インターネットサービス向けサーバのセキュリティ対策【応用情報技術者試験 平成30年度 秋期 午後 問1】

応用情報技術者試験 平成30年度 秋期 午後 問1

問1 インターネットサービス向けサーバのセキュリティ対策に関する次の記述を読んで、設問1〜3に答えよ。

 食品販売業を営むL社では、社内外の電子メール(以下、メールという)を扱うメールサーバ、商品を紹介するWebサーバ及び自社ドメイン名を管理するDNSサーバを運用している。L社情報システム部のM部長は、インターネット経由の外部からのサイバー攻撃への対策が重要だと考え、当該サイバー攻撃にさらされるおそれのあるサーバの脆弱性診断を行うように、情報システム部のNさんに指示した。L社のサーバなどを配置したDMZを含むネットワーク構成を図1に、各サーバで使用している主なソフトウェアを表1に示す。

 なお、L社のセキュリティポリシでは、各サーバで稼働するサービスへのアクセス制限は、ファイアウォール(以下、FWという)及び各サーバのOSがもつFW機能の両方で実施することになっている

f:id:aolaniengineer:20200414052749p:plain

f:id:aolaniengineer:20200414052813p:plain

【脆弱性診断の実施】

 Nさんは、社外のセキュリティベンダであるQ社に、メールサーバ、Webサーバ及びDNSサーバの脆弱性診断を実施してもらい、脆弱性診断の内容とその結果を受け取った。Q社が実施した脆弱性診断の内容の抜粋を表2に、Q社から受け取った脆弱性診断結果の抜粋を表3に示す。

f:id:aolaniengineer:20200414053120p:plain

a:UDP

ポートスキャンの目的は、稼働しているサービスを調査して攻撃に使えそうな脆弱性を持っていないか確認することです。その代表例が、TCPスキャンとUDPスキャンです。

TCPスキャンでは、3ウェイハンドシェイクのSYNパケット(接続要求)を送信し、返信されるパケットがSYN/ACK(確認応答)の場合はポートが開いている(サービス稼働)、RST/ACK(リセット応答)の場合はポートが閉じている(サービス非稼働)であると判断できます。

UDPスキャンでは、UDPパケットを送信し、返信されるパケットがない場合はポートが開いている(サービス稼働)、「ICMP Port Unreachable」が返信された場合はポートが閉じている(サービス非稼働)であると判断できます。

b:セッション管理

セッション管理とは、利用者をセッションIDで識別して、利用者ごとに一貫したサービスを提供するための仕組みのことです。

セッション管理の不備は、セッションハイジャックやクロスサイトリクエストフォージェリなどの攻撃に対し、脆弱性を高めることになります。

f:id:aolaniengineer:20200414053147p:plain

c:診3

脆弱性の内容に「送信ドメイン認証機能が未設定」とあるので、診3の「OS、ミドルウェア、アプリケーションの設定の不備などがないことを確認する」とあるソフトウェア診断が該当します。

送信ドメイン認証機能の代表的なものには、送信元メールサーバのIPアドレスで認証するSPF(Sender Policy Framework)と、電子署名による認証を行うDKIM(DomainKeys Identified Mail)などがあります。

【発見された脆弱性への対策の検討】

 Nさんは、表3の脆弱性診断結果の内容を確認し、発見された脆弱性に対して実施すべき対策の案を検討した。検討結果を表4に示す。

f:id:aolaniengineer:20200414053217p:plain

d:SPFe:送信元

前述のSPFによる対策を示したものです。

補足すると、事前に送信側の管理者が、送信側のドメインを管理するDNSサーバに対し、送信側メールサーバのIPアドレスをSPFレコードとして登録しておきます。これにより受信側でDNSサーバへのSPFレコードを問い合わせに対応します。

f:FWg:Webサーバ

アクセス制限について、問題文に「L社のセキュリティポリシでは、各サーバで稼働するサービスへのアクセス制限は、ファイアウォール(以下、FWという)及び各サーバのOSがもつFW機能の両方で実施することになっている」とあります。

脆2はWebサーバが対象であるため、WebサーバのOSがもつFW機能となります。

h:SQLインジェクション

脆弱性及び対策の内容から、SQLインジェクションであることが分かります。

 Nさんは、脆弱性診断結果(表3)と、実施すべき対策の案(表4)をM部長に報告した。報告を受けたM部長は、Nさんが検討した表4の脆弱性対策を速やかに実施することと、中長期的な脆弱性対策を検討することを指示した。

【中長期的な脆弱性対策】

 Nさんは、OSやミドルウェアなどの市販ソフトウェアと社外に委託して開発する自社ソフトウェアについて、L社が中長期的に取り組むべき脆弱性対策の案を検討した。検討結果を表5に示す。

f:id:aolaniengineer:20200414053243p:plain

下線①、②の各対策に該当する項目として適切なものを解答群の中からそれぞれ選べ。

  1. インシデント発生時の緊急対応体制を整備する。
  2. 公開されている脆弱性情報データベースを確認する。
  3. 実施すべきセキュリティ対策を定めて定期的に監査する。
  4. セキュリティ対策に関する予算を増額する。
  5. リスク分析を定期的に実施して対応計画を立案する。

①:2

「社外の関連する組織から脆弱性情報を入手」とあり、公開されている脆弱性情報データベースが該当します。

日本で公開されている脆弱性情報データベースとしては、JPCERT/CCとIPAが運営しているJVN(Japan Vulnerability Notes)があります。

jvn.jp

②:3

委託先企業のセキュリティ対策の実施状況を確認することについては、委託先とセキュリティ対策について合意した上で、定期的に実施状況を確認するための監査を行うことが必要です。

③について、表3の項番”脆3”で発見された脆弱性への対策として、ソフトウェアの企画・設計段階からセキュリティの専門家を参加させる狙いを30字以内で述べよ。:危殆化していない暗号化通信方式を採用するため

脆3の「脆弱な暗号化通信方式が使用できてしまう設定であり、情報漏えいのおそれがあった」に対する対策として、表4で「Webサーバソフトウェアの設定を変更して、脆弱な暗号化通信方式を使用禁止にする」とあります。

委託先で開発される自社ソフトウェアについては、導入後に脆弱な暗号化通信方式が発覚しても、すぐに入れ替えることは容易ではありません。したがって、セキュリティ専門家により将来的にも危殆化する可能性の低い暗号化通信方式を採用するような取り組みが重要です。

 Nさんは、表5の脆弱性対策の案を盛り込んだ改善計画を策定し、その結果をM部長に報告した。改善計画を確認したM部長は、この改善計画を基に具体的な取組みを検討するようNさんに指示した。

【出典:応用情報技術者試験 平成30年度 秋期 午後 問1(一部、加工あり)】