情報処理安全確保支援士試験 令和3年度 秋期 午後2 問1
【出典:情報処理安全確保支援士試験 令和3年度 秋期 午後2 問1(一部、加工あり)】
Yさんは、Gサービスへの移行について、Dシステムの利用規約の継続を前提として、次の項目を検討することにした。
項目1:必要なセキュリティ対策のGサービスでの実現可否
項目2:SIEMとの連携
[項目2の検討]
現行のDシステムでは、協力会社以外からのアクセスを検知するためにSIEMを利用しているが、GサービスではSIEMの機能は提供していない。Yさんが調査した結果、Gサービスに移行した場合でも、GサービスのAPIを利用すれば、表3に示すログをU社のSIEMへ取り込めることが分かった。
ログには、操作対象、実行された操作とともに、日付、時刻、実行した利用者ID、アクセス元IPアドレス、及び結果(成功又は失敗)が記録される。
続いて、Yさんは、Gサービスが提供している、利用者IDとパスワードによる認証を利用した場合に、SIEMを利用してログから不正アクセスが検知できるかどうかを検討した。表4は、Yさんが考えた、ログから不正アクセスを検知する方法である。
表4を確認したTさんは、いずれの不正アクセスもゆっくりと実行された場合には見逃すことがあることと、項番2については、⑤ほかの場合にも見逃すことがあることを指摘した。さらに、不正アクセスを防ぐには、多要素認証を採用する方がよいことと、多要素認証は、Gサービス単独では実現できないが、IDaaSとの連携で実現できることを説明した。
f(20字以内):同一利用者IDでのログイン失敗
「一定時間当たりの(f)の回数がしきい値を超えたら、不正アクセスとして検知する。」
不正アクセスの方法「利用者IDを固定して、パスワードを総当たりする」に対する検知の方法です。
パスワードの組み合わせを片っ端から総当たりするということから、ログイン成功するまで何度も失敗を繰り返すことになります。
したがって、同一利用者IDによるログイン失敗の回数をしきい値として設定しておけば、不正アクセスとして検知できそうです。
ただ、正規の利用者もパスワードを忘れてログイン失敗を繰り返すことが想定されるため、一定時間当たりのログイン失敗の回数とすればいいでしょう。
この裏返しで、続く記述「ゆっくりと実行された場合には見逃すことがある」とあるように、一定時間を超えてログイン失敗を繰り返せば不正アクセスとして検知できなくなります。
下線⑤について、ほかの場合とはどのような場合か。(40字以内):アクセス元IPアドレスを変えながら、不正アクセスを続けた場合
「表4を確認したTさんは、いずれの不正アクセスもゆっくりと実行された場合には見逃すことがあることと、項番2については、⑤ほかの場合にも見逃すことがあることを指摘した。」
不正アクセスの方法「少数のパスワードについて、利用者IDを総当たりする」、通称「リバースブルートフォース攻撃」に対する検知の方法として、「一定時間当たりの同一IPアドレスからの異なる利用者IDによるログイン失敗の回数がしきい値を超えたら、不正アクセスとして検知する」としています。
これは、単純に考えて、同一IPアドレスでなければ検知できないと想定できそうです。
アクセス元のIPアドレスは、攻撃者自身が複数の場所から不正アクセスを仕掛けたり、パケットを送信する際に偽装することで、変更することが可能なものです。
したがって、アクセス元IPアドレスを変えながら不正アクセスされると、この検知の方法では見逃してしまうことになります。