情報セキュリティ対策の強化【情報処理安全確保支援士試験 平成30年度 春期 午後1 問2 設問2】

情報処理安全確保支援士試験 平成30年度 春期 午後1 問2 設問2

問2 情報セキュリティ対策の強化に関する次の記述を読んで、設問1〜3に答えよ。

(略)

f:id:aolaniengineer:20200327154925p:plain

(略)

f:id:aolaniengineer:20200328043815p:plain

(略)

f:id:aolaniengineer:20200328044559p:plain

(略)

〔サーバの設定の点検及び見直し

 KさんはW氏の支援を受けて、表4に示すサーバの設定のチェックリストを作成した。

f:id:aolaniengineer:20200328124649p:plain

e:インターネット上のドメイン名についての名前解決

オープンリゾルバ(Open Resolver)とは、DNSサーバがインターネットからの問合せに応答するよう設定されている状態のことで、DNSリフレクション攻撃など、DNSサーバが攻撃者の踏み台として悪用される可能性があるため、好ましくない状態とされています。

表2にあるDNSサーバの機能概要に以下の記述があります。

  1. インターネット向けのT社ドメイン名を管理する機能がある。
  2. インターネット上のドメイン名の名前解決を行う機能がある。
  3. オープンリゾルバ防止機能がある。

3項のとおり、オープンリゾルバ防止機能は有効になっているものの、2項にあるようにT社内(DMZ上のサーバ)からのインターネット上のドメイン名の名前解決は可能にする必要があります。

これを可能にするには、2項で、DMZ上のサーバからのみインターネット上のドメイン名の名前解決を行えるとすることです。

 表4に基づいて点検していたところ、プロキシサーバのポート制限機能に問題があることが分かった。次は、プロキシサーバのポート制限機能の利用方法に関するW氏とKさんの会話である。

W氏:プロキシサーバの設定をみると、CONNECTメソッドの悪用を防ぐ制限がなされていませんね。

Kさん:CONNECTメソッドを悪用すると、どういう問題が生じるのでしょうか。

W氏:図3に示すようにCONNECTメソッドを悪用してトンネルを確立させることで、Webメールサーバの機能を回避できます。そして、①この回避によっていくつかの問題が生じます

Kさん:ポート制限機能に関する設計の見直しと設定変更案を作成します。

f:id:aolaniengineer:20200328125419p:plain

①について、回避によって生じる問題を二つ挙げ、それぞれ40字以内で具体的に述べよ。:インターネットへのメールの送信を許可されていない従業員が、送信できるという問題/送信者メールアドレスを詐称したメールを送信できるという問題/マルウェアのスキャンを行わずにメールを送信できるという問題

CONNECTメソッドは、プロキシサーバ経由でHTTPS通信を中継する際に利用されるものです。コネクション確立時に接続先のドメイン名またはIPアドレスを指定して、TCPトンネルを確立した後、そのTCPトンネル内で通信することが可能となります。

図3では「x1.y1.z1.4:25」とあり、外部メールサーバのSMTPのポートにトンネル接続をリクエストするものです。これにより、HTTPS通信で直接外部メールサーバとSMTP通信が可能となります。

本来、社内からのSMTP通信はWebメールサーバを介して外部メールサーバとやり取りされますので、外部メールサーバと直接SMTP通信が可能となるとWebメールサーバの機能が回避されてしまいます。

表1にあるWebメールサーバの機能で、SMTP通信に関して回避される機能は以下のとおりです。

  • SMTP通信及びHTTP通信のマルウェアスキャンを行うマルウェアスキャン機能がある。
  • 送信メールについて、送信者メールアドレスをメールアカウントに対応付ける送信者メールアドレス詐称防止機能がある。
  • インターネットへの送信メールについて、送信者メールアドレスごとにインターネットへの送信の可否を設定できるインターネットメール送信制限機能がある。

 KさんとW氏は、サーバの点検を続け、他に問題がないことを確認した。

【出典:情報処理安全確保支援士試験 平成30年度 春期 午後1問2(一部、加工あり)】