オープンリゾルバ対策・NTP・AES・CRYPTREC【情報処理安全確保支援士試験 平成31年度 春期 午後2 問2 設問3】
情報処理安全確保支援士試験 平成31年度 春期 午後2 問2 設問3
【出典:情報処理安全確保支援士試験 平成31年度 春期 午後2問2(一部、加工あり)】
【A社の情報システム】
DMZ上のサーバには、グルーバルIPアドレスを割り当てている。DMZ上のサーバの概要を表4に示す。
内部システムLAN上のサーバの概要を表5に示す。
A社では、全ての従業員に個別のメールアドレスを割り当てており、従業員は、メールサービスを用いてメールを送受信している。
従業員のメールアドレス以外に同報用のメールアドレスがあり、このアドレスに届いたメールは、登録された従業員のメールアドレスに同報される。
従業員は、第三者に秘匿したい電子ファイルをメールに添付し、金型加工の発注元との間で送受信する場合には、ZIP形式で圧縮している。メール添付する際の圧縮ファイルの取り扱いについては、次のルールを定めている。
- 発注元ごとの打合せで取り決めた、12字以上の英数字及び記号で構成されるランダムな文字列から成るパスワードから生成した鍵を用いて暗号化する。
- 暗号化アルゴリズムは、(g)を用いる。(g)は、(h)が選定した、電子政府における調達のために参照すべき暗号リスト(平成30年3月29日版)でも利用が推奨されている共通鍵暗号である。(h)は、暗号技術の適切な実装法や運用法の調査及び検討を行う国内のプロジェクトである。
設計情報管理サーバの利用者は、設計部員及び製造部員である。利用者IDは、利用者のメールアドレスである。初期パスワードには、メールアドレスと同じ文字列を登録し、利用者に通知する。利用者は、自身でパスワードを変更することができる。
FW、プロキシサーバ、内部システムLAN上のサーバ、及び全てのDPCは、A社キャッシュDNSサーバとの間で(f)を用いて時刻同期を行なっている。
DPCのIPアドレスは、DHCPサーバのDHCP機能及びL3SWのDHCPリレーエージェント機能によって、動的に割り当てられる。
A社では、DMZ上及び内部システムLAN上にあるサーバの名称とIPアドレスの対応をDPCのhostsファイルに設定している。
DPC、DMZ上のサーバ及び内部システムLAN上のサーバは、導入時に、OS、アプリケーションソフトウェア及びマルウェア対策ソフト(以下、これらを併せてA社標準ソフトという)に脆弱性修正プログラムを適用し、マルウェア対策ソフトはマルウェア定義ファイルを導入時点での最新版に更新している。
導入後は、プロキシサーバ経由でA社標準ソフトの各ベンダのサイトに毎月末に自動で接続し、それぞれの脆弱性修正プログラムを適用している。
DPC及びサーバ上のマルウェア対策ソフトは、起動時及び起動後2時間おきにプロキシサーバ経由でマルウェア対策ソフトベンダのサイトからマルウェア定義ファイルをダウンロードし、更新している。マルウェア対策ソフトでは、ファイルを読み書きするときにマルウェアスキャンする機能(以下、リアルタイムスキャンという)を有効にするとともに、全てのファイルをマルウェアスキャンする機能(以下、フルスキャンという)を、毎週火曜日12時に実行している。フルスキャン実行時、CPUの負荷を減らすために、圧縮ファイルは対象外としている。
e:x1.y1.z1.18
まずは、該当する表4をしっかり見ましょう。
A社キャッシュDNSサーバがDNSキャッシュ機能の一つとして、オープンリゾルバ対策の仕組みが挙げられています。
DNSは任意のドメイン名の名前解決を行う仕組みです。
利用者からのリクエストに代理となって動作するのがキャッシュDNSサーバで、各ドメインを管理する権威DNSサーバに再帰的に問い合わせ、結果を利用者に返答します。
したがって、キャッシュDNSサーバは、利用者から見るとDNSサーバですが、権威DNSサーバに対してはDNSクライアントとして働きます。
DNSクライアントのことをリゾルバと言い、利用者側をスタブリゾルバ、キャッシュDNSサーバ側をフルサービスリゾルバと言います。
キャッシュDNSサーバは、通常、社内の利用者からのリクエストにのみ応答するよう設定されるべきですが、設定ミスなどでインターネットの誰からでもリクエストに応答するようになっている場合があります。
このような状態のキャッシュDNSサーバをオープンリゾルバと言い、DDoS攻撃の踏み台として悪用されることで攻撃の加害者側になる危険性があります。
さて、問われているのはオープンリゾルバ対策として、利用者をどのIPアドレスで指定するかということです。
名前解決のリクエストはインターネットにアクセスする利用者が行います。
A社のインターネットアクセスは、設問2でもあったように図1の注記4で説明されています。
「注記4 内部システムLAN上のサーバ及びDPCからのインターネットアクセスは、プロキシサーバ経由で行われる。」
したがって、プロキシサーバのIPアドレスで指定すればいいことが分かります。
プロキシサーバのIPアドレスは、同じ表4に記載されています。
f:NTP
時刻同期を行うためのプロトコルということで、NTP(Network Time Protocol)になります。
インターネット上で現在時刻の配信を行うNTPサーバが、問題文のような研究機関や通信事業者によって公開されていて、誰でも自由に利用することができます。
g:AES、h:CRYPTREC
暗号化アルゴリズムとは暗号化の手順のことで、公開鍵暗号ではRSA、共通鍵暗号ではAESなどがあります。
「電子政府における調達のために参照すべき暗号リスト」について学習しましょう。
- 日本政府が目指す世界最先端のIT国家となるために、基盤となる電子政府のセキュリティを確保する必要があり、そのためには、安全性に優れた暗号技術を利用する必要がある。
- そこで、安全性と実装性に優れた暗号技術を客観的に評価してリスト化するプロジェクトが2000年に発足した。それがCRYPTREC(Cryptography Research and Evaluation Committees)である。
- CRYPTRECが選定した暗号技術は、総務省と経済産業省が「電子政府における調達のために参照すべき暗号リスト」(CRYPTREC暗号リスト)として公開されている。
(https://www.cryptrec.go.jp/list/cryptrec-ls-0001-2012r4.pdf)
情報システムで暗号技術を利用する際には、政府機関はもちろんですが、一般企業や組織でも、このCRYPTRECリストの暗号技術を用いるようにすることが推奨されています。
