情報処理安全確保支援士試験 令和2年度 秋期 午後1 問3
【出典:情報処理安全確保支援士試験 令和2年度 秋期 午後1 問3(一部、加工あり)】
[Pシステムの診断計画レビュー]
診断計画レビューにおいてT主任は、診断の検査項目の内容は妥当であるとした上で、次の指摘を行った。
指摘1:Web診断は本番環境ではなく、ステージング環境で行うべきである。ステージング環境で実施する際、全ての診断の終了後に、担当者が、FW1の設定を元に戻すこと、及びステージング環境の(b)を削除することを、明確に手順書に記載すること
指摘2:PF診断は本番環境で実施すべきだが、サーバが異常停止した場合の影響を最小化するために③計画の一部を変更すること
指摘3:診断2の実施に当たっては、警告灯が点灯することで社内に混乱が起きないよう、運用グループに④機器の設定の変更を依頼すること
その後、指摘3に従い、Uさんは運用グループに診断計画を説明して設定の変更を依頼した。運用グループから、設定の変更については承諾を得られたが、診断計画について、診断2の診断PCを接続するポイントを、図1中の(e)から(d)に変更する必要があるという提案があった。
この提案について、運用グループから説明があった。運用グループによれば、最近配属された担当者が、Web管理用PCから本番DBサーバにログインを試みた。その結果、警告灯が点灯し、運用グループは緊急対応体制をとることになってしまった。その再発防止策の一つとして、FW2のルールを修正し、(c)宛ての通信については、(d)からの通信だけを(e)することにした。その影響で、接続ポイントの変更が必要になるとのことだった。
UさんはT主任の指摘及び運用グループからの提案を踏まえ、診断計画を確定し、診断実施に向けて準備を進めた。
b:診断用の利用者ID
「Web診断は本番環境ではなく、ステージング環境で行うべきである。ステージング環境で実施する際、全ての診断の終了後に、担当者が、FW1の設定を元に戻すこと、及びステージング環境の(b)を削除することを、明確に手順書に記載すること」
Web診断については、「診断用の利用者IDを作成する。その利用者に診断用のポイントを付与し、Pシステムのログインして診断する。」とあるように、仮のデータとして利用者IDとポイントが作成されることが分かります。
また、図3(診断要件)に「診断に当たってネットワーク構成、システム構成、設定及びデータを変更した場合は、診断終了後、診断前の状態に戻し、システムの正常な動作を確認すること」とあり、仮に設定した利用者IDとポイントは削除する必要があります。
この場合、ポイントは利用者IDに紐づいていると想定し、利用者IDを削除すれば自動的にポイントも削除されると考えていいでしょう。
下線③について、何をどのように変更すべきか。Pシステムの通信量に着目し、変更する項目を表2から選び答えよ。また、変更する内容を20字以内で述べよ。:日時/診断時間を0時〜8時の間にする。
「PF診断は本番環境で実施すべきだが、サーバが異常停止した場合の影響を最小化するために③計画の一部を変更すること」
サーバが異常停止した場合の影響を最小化するために、Pシステムの通信量に着目するとのことで、通信量についての記述を確認します。
通信量については問題文の前半に「Pシステムが受信する1日の時間帯別の通信量の比率は、0時〜8時が2%、8時〜16時が55%、16時〜24時が43%である。」とあるのみです。
したがって、通信量が少ない時間帯でPF診断を実施すべきという内容で計画を変更することになります。
表2(診断計画(抜粋))の内容としては「日時:9時〜17時(うち、診断時間は1日当たり連続した5時間程度)」の診断時間を、通信量が一番少ない0時〜8時に変更するということです。
下線④について、どの機器に対して、どのように設定を変更すべきか。機器は図1中から選び、変更後の設定は55字以内で具体的に述べよ。:本番DBサーバ/ホスト型IPSのホワイトリスト設定に、診断PCのIPアドレスを登録し、侵入検知設定を無効にする。
「診断2の実施に当たっては、警告灯が点灯することで社内に混乱が起きないよう、運用グループに④機器の設定の変更を依頼すること」
診断2では、接続点(e:管理PCセグメント)に診断PCを接続し、本番DBサーバにPF診断を行います。
警告灯が点灯する動作を確認しましょう。
警告灯については、本番DBサーバのホスト型IPSの説明である図2(ホスト型IPSの概要)に、「ホワイトリスト設定や侵入検知設定による判定で通信が拒否されると、ポイントサービス部運用グループの執務室内にある警告灯が点灯される。」とあります。
診断2により警告灯が点灯しないようにするためには、本番DBサーバのホスト型IPSのホワイトリスト設定と侵入検知設定を変更する必要がありそうです。
ホワイトリスト設定は、「登録されたIPアドレスからの通信だけを許可し、それ以外を拒否する。ホワイトリストには、現在、本番WebサーバとDB管理PCのIPアドレスだけが登録されている。」とあり、診断PCのIPアドレスを登録する必要があります。
侵入検知設定は、「ホストの通信を監視して、脅威と判定した通信を拒否し、それ以外を許可する。侵入検知設定は無効にもでき、無効にすると、ホストの通信を全て許可する。」とあり、診断PCからの通信のみを無効にするといった設定はできず、設定自体を無効にするしかなさそうです。
c:本番DBサーバ、d:DB管理PC、e:許可
「運用グループによれば、最近配属された担当者が、Web管理用PCから本番DBサーバにログインを試みた。その結果、警告灯が点灯し、運用グループは緊急対応体制をとることになってしまった。その再発防止策の一つとして、FW2のルールを修正し、(c)宛ての通信については、(d)からの通信だけを(e)することにした。」
まずは、Web管理用PCから本番DBサーバにログインした結果、警告灯が点灯した動作について確認します。
Web管理用PCから本番DBサーバの経路上にはFW2があり、FW2では表1(Pシステムの機器の概要(抜粋))に「管理PCセグメントから、本番Webサーバ、本番DBサーバ、ステージングWebサーバ及びステテージングDBサーバへの通信を許可し、それ以外の通信は全て拒否している。」とあるように、管理PCセグメント内にあるWeb管理用PCから本番DBサーバへの通信は許可されています。
一方、本番DBサーバに導入されているホスト型IPSでは、図2(ホスト型IPSの概要)に「ホワイトリストには、現在、本番WebサーバとDB管理PCのIPアドレスだけが登録されている。」とあるように、Web管理用PCから本番DBサーバへの通信は許可されていないため、その通信を検知すると警告灯が点灯されるようです。
したがって、警告灯が表示されないようにするには、本番DBサーバのホワイトリスト設定で不正な通信が検知されないように、FW2で予め特定の機器のみが許可されるよう設定すればいいと分かります。
FW2の修正としては、本番DBサーバへ許可する通信について、管理PCセグメントからとしているのをDB管理PCからの通信を許可するようにすればいいでしょう。