をS君に指示するとともに、セキュリティ専門会社にインシデントの調査を依頼した。

【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後1問3(一部、加工あり)】

②について、KリーダがS君に指示した措置を、30字以内で述べよ。:Eサーバをネットワークから切り離して、待機サーバを公開する。

セキュリティインシデントが発生し、被害を受けたサーバやPCが分かっている場合の被害拡大を防止するための措置は、基本的には、該当する機器をネットワークから切り離すことです。

Eサーバに関して、異常となった日次バッチプログラムのリカバリや、ほかのバッチプログラムが改ざんされていないことの確認はとれています。

ただし、Eサーバは脆弱性Tの脆弱性修正プログラムを適用していない状態です。今回の事象の原因が、脆弱性Tを悪用されたものかは分かりませんが、仮にそうだった場合、図2にあるようにリモートからの攻撃を受ける可能性があります。

したがって、被害拡大を防止するためには、Eサーバをネットワークから切り離しておくことが重要です。また、表1の待機サーバの説明にあるように、Eサーバが利用できない場合には、待機サーバを公開することになっています。

Follow me!