ネットワークセキュリティ用語【情報処理安全確保支援士試験 平成30年度 秋期 午後1 問2 設問1】

情報処理安全確保支援士試験 平成30年度 秋期 午後1 問2 設問1

問2 セキュリティインシデント対応に関する次の記述を読んで、設問1〜4に答えよ。

 G社は、従業員数1,200名の製造業者であり、本社と四つの工場がある。工場には、無線LANアクセスポイント (以下、APという)を導入している。本社及び各工場には、レイヤ3スイッチ(以下、L3SWという)及び、ネットワークセキュリティモニタリング(以下、NSMという)のセンサが設置されている。NSMセンサには、シグネチャ型のIDS機能に加えて、ネットワークフロー情報(以下、NF情報という)を記録する機能がある。NF情報は、流れている全てのパケットについて、ヘッダ情報を参照し、”コネクション開始日時、送信元IPアドレス、宛先IPアドレス、送信元ポート、宛先ポート、プロトコル、コネクションステータス、コネクション時間、送信バイト数、受信バイト数”をコネクション単位でレコード化したものである。NF情報は、NSMセンサから管理ネットワークを通じてNSM管理サーバに送信され、統合管理されている。G社のネットワーク構成を図1に示す。

f:id:aolaniengineer:20200417031927p:plain

 L3SWには、スイッチの特定の物理ポートを流れるパケットを、ミラーポートという別の物理ポートにミラーリングする機能があり、ネットワーク障害発生時にパケットを取得する用途でも使われている。L3SWでは、FWに接続している1Gビット/秒(以下、ビット/秒をbpsという)の物理ポートを流れるインとアウトのパケットを、NSMセンサに接続している10Gbpsのミラーポートにミラーリングしている。

 ミラーポートに流れる通信量は、全二重1Gbpsの1ポートの送受信をミラーリングする場合、最大(a:2G)bpsとなる。L3SW及びL2SWは、VLANをサポートしている機器であるが、G社ではVLANの設定はしていない。VLANを設定する場合、L3SWでは、IEEE802.1Qの(b:VLANタグ)を付与した状態でミラーリングできるので、障害が発生しているVLANを識別できる。ミラーポートを使用せずにパケットを取得する方法として、ネットワーク(c:タップ)を使用する方法もある。

a:2G

全二重1Gbpsとは、送信、受信それぞれで同時に1Gbpsで行える通信方式です。したがって、ミラーポートに流れる最大通信量は送受信の合計の2Gbpsとなります。

b:VLANタグ

IEEE802.1Qでは、各VLANにIDを割り当て、これをフレーム内に格納して識別するVLANタギングを規定しています。格納されるVLAN-IDをVLANタグといいます。

c:タップ

ネットワークタップとは、物理的にネットワークに導入してパケットを取り出すための専用装置です。

(略)

 M君は、無線LANのパケットをキャプチャしたところ、6台のPCが、(d:ARP)リクエストをブロードキャストで送信して、同一セグメント内のPCを探索していることを確認した。

 M君は、無線LANに接続しているPCのうち6台がワームVに感染している可能性をJ主任に報告した。J主任は、感染有無を確認するよう指示した。セキュリティ機関からは、ワームVのインディケータ情報が(e:STIX)形式で提供されていた。そこでM君がそのインディケータ情報を使ってファイルを検索して、感染の有無を確認したところ、6台ともワームVに感染していることが分かった。

【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後1問2(一部、加工あり)】

d:ARP

ARP(Address Resolution Protocol)とは、IPアドレスからMACアドレスを調べるためのプロトコルです。同一セグメント内にブロードキャストで送信することで、全てのPCにARPリクエストを届けることが可能です。

e:STIX

STIX(Structured Threat Information eXoression(脅威情報構造化記述形式)とは、セキュリティ脅威に関する情報を共有するために開発された記述形式のことです。具体的には、サイバー攻撃活動(Campaigns)、攻撃者(Threat Actors)、攻撃手口(TTPs)、検知指標(Indicators)、観測事象(Observables)、インシデント(Incidents)、対処措置(Courses Of Action)、攻撃対象(Exploit Targets)の8つの情報群から構成されています。

www.ipa.go.jp

Follow me!