ログ管理における時刻整合【情報処理安全確保支援士試験 平成30年度 秋期 午後1 問3 設問1】

情報処理安全確保支援士試験 平成30年度 秋期 午後1 問3 設問1

問3 ソフトウェアの脆弱性対策に関する次の記述を読んで、設問1〜5に答えよ。

 B社は、従業員数500名の食品販売会社であり、インターネットを介して消費者向けに食品を通信販売している。

 通信販売で使用するシステム(以下、通販システムという)の運用、保守は、B社のKリーダを中心に、S君ほか3名と協力会社の従業員5名の計10名で行っている。通販システムを含むB社情報システムのサーバの概要を表1に、構成を図1に示す。

f:id:aolaniengineer:20200419141754p:plain

f:id:aolaniengineer:20200419141822p:plain

 通販システムは、Eサーバ、待機サーバ、FW2及びDBサーバから構成される。Eサーバの購入受付処理は、インターネットからHTTP over TLS(以下、HTTPSという)でアクセスされる。購入集計処理は、バッチプログラムで実行される。毎日午前2時開始の日次、毎週土曜日の午前3時開始の週次、毎月1日午前4時開始の月次のバッチプログラムがあり、それぞれ1時間以内で処理が完了する。

 ログ管理サーバに保存されたログからイベントの発生順序を正しく追跡できるように、①ログに書かれる各FW及び各サーバの時刻を整合させている

①を実現するための手段を15字以内で述べよ。:NTPによる時刻同期

各機器の時刻を同期するときたら、NTP(Network Time Protocol)が思い浮かぶと思います。図1にもDMZにNTPサーバがありますし、NTPによる時刻同期で良さそうです。

 ちなみに、表1からログ管理サーバには全FWと全サーバのログを受信するとあるので、これらの全ての機器がNTPで時刻同期することになります。この時、全ての機器がNTPサーバに直接NTPでやり取りするのでしょうか。もしそうだとすると、各FWでNTPの通信を許可するよう設定する必要があります。ここでは、DMZの各サーバはNTPサーバに直接通信させ、その他のサーバは管理ネットワークなどを使ってNTPで時刻同期するようにしていると思われます。(管理ネットワークを使って、ログ管理サーバがNTPサーバに同期し、その他のサーバはログ管理サーバに同期するなど)

 FW1はステートフルパケットインスペクション型で、インターネットと通販システム間の通信は、インターネットからEサーバ及び待機サーバへのHTTPSアクセスとその応答が許可されている。そのほかのインターネットとDMZ内のサーバ間の通信は、各サーバのサービスに必要なものだけ許可している。

 プロキシサーバ が中継するのはPCセグメントからインターネットへの通信だけである。

【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後1問3(一部、加工あり)】