情報処理安全確保支援士試験 平成30年度 秋期 午後1 問3 No.4
【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後1問3(一部、加工あり)】
【インシデントの調査】
依頼を受けたセキュリティ専門会社は、インシデントを調査し、3日後に調査結果をB社に報告した。セキュリティ専門会社による調査結果を図3に示す。
重大な被害は認められなかったものの、脆弱性Tが悪用されて改ざんが行われていたことが明らかになったことから、パッチを適用することにした。パッチを適用し、サービスを再稼働できたのは、インシデント発生から10日後だった。
③について、コマンド履歴にSSHコマンドの接続先IPアドレスが含まれていた場合、スクリプトUの内容を考慮すると更に調査が必要となる。仮に接続先IPアドレスとして外部メールサーバが履歴に含まれていた場合、どの機器のログで、何を調査すべきか。調査すべき機器の名称を図1中から選び答えよ。また、調査すべき内容を30字以内で、具体的に述べよ。:(回答例1)外部メールサーバ又はログ管理サーバ/外部メールサーバからサイトZへの接続の有無を確認する。(回答例2)Eサーバ又はログ管理サーバ/外部メールサーバへのSSHコマンドの接続の有無を確認する。(回答例3)FW1又はログ管理サーバ/サイトZとHTTPを使用した通信を確認する。
スクリプトUの内容は図3から以下のとおりで、それぞれどの機器のログで確認できるでしょうか。
- API、及びAPIを動作させるのに必要な複数のライブラリをサイトZからHTTPを使ってダウンロード
- APIを実行
- (コマンド履歴からSSHコマンドの接続先IPアドレスが抽出された場合)SSHコマンドで接続を試行
まず、1項については、Eサーバと外部メールサーバ、及び、FW1で、サイトZへの接続の有無を確認すれば良さそうです。
ただし、EサーバはFW1で「インターネットからEサーバ及び待機サーバへのHTTPSアクセスとその応答が許可されている」とあり、そもそもサイトZへの接続ができません。
また、全サーバのログはログ管理サーバでも保存されているので、こちらでも確認できそうです。
次に、2項については、表1に「各サーバのログには、OS上で実行されるSSHなどのコマンド履歴、アプリケーションやミドルウェアのイベント記録がある」とありますが、API実行がログに記録されているかは不明です。
3項については、Eサーバ及びログ管理サーバで、外部メールサーバへのSSHコマンドの接続の有無を確認すれば良さそうです。