【情報処理安全確保支援士試験 令和2年度 秋期 午後1 問3 No.1】

情報処理安全確保支援士試験 令和2年度 秋期 午後1 問3

【出典:情報処理安全確保支援士試験 令和2年度 秋期 午後1 問3(一部、加工あり)】

問3 Webシステムのセキュリティ診断に関する次の記述を読んで、設問1、2に答えよ。

 L社は、ECサイトを運営している従業員数800名の企業である。L社のモールの会員は、モールで買物をすると、購入金額に応じてL社が独自に発行するポイントが得られる。L社のポイントサービス部が管理するポイントシステム(以下、Pシステムという)のネットワーク構成を図1に示す。

 Pシステムが受信する1日の時間帯別の通信量の比率は、0時〜8時が2%、8時〜16時が55%、16時〜24時が43%である。Pシステムの機器は全て固定IPアドレスで運用している。
 Pシステムの機器の概要を表1に示す。

[Pシステムの診断計画]
 ECサイトへの情報セキュリティ上の脅威の高まりを受け、L社は、Pシステムの脆弱性診断を実施することを決定した。L社のリスク管理部のT主任と部下のUさんが、診断計画を策定する担当に任命された。T主任は、図3に示す診断要件を基に診断計画を策定するようUさんに指示した。

 Uさんは、専門業者の診断サービスについて調査し、図4に示す調査結果を得た。

 Uさんは、調査結果を基にL社で実施すべき脆弱性診断の検討に入った。Web診断については、次のように実施することにした。

  • 診断用の利用者IDを作成する。その利用者に診断用のポイントを付与し、Pシステムにログインして診断する。
  • ログイン無しでアクセスできるページも診断する。
  • 診断前の状態に戻せないようなデータの更新が発生する診断は実施しない。

 PF診断については、T主任から助言を得ることにした。次は、本番Webサーバがインターネットから攻撃される脅威を想定した時の、PF診断に関する、UさんとT主任の会話である。

Uさん:インターネットから診断する場合、調査した幾つかの事例によると、PF診断の実施時だけ、N-IPSの脅威通信判定を無効にすることがあるようです。有効なまま診断するケースと比べ、無効にすると、①より多くの脆弱性を検出する可能性があります。
T主任:無効にすると、PF診断実施時に本物の攻撃を防げないというリスクも生ずる。無効にするのではなく、②N-IPSの設定を変更すれば、そのようなリスクは生じない。
Uさん:分かりました。
T主任:それと、インターネットからのPF診断の通信経路を考慮すると、インターネットからのPF診断だけでなく、内部のネットワークからのPF診断も実施すべきだ。
Uさん:分かりました。その場合は、想定する脅威を踏まえると、診断PCを図1中の接続点(a)に接続して診断すれば良いでしょうか。
T主任:そのとおりだ。

 UさんはT主任のアドバイスを踏まえ、更に検討を進め、診断計画を表2のとおりにまとめた。

下線①について、その理由を35字以内で述べよ。:N-IPSで遮断されていたPF診断の通信が通過するから

 「インターネットから診断する場合、調査した幾つかの事例によると、PF診断の実施時だけ、N-IPSの脅威通信判定を無効にすることがあるようです。有効なまま診断するケースと比べ、無効にすると、①より多くの脆弱性を検出する可能性があります。
 上記は、本番Webサーバがインターネットから攻撃される脅威を想定しての会話であり、PF診断の診断PCはインターネット側に存在します。
 N-IPSの脅威通信判定については、表1(Pシステムの機器の概要(抜粋))に、「通信の内容を解析し、脅威レベルが高いと定義しているものは、脅威と判定する。」とあり、遮断モードに設定されているため、脅威と判定された通信は拒否されるようになっています。
 診断PCからのPF診断における通信内容は、図4(診断サービスの調査結果)に「サーバやネットワーク機器に対して、全てのポートをスキャンする。開いているポートを発見すると、そのポートを使って検査する。」とあり、多くの通信がN-IPSの脅威通信判定で拒否されると想定できます。
 したがって、N-IPSの脅威通信判定を無効にすると、遮断されていたPD診断の通信が通過することになり、より多くの脆弱性を検出することになります。

下線②について、どのような設定変更をすべきか。設定変更の内容を30字以内で述べよ。:ホワイトリストに診断PCのIPアドレスを登録する。

 「無効にすると、PF診断実施時に本物の攻撃を防げないというリスクも生ずる。無効にするのではなく、②N-IPSの設定を変更すれば、そのようなリスクは生じない。
 N-IPSの脅威通信判定を有効にしたまま、N-IPSの設定変更を行うということで、表1(Pシステムの機器の概要(抜粋))を更に確認します。
 すると、脅威通信判定の前に「ホワイトリスト判定:ホワイトリストに登録したIPアドレスからの通信は、脅威ではないと判定する。」とあります。
 つまり、ホワイトリストに登録したIPアドレスからの通信は無条件に全て通過されることになるので、これに診断PCのIPアドレスを登録すればいいことが分かります。

a:(a)

 「T主任:それと、インターネットからのPF診断の通信経路を考慮すると、インターネットからのPF診断だけでなく、内部のネットワークからのPF診断も実施すべきだ。
Uさん:分かりました。その場合は、想定する脅威を踏まえると、診断PCを図1中の接続点(a)に接続して診断すれば良いでしょうか。

 本番Webサーバへの攻撃を想定した診断PCの接続箇所について、図4(診断サービスの調査結果)に「診断PCは、既存の機器とは別のIPアドレスを設定し、インターネット又は内部のネットワークに接続する。」とあり、内部のネットワークの接続点が問われています。
 図1(Pシステムのネットワーク構成(概要))で本番Webサーバについて確認すると、二つのインタフェースを持っていて、注記2に「サービス用と管理用の二つのNICを備えている」とあります。
 想定する攻撃はインターネットからアクセスできるサービス用のNICに向けた通信であり、内部ネットワークからサービス用NICへ通信できる箇所としては、接続点(a)であることが分かります。