セキュリティインシデントの被害拡大防止策【情報処理安全確保支援士試験 平成30年度 秋期 午後1 問3 No.3】
情報処理安全確保支援士試験 平成30年度 秋期 午後1 問3 No.3
【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後1問3(一部、加工あり)】
【セキュリティインシデントの発生と対処】
脆弱性Tの情報をS君が発見してから2日後、Eサーバの日次バッチ処理が異常終了するという事象が発生した。S君が確認したところ、日次バッチプログラムの内容が、見覚えのないスクリプト(以下、スクリプトUという)に書き換えられていた。スクリプトUは、B社と関係のないサイトZからプログラムをダウンロードして起動したり、コマンド履歴を参照したりするなどの内容であった。
S君は、スクリプトUを外部記憶媒体に証拠保全した後、日次バッチプログラムをリカバリした。リカバリ後、日次バッチプログラムを実行し、正常に処理されたことを確認した。さらに、Eサーバのほかのバッチプログラムを調査して、改ざんされていないことを確認し、Kリーダに状況を報告した。
Kリーダは、顧客データが大量に漏えいするなどの重大なセキュリティインシデント(以下、セキュリティインシデントをインシデントという)の可能性もあると考え、専門家による調査を緊急に行うことを経営陣に提案した。Kリーダは経営陣の承認を得て、②被害拡大を防止するために必要な措置をS君に指示するとともに、セキュリティ専門会社にインシデントの調査を依頼した。
②について、KリーダがS君に指示した措置を、30字以内で述べよ。:Eサーバをネットワークから切り離して、待機サーバを公開する。
セキュリティインシデントが発生し、被害を受けたサーバやPCが分かっている場合の被害拡大を防止するための措置は、基本的には、該当する機器をネットワークから切り離すことです。
Eサーバに関して、異常となった日次バッチプログラムのリカバリや、ほかのバッチプログラムが改ざんされていないことの確認はとれています。
ただし、Eサーバは脆弱性Tの脆弱性修正プログラムを適用していない状態です。今回の事象の原因が、脆弱性Tを悪用されたものかは分かりませんが、仮にそうだった場合、図2にあるようにリモートからの攻撃を受ける可能性があります。
したがって、被害拡大を防止するためには、Eサーバをネットワークから切り離しておくことが重要です。また、表1の待機サーバの説明にあるように、Eサーバが利用できない場合には、待機サーバを公開することになっています。