情報処理安全確保支援士試験 平成30年度 秋期 午後1 問2 No.4
【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後1問2(一部、加工あり)】
【セキュリティインシデントの再発防止策】
M君は、無線LANのパケットをキャプチャしたところ、6台のPCが、(d:ARP)リクエストをブロードキャストで送信して、同一セグメント内のPCを探索していることを確認した。
M君は、無線LANに接続しているPCのうち6台がワームVに感染している可能性をJ主任に報告した。J主任は、感染有無を確認するよう指示した。セキュリティ機関からは、ワームVのインディケータ情報が(e:STIX)形式で提供されていた。そこでM君がそのインディケータ情報を使ってファイルを検索して、感染の有無を確認したところ、6台ともワームVに感染していることが分かった。
通信ログ及びワームVのファイルの作成日時から、最初に感染したのは、IPアドレスが192.168.0.32のPCであり、このPCから他のPCへ感染が広がったことが分かった。このPCは、社外に持ち出して公衆無線LANに接続した際、セキュリティ修正プログラムが未適用で、かつ、マルウェア対策ソフトのマルウェア定義ファイルが更新されていない状態だったので、ワームVに感染したと考えられた。G社では、PCを社外に持ち出した際の情報漏えい対策を行っていたが、社外でワームに感染したPCを持ち帰るリスクは想定していなかった。
J主任は、セキュリティインシデントの初動対応として、必要な措置を実施した。また、ワームVに感染したPCがG社のネットワーク内に新たに持ち込まれる可能性があるので、NSMセンサのIDS機能のシグネチャを更新して、ワームVによる感染活動のパケットを監視することにした。
次に、再発防止策として、無線LANには、社外に持ち出したPCを接続することが多いので、③PCを持ち帰った際に接続可否を判断するためにチェックを行うことにした。さらに、有線LANでは、④同じL2SWに接続されたPC同士のワーム感染を防ぐ対策を実施することにした。
J主任は、調査結果を上司に報告し、再発防止策を実施して、セキュリティインデントの対応を完了した。
d:ARP
ARP(Address Resolution Protocol)とは、IPアドレスからMACアドレスを調べるためのプロトコルです。同一セグメント内にブロードキャストで送信することで、全てのPCにARPリクエストを届けることが可能です。
e:STIX
STIX(Structured Threat Information eXoression(脅威情報構造化記述形式)とは、セキュリティ脅威に関する情報を共有するために開発された記述形式のことです。具体的には、サイバー攻撃活動(Campaigns)、攻撃者(Threat Actors)、攻撃手口(TTPs)、検知指標(Indicators)、観測事象(Observables)、インシデント(Incidents)、対処措置(Courses Of Action)、攻撃対象(Exploit Targets)の8つの情報群から構成されています。
③について、チェックすべき内容を二つ挙げ、それぞれ30字以内で述べよ。:セキュリティ修正プログラムが適用されていること、マルウェア定義ファイルが更新されていること、PCがマルウェアに感染していないこと
社外に持ち出したPCを接続する際に関する再発防止策ですので、今回の原因を読み取ると、「セキュリティ修正プログラムが未適用で、かつ、マルウェア対策ソフトのマルウェア定義ファイルが更新されていない状態」とあります。 また、「社外でワームに感染したPCを持ち帰るリスクは想定していなかった」ともあります。
再発防止策としてはこれらをチェックすれば良さそうです。
④を実施するために行う設定を25字以内で述べよ。:VLANを使い、PC間の通信を禁止する。
同じL2SWに接続されたPC同士のワーム感染を防ぐために、L2SWに行う設定が問われています。 L2SWの現在の設定については、問題文前半に「L3SW及びL2SWは、VLANをサポートしている機器であるが、G社ではVLANの設定はしていない」とあり、これがヒントになりそうです。
L2SWにVLANを設定すると、異なるVLAN間での通信を禁止することができます。これを適用すれば良さそうです。
この設問はいろいろ疑問点が湧いてきます。問題文のワームではセグメント(VLAN)を超えた通信を試み感染を拡げています。L2SWでVLANを設定したとしても、上位のL3SWを介してセグメント(VLAN)間で通信するので、ワーム感染を防ぐ目的としては、効果があるか疑問です。また、L2SWの各ポートごとにVLANを分けるのは、現実的ではありません。
採点講評には「L2SWに接続されたPC同士が直接通信を行うというワームの特性を踏まえて、VLANによるセグメントの分離といったネットワークのレイヤでの対策が立案できるようになることを期待したい」とあります。
ここからも読み取れるように、試験では、あくまでも問題文の記載内容を基に回答するというのが基本です。この設問では何を期待しているのかを考えながら回答することが、この試験に対する気構えとして重要です。