【情報処理安全確保支援士試験令和4年度秋期午後2 問1 No.2】

情報処理安全確保支援士試験令和4年度秋期午後2 問1

【出典：情報処理安全確保支援士試験令和4年度秋期午後2 問1（一部、加工あり）】

[ファイル転送手順の改善]
Q部では、Dシステムに検体を持ち込んで実行する手順が図3のとおりに定められている。

検体の実行によって生成されるOF機器上のログやファイルなどは、監査ログ保存サーバでは収集されない。そこで、検体の実行後、図4に示すファイル転送手順によってD-PCに転送する。

Tさんは、図4の手順では、OF環境で実行するマルウェアが、自律的に感染を広げる機能をもっている場合、ファイルシェアサーバに感染が及ぶ可能性があると考えた。万一、ファイルシェアサーバがマルウェアに感染すると、他のOF環境での解析作業に影響を与えてしまう。そこで、次の方針で新しい手順を作成することにした。

OF環境内のルータごとに1台の検疫PCを新たに設置する。
解析ファイルの転送は、必ず検疫PCを経由させる。
解析ファイルの転送では、検疫PCがマルウェアに感染していないことを確認する。
検疫PCは、表3の通信制御のルールについては、OF機器として扱う。
検体の実行後、検疫PC以外のOF機器と、ファイルシェアサーバとは直接通信させない。
検疫PCは、パーソナルファイアウォール（以下、PFWという）の設定によって、検疫PCと管理Webサーバとの間の通信だけを許可しておき、解析ファイルの転送に必要な通信を転送時にだけ許可する。

Tさんは、検疫PCを用いた新しいファイル転送手順案を考案し、Y主任に説明した。後日、Q部内の会議でこのファイル転送手順が、Q部の正式な手順として採用された。新しいファイル転送手順を図5に示す。

図5中のa〜dに入れる適切な手順を、解答群の中から選び、記号で答えよ。
ア：検疫PCにログインし、検疫PCのPFWの設定を変更して検疫PCとOF機器との間の通信を許可する。解析ファイルをOF機器から検疫PCに転送する。
イ：検疫PCにログインし、検疫PCのPFWの設定を変更して検疫PCとファイルシェアサーバとの間の通信を許可する。解析ファイルを検疫PCからファイルシェアサーバに転送する。
ウ：検疫PCを除くOF機器をシャットダウンする。
エ：使用したOF環境内のルータを内部モードに切り替える。

a：（ア）検疫PCにログインし、検疫PCのPFWの設定を変更して検疫PCとOF機器との間の通信を許可する。解析ファイルをOF機器から検疫PCに転送する。

図5（新しいファイル転送手順）で示されるのは、解析ファイルの転送手順です。
解析ファイルは、図4（ファイル転送手順）の3項「使用したOF機器にログインし、ログ収集ツールが出力したファイル及び解析に必要な任意のファイル（以下、2種類のファイルをあわせて解析ファイルという）を収集する。」、4項「解析ファイルをファイルシェアサーバに転送する。」、6項「ファイルシェアサーバ上でマルウェアスキャンを実行し、ファイルシェアサーバがマルウェアに感染していないことを確認した上で、解析ファイルをD-PCに転送する。」とあるように、OF機器→ファイルシェアサーバ→D-PCの流れで転送されました。
新しい手順では、「解析ファイルの転送は、必ず検疫PCを経由させる。」とあるように、OF機器→検疫PC→ファイルシェアサーバ→D-PCの流れで転送されることになります。
図5の2項「使用したOF環境内のOF機器にログインし、解析ファイルを収集する。」で、OF機器での解析ファイルを収集した後の操作は、検疫PCへの解析ファイルの転送でいいでしょう。

b：検疫PCを除くOF機器をシャットダウンする。

図5の5項「検疫PCにログインし、マルウェアスキャンを実行して検疫PCがマルウェアに感染していないことを確認した上で、以降の手順に進む。」とあるように、5項まででOF機器→検疫PCの手順が完了することになります。
マルウェアに感染したOF機器が他の機器に感染を広げるのを防ぐために、操作が完了したOF機器をシャットダウンする手順が該当します。

c：使用したOF環境内のルータを内部モードに切り替える。

解析ファイルの転送手順で、次は検疫PC→ファイルシェアサーバの流れです。
ここで、OF機器からファイルシェアサーバへの通信にはルータを経由し、「検疫PCは、表3の通信制御のルールについては、OF機器として扱う。」とあります。
表3（OF機器に対するモードごとの通信制御のルール）の4項（送信元：OF機器、宛先：ファイルシェアサーバ）では、内部モードが許可、公開モードが禁止となっていて、検疫PC→ファイルシェアサーバへ転送するには内部モードになっている必要があります。