情報処理安全確保支援士試験 令和3年度 秋期 午後1 問1
【出典:情報処理安全確保支援士試験 令和3年度 秋期 午後1 問1(一部、加工あり)】
[セキュリティインシデントの再発防止]
S氏から、今回のセキュリティインシデントの再発防止について、幾つか提言があった。
一つ目の提言は、サーバに対する認証の強化である。保守用中継サーバ及び顧客管理サーバへのSSH接続の認証方式を、パスワード認証から公開鍵認証に変更するというものである。Fさんは、図5に示す公開鍵認証の初期登録手順を作成した。
次は、図5に関するS氏とFさんの会話である。
S氏:万一、保守用中継サーバが不正アクセスされた場合を想定して、顧客管理サーバへのSSH接続に必要な(e)を利用されないように、保守用中継サーバに保存しない運用にしましょう。SSH Agent Forwardingと呼ばれる機能を使うと、保守作業のSSH接続に必要な(e)の全てを保守PCにだけ保存する運用にできます。
Fさん:承知しました。
二つ目の提言は、SSHの接続元の制限である。FWで接続元を制限することができれば、万一、SSHサーバソフトウェアで認証バイパスなどの脆弱性が発見されて悪用された場合にも有効な対策となる。
そこで、Fさんは、保守PC-B及び保守PC-Cを、VPN装置を介して又は直接、M社内のネットワークに接続させた後に、インターネット経由で保守用中継サーバにアクセスすることを考えた。このとき、(f)ことができれば、保守用中継サーバへのアクセスを表1の項番4のルールを変更することによって制限できる。そこで、これらの対応をM社に打診した。
そのほかの再発防止策についても、FさんはS氏の提言について検討を重ね、保守用中継サーバ及び顧客管理サーバに関するセキュリティを強化した。
下線③について、パスフレーズを設定する目的を30字以内で具体的に述べよ。:保守員以外が不正に秘密鍵を利用できないようにするため/秘密鍵が盗まれても悪用できないようにするため
「③鍵ペアの秘密鍵には、十分な強度のパスフレーズを設定する」
セキュリティインシデントの再発防止策の一つであるサーバに対する認証の強化、具体的にはパスワード認証から公開鍵認証に変更するということで、図5(公開鍵認証の初期登録手順(抜粋))の作業を行うということです。
これまでのパスワード認証では、図4(保守員へのヒアリング)に「op1に設定されているパスワードが、推測の容易な文字列であることが分かった」とあったので、より推測しにくいものに変更する必要があるということは容易に想像できそうです。
パスワードとパスフレーズの違いは、その言葉通り、一つの単語を想定したパスワード(8文字前後)、単語の組み合わせを想定したパスフレーズ(10文字以上)であり、パスフレーズの方が強度を高くなります。
パスワード認証の場合、サーバにアクセスするためにパスワードを使用しますが、パスフレーズは公開鍵認証で使用する秘密鍵にアクセスするために使用します。
そしてこのパスフレーズを十分に強固にすることで、第三者により不正に秘密鍵を利用できないようにすることができます。
d:パスワード認証
「SSHサーバの設定では、公開鍵認証を有効にするとともに、(d)を無効にする」
パスワード認証から公開鍵認証へ変更するとあるので、当然、パスワード認証を無効にすると想定できますが、何か見落としてないかと疑心暗鬼に思えます。。。
SSHのクライアント認証ではパスワード認証と公開鍵認証を併用することもできますが、セキュリティ強度が低い設定は無駄に残さないのが鉄則です。
e:秘密鍵
「万一、保守用中継サーバが不正アクセスされた場合を想定して、顧客管理サーバへのSSH接続に必要な(e)を利用されないように、保守用中継サーバに保存しない運用にしましょう。SSH Agent Forwardingと呼ばれる機能を使うと、保守作業のSSH接続に必要な(e)の全てを保守PCにだけ保存する運用にできます。」
保守用中継サーバ、顧客管理サーバへのSSH接続を整理すると以下のようになります。
- 保守PC(SSHクライアント)から保守用中継サーバ(SSHサーバ)
- 保守用中継サーバ(SSHクライアント)から顧客管理サーバ(SSHサーバ)
いずれもパスワード認証から公開鍵認証に変更しますが、SSH接続に必要でSSHクライアント側に保存するものは秘密鍵になります。
上記1項では保守PCに秘密鍵を保存し、2項では保守用中継サーバに秘密鍵を保存することになり、保守用中継サーバが不正アクセスされると秘密鍵を利用されてしまうことになってしまいます。
対応策として、SSH Agent Forwarding機能によって、ローカルPCに秘密鍵を保存したまま、ログイン先のサーバから別のサーバにSSH接続することが可能になります。
保守用中継サーバのSSHクライアント用秘密鍵を保守PCに保存した状態で、保守PC上で顧客管理サーバへ送信するディジタル署名(保守用中継サーバのクライアント署名)を生成することになります。
f:送信元IPアドレスを固定にする
「FWで接続元を制限することができれば、万一、SSHサーバソフトウェアで認証バイパスなどの脆弱性が発見されて悪用された場合にも有効な対策となる。」
「そこで、Fさんは、保守PC-B及び保守PC-Cを、VPN装置を介して又は直接、M社内のネットワークに接続させた後に、インターネット経由で保守用中継サーバにアクセスすることを考えた。このとき、(f)ことができれば、保守用中継サーバへのアクセスを表1の項番4のルールを変更することによって制限できる。」
前の問題文で、今回のセキュリティインシデントは、FWのフィルタリングルール項番4にある送信元をインターネットとする通信を(一時的に)許可する時間帯で発生したものでした。
(c:インターネット)
保守PC-B、保守PC-Cは固定のグローバルIPアドレスが付与されていないために、インターネット全体を送信元とせざるを得ないルールとなっています。
そこで、保守PC-B、保守PC-CをVPN経由などでM社内ネットワークの固定IPアドレスを付与することで、FWで許可する通信を保守PC-B、保守PC-Cに限定させることができます。