【情報処理安全確保支援士試験 令和3年度 春期 午後2 問1 No.5】
情報処理安全確保支援士試験 令和3年度 春期 午後2 問1
【出典:情報処理安全確保支援士試験 令和3年度 春期 午後2 問1(一部、加工あり)】
[脆弱性管理プロセスの改善]
インシデントPと比較してインシデントQの対応は迅速に行われ、N-CSIRTのインシデント対応は有効であると、N社の経営陣からもB社からも一定の評価を得た。一方、インシデントQでR1サーバが不正にログインされたことを考えると、⑩図4(イ)及び(ウ)において、悪用される可能性の評価についての観点の不足、又は影響の評価についての観点の不足があり、悪用される可能性又は影響を過小評価したのではないかという指摘があった。そのため、脆弱性管理プロセスを見直すことにした。
インシデントPの終息から1年後、表1の指摘事項及びインシデントQで明らかになった課題は全て解決できた。N-CSIRTは、関係者の訓練を進め、更に迅速かつ効果的なインシデント対応が可能になった。
下線⑩について、悪用される可能性を評価する際に加えるべき観点、又は影響を評価する際に加えるべき観点を、今回の事例を踏まえて30字以内で述べよ。:複数の脆弱性が同時に悪用される可能性の観点/対応を見送った脆弱性の影響の観点
「一方、インシデントQでR1サーバが不正にログインされたことを考えると、⑩図4(イ)及び(ウ)において、悪用される可能性の評価についての観点の不足、又は影響の評価についての観点の不足があり、悪用される可能性又は影響を過小評価したのではないかという指摘があった。」
図4(N社の脆弱性管理プロセス)を確認します。
(イ)(ア:4日に1回以上の頻度で脆弱性情報を収集する)で収集した脆弱性情報を基に、脆弱性が悪用される可能性を評価する。
(ウ)(イ)で、悪用される可能性が高いと判断した場合は、悪用されたときのN社のシステムへの影響を評価する。
インシデントQでの不正ログインで用いられた脆弱性Lと脆弱性Mについての、悪用される可能性、システムへの影響を表3(脆弱性Lと脆弱性Mの概要、及びそれぞれの対応を見送った経緯とその理由)で確認します。
脆弱性Lでは、「OSコマンドAを実行するには、R1サーバにSSH接続してログインする必要があり、脆弱性Lが悪用される可能性は低い。」「R1サーバは会員情報及び秘密情報を保持しないので、影響は小さい。」とあり、悪用される可能性は低く、影響は小さいため、適用が見送られたとしています。
一方、脆弱性Mでは、「R1サーバは会員情報及び秘密情報を保持しないので、影響は小さい。」とあり、悪用される可能性については言及がなく、影響は小さいため、脆弱性公開後すぐではなく、月例メンテナンスで適用するとしています。
今回の事例では、脆弱性Lと脆弱性Mを悪用して行われたパターンであり、上記の各脆弱性のみでの評価に比べ、複数の脆弱性が同時に悪用される可能性の観点、またその場合のシステムへの影響の観点が不足していたとが考えることができます。