情報処理安全確保支援士試験 令和3年度 春期 午後2 問2
【出典:情報処理安全確保支援士試験 令和3年度 春期 午後2 問2(一部、加工あり)】
問2 クラウドセキュリティに関する次の記述を読んで、設問1〜6に答えよ。
C社は、従業員150名の個人向けの投資コンサルティング会社である。金融商品や不動産投資に詳しいファイナンシャルプランナ60名からなる事業部、50名の営業部、20名の企画部、20名の経営管理部がある。顧客の投資診断や運用の提案を行うロボットアドバイザサービスが好調で、創立5年目で売上高が30億円を超える会社に成長と遂げた。
CEOは、顧客満足度と従業員満足度の向上を目指して、次期ITに関して次のような方針を示している。
次期ITの方針1:サービスを更に向上させるために積極的にITを活用する。特にSaaSを活用する。
次期ITの方針2:働き方改革及びパンデミック対策の観点から、テレワーク環境を整備する。
C社では、経営管理部内の総務グループ(以下、総務Gという)の5名が情報システムの管理を担当している。
C社の現在の情報システム概要は、図1のとおりである。
UTMは、ステートフルパケットインスペクション型ファイアウォールに複数のセキュリティ機能を統合したものである。DHCPサーバの機能も備えており、APに接続する機器に192.168.1.20〜192.168.1.240の範囲のIPアドレスを配布している。
C社内LANのネットワークセグメントは一つだけである。有線でL2SWに接続している機器には固定のIPアドレスを割り当てている。無線LANはWPA2パーソナルで運用しており、SSID及び事前共有鍵を従業員に開示している。
C社は、従業員に1人1台のC-PCを貸与している。OSのドメインコントローラは導入しておらず、従業員は貸与されたC-PCにローカルログインする。C-PCはAPに接続し、インターネットへのアクセスが可能である。事業部及び企画部では、顧客への提案や企画の立案時にインターネット上にある多くの情報を収集、取捨選択、加工することによって付加価値を生み出すことが不可欠であると認識している。その他の部門では、取引先などの企業情報検索と出張先への経路の検索にインターネットを利用している。
PC、スマートフォンなどの個人所有の機器(以下、個人所有機器という)のC社LANへの接続は統制しておらず、多くの従業員は、個人所有機器をAPに接続して使用している。また、業務で新たにSaaSを利用する際、会社で統一された承認ルールはなく、各部の判断でSaaSの利用契約を締結している。
[一つ目のトラブル]
新入社員が配属されたある日、C-PCで障害が発生しているという連絡が総務Gに入った。総務GのAさんが調査したところ、次のような状況であった。
- 朝の時点では、C-PCや個人所有機器の利用について特に異常を感じた従業員はいなかった。
- 営業部のUさんが13時に出張から戻りC-PCを起動したところ、C-PCへのローカルログインはできたが、業務サーバにアクセスできず、メールの送受信もインターネット上のWebサイトの閲覧もできなかった。
- この後に起動したC-PCや接続しようとした個人所有機器の多くで同様の障害が発生していたが、何台かのC-PCや個人所有機器では障害が発生していなかった。障害が発生していたものと発生していなかったものとで、障害原因になるような違いは見当たらなかった。
Aさんは、障害が発生していたC-PCのネットワーク設定を調べたところ、①上位2オクテットが169.254に設定されたIPアドレスで動作していることに気付いた。C社は雑居ビルの中にあって誰でもC社オフィスに近づくことが可能なので、偽のDHCPサーバが立ち上げられたなど、何らかのサイバー攻撃を受けているのではないかと心配になり、経営管理部のE部長に報告した。E部長は、専門家の助言が必要と考え、C社内LANの構築で支援を受けたD社に依頼した。
D社のセキュリティコンサルタントである情報処理安全確保支援士(登録セキスペ)のKさんは、Aさんから説明を受け、次のようにコメントした。
コメント1:障害が発生したC-PCのIPアドレスは、DHCPサーバが正常に動作していない場合にしばしば確認される。偽のDHCPの設置ではなく、②C社内LANでの個人所有機器の利用が原因で問題が引き起こされた結果である。個人所有機器の利用が原因であれば、DHCPサーバの設定変更で当面の障害に対処し、C社内での個人所有機器の利用を見直していくのがよい。
コメント2:念のために、③UTM以外にDHCPサーバが稼働しているかどうかも調査するとよい。
コメントを受け、Aさんが調査したところ、UTM以外にDHCPサーバは確認できなかった。このことから、サイバー攻撃を受けているわけではないと判断し、DHCPサーバの設定を変更した。
下線①は何と呼ばれているか。:リンクローカルアドレス
「Aさんは、障害が発生していたC-PCのネットワーク設定を調べたところ、①上位2オクテットが169.254に設定されたIPアドレスで動作していることに気付いた。」
この文章の前にC-PCの障害の状況を調査していますが、「障害が発生していたものと発生していなかったものとで、障害原因になるような違いは見当たらなかった」とあるように同じネットワーク環境で事象が統一されない場合には、個別の機器のネットワーク設定状態を確認するのが常套手段です。
C-PCのネットワーク設定については、問題文前半に「(UTMは)DHCPサーバの機能も備えており、APに接続する機器に192.168.1.20〜192.168.1.240の範囲のIPアドレスを配布している。」とあるようにDHCPでのIPアドレス配布には入っていません。
また、この後のKさんのコメントで「障害が発生したC-PCのIPアドレスは、DHCPサーバが正常に動作していない場合にしばしば確認される。」とあり、C-PCでDHCPによるIPアドレスが配布されない状態になっていることが分かります。
ここからは知識となりますが、DHCPによるIPアドレスが付与されない場合に自身でIPアドレスを付与するAPIPA(Automatic Private IP Addressing)という機能があり、リンクローカルアドレスというIPv4では「169.254.0.0〜169.254.255.255」の範囲のIPアドレスを用います。
C-PCではDHCPから正常にIPアドレスが配布されなかったので、APIPAでリンクローカルアドレスを設定した状態になっているということです。
下線②について、C社内LANでの個人所有機器のどのような利用状況によって、どのような問題が引き起こされたか。60字以内で具体的に述べよ。:多くの個人所有機器をC社内LANに接続することによって、IPアドレスが枯渇するという問題が引き起こされた。
「偽のDHCPの設置ではなく、②C社内LANでの個人所有機器の利用が原因で問題が引き起こされた結果である。」
C社内LANでの個人所有機器について、問題文では「PC、スマートフォンなどの個人所有の機器(以下、個人所有機器という)のC社LANへの接続は統制しておらず、多くの従業員は、個人所有機器をAPに接続して使用している。」とあります。
ここで、個人所有機器についてC社LANへの接続統制していないということは、無制限に個人所有機器が接続できるということで、この点でDHCPのIPアドレス配布できる対象数との関係がどうなっているか疑問に感じられることが本問のキーになります。
DHCPのIPアドレス配布は「192.168.1.20〜240」の範囲であり、対象数は220個です。
C-PCの数は従業員150名で1人1台のため150個であり、これに個人所有機器を加えると220個を超える可能が出てきます。
今回の事象では、C-PCや個人所有機器のうち障害が発生しているものと発生していないものがあることから、多くの個人所有機器がC社内LANへ接続することで220個を超えた後に接続した機器は配布するIPアドレスが無い状態になっていたと想定されます。
下線③について、UTM以外にDHCPサーバが稼働しているかどうかをどのように調査するのか。UTMのDHCPサーバを稼働させたまま行う方法と停止させて行う方法を、それぞれ55字以内で具体的に述べよ。:(稼働させたまま行う方法)L2SWにミラーポートを設定し、そのポートにLANモニタを接続してDHCP OFFERの数を確認する。/(停止させて行う方法)DHCPによるIPアドレスの配布がないことを確認する。
「念のために、③UTM以外にDHCPサーバが稼働しているかどうかも調査するとよい。」
DHCPサーバが稼働しているかどうかについて、問題文にはヒントになるような記述は無さそうです。
UTMのDHCPサーバを停止すれば、当然、DHCPによるIPアドレスが配布される場合には管理外のDHCPサーバが稼働していることになります。
一方、UTMのDHCPサーバを稼働させたまま行うにはどうしましょう。
図1(C社の現在の情報システム概要)を見るとC社内LANにはそれほど多くの機器が稼働していないので、Pingなどで管理外のIPアドレスからの応答を確認するなどの方法も取れそうですが、ここはもう少し賢くいきましょう。
DHCPによるIPアドレス配布のシーケンスは、以下のとおりです。
- DHCPを利用する機器からネットワーク上にDHCP探索パケット「DHCP DISCOVER」がブロードキャストされる。
- DHCPサーバから該当機器へ候補IPアドレス通知パケット「DHCP OFFER」が返信される。
- 該当機器からネットワーク上に候補IPアドレスの使用通知パケット「DHCP REQUEST」がブロードキャストされる。
- DHCPサーバからIPアドレス確定と使用期間などを通知するパケット「DHCP ACK」が返信される。
上記2項の、稼働するDHCPからの返信パケットを確認することで、UTM以外のDHCPサーバを発見することができそうです。
もう少し具体的な調査方法としては、パケットの確認にはwiresharkなどLANモニタの機能で行うのが一般的で、L2SWなどにミラーポートを設定して、稼働しているポートの通信をコピーして流せるようにした上で、LANモニタによる確認を行います。