情報セキュリティ対策の強化【情報処理安全確保支援士試験 平成30年度 春期 午後1 問2 設問1】

情報処理安全確保支援士試験 平成30年度 春期 午後1 問2 設問1

問2 情報セキュリティ対策の強化に関する次の記述を読んで、設問1〜3に答えよ。

 T社は、従業員数300名の小売業者である。

 T社のネットワーク構成を図1に示す。

f:id:aolaniengineer:20200327154925p:plain

 T社は、全ての従業員にPCを1台ずつ貸与している。PCは全て、営業部LAN、業務部LAN及びシステム部LANのいずれかに接続されている。PC及び内部システムLANのサーバには、固定のプライベートIPアドレスを割り当てている。

 T社では、電子メール(以下、メールという)の送受信及びWeb閲覧にインターネットを利用している。T社のドメイン名は、t-sha.co.jp(以下、T社ドメイン名という)である。また、全ての従業員は、T社ドメイン名のメールアカウントをもつ。

 T社では、PC及びサーバを導入する際、システム部がアプリケーションソフトウェア、L社製マルウェア対策ソフト及びOS(以下、これらを併せてT社標準ソフトという)のインストール、脆弱性修正プログラムの適用、並びにマルウェア定義ファイルの最新化を行う。導入後のPC及びサーバは、プロキシサーバ 経由でT社標準ソフトの各ベンダのサイトに毎月1回自動で接続し、それぞれの脆弱性修正プログラムを適用している。マルウェア定義ファイルは、1時間おきに最新化している。

〔内部システムLAN上のサーバの概要

 T社の内部システムLANとそのLAN上のサーバは、システム部のKさんが運用業務を担当している。内部システムLAN上のサーバの機能の概要を表1に示す。表1に示す機能は全て有効にしている。

f:id:aolaniengineer:20200328043815p:plain

 運用業務において、内部システムLAN上のサーバへのログインには、SSHを利用している。

〔DMZ上のサーバ及びFWの概要

 DMZ上のサーバには、固定のグローバルIPアドレスを割り当てている。DMZ上のサーバで、プログラムが異常停止するなどのエラーが発生した場合、迷惑メール対策サーバを経由してシステム部の運用担当者のメールアドレス宛てに通知している。

 DMZ上のサーバの機能の概要を表2に示す。表2に示す機能は全て有効にしている。

f:id:aolaniengineer:20200328044559p:plain

 運用業務において、DMZ上のサーバへのログインには、SSHを利用している。

 DNSサーバに登録されている、T社ドメイン名に対するTXTレコードの設定内容を図2に示す。

f:id:aolaniengineer:20200328044918p:plain

a:x1.y1.z1.4

図2のDNSサーバに設定されるT社ドメイン名に対するTXTレコードの設定は、SPFレコードです。

SPF(Sender Policy Framework) とは、電子メールの送信元ドメインの詐称を検知する技術の一つです。DNS(Domain Name System)で正規のメールサーバのIPアドレスを指定することで、メールの送信元で設定されているドメイン名の詐称と検査・検知する仕組みです。

これは、メールアドレスの詐称は容易ですが、メールサーバのIPアドレスを詐称するのは極めて困難であるということに基づいています。

SPFに対応したメールサーバは、メールを受信すると、送信者メールアドレスに記載されているドメインのDNSサーバに対してSPFレコードを問合せ、受信メールにある送信メールサーバのIPアドレスと比較することで、メールアドレスが詐称されていないか確認できます。

表2の迷惑メール対策サーバで「インターネットからのメールの受信において、SPFを用いてメールの転送を許可又は拒否する機能がある」とあり、メール受信でSPFを利用しています。

一方、メール送信においてSPFを利用する場合、DNSサーバのSPFレコードで指定するのは、T社のメール送信でインターネット側から見て送信元となる機器です。

その機器は、表2で「転送されてきたメールをインターネットにSMTPで転送する機能がある」外部メールサーバになりそうです。

したがって、外部メールアドレスのIPアドレスである「x1.y1.z1.4」になります。

 FWは、ステートフルパケットインスペクション型である。そのフィルタリングルールを表3に示す。

f:id:aolaniengineer:20200328045058p:plain

b:迷惑メール対策サーバ

送信元がインターネットでSMTPを許可する設定です。

図1のネットワーク構成において、インターネットが直接やり取りするのはDMZにある機器です。

表2のDMZ上のサーバにおいて、メール関連は迷惑メール対策サーバと外部メールサーバになりますが、インターネットからのメール受信を担うのは迷惑メール対策サーバになりそうです。

c:Webメールサーバ

送信元が迷惑メール対策サーバでSMTPを許可する設定です。

インターネットからのメールは迷惑メール対策サーバで一旦受信して、内部システムLANに転送されるはずです。

表2の迷惑メール対策サーバで、「受信したメールをWebメールサーバにSMTPで転送する機能がある」とあり、Webメールサーバが該当します。

d:外部メールサーバ

送信元がWebメールサーバでSMTPを許可する設定と、宛先がインターネット向けでSMTPを許可する設定です。

表1のWebメールサーバに「外部メールサーバに、SMTPでメールを転送するメール転送機能がある」、表2の外部メールサーバに「転送されてきたメールをインターネットにSMTPで転送する機能がある」とあり、外部メールサーバが該当します。

〔セキュリティ対策の見直し

 同業他社で、運用担当者のPCがマルウェアに感染し、サーバに格納されていた個人情報が大量に漏えいする事故が発生した。T社の経営陣は事態を重く見て、現状の対策の点検と見直しをシステム部のJ部長に指示した。J部長は、サーバの設定の点検及び見直し並びに運用担当者のPCの利用方法の見直しを行うようにKさんに指示した。さらに、セキュリティ専門業者に助言を求めることにし、情報処理安全確保支援士(登録セキスペ)のW氏が担当することになった。

【出典:情報処理安全確保支援士試験 平成30年度 春期 午後1問2(一部、加工あり)】

Follow me!