情報処理安全確保支援士試験 令和4年度 秋期 午後2 問1
【出典:情報処理安全確保支援士試験 令和4年度 秋期 午後2 問1(一部、加工あり)】
[ファイル転送手順の改善]
Q部では、Dシステムに検体を持ち込んで実行する手順が図3のとおりに定められている。
検体の実行によって生成されるOF機器上のログやファイルなどは、監査ログ保存サーバでは収集されない。そこで、検体の実行後、図4に示すファイル転送手順によってD-PCに転送する。
Tさんは、図4の手順では、OF環境で実行するマルウェアが、自律的に感染を広げる機能をもっている場合、ファイルシェアサーバに感染が及ぶ可能性があると考えた。万一、ファイルシェアサーバがマルウェアに感染すると、他のOF環境での解析作業に影響を与えてしまう。そこで、次の方針で新しい手順を作成することにした。
- OF環境内のルータごとに1台の検疫PCを新たに設置する。
- 解析ファイルの転送は、必ず検疫PCを経由させる。
- 解析ファイルの転送では、検疫PCがマルウェアに感染していないことを確認する。
- 検疫PCは、表3の通信制御のルールについては、OF機器として扱う。
- 検体の実行後、検疫PC以外のOF機器と、ファイルシェアサーバとは直接通信させない。
- 検疫PCは、パーソナルファイアウォール(以下、PFWという)の設定によって、検疫PCと管理Webサーバとの間の通信だけを許可しておき、解析ファイルの転送に必要な通信を転送時にだけ許可する。
Tさんは、検疫PCを用いた新しいファイル転送手順案を考案し、Y主任に説明した。後日、Q部内の会議でこのファイル転送手順が、Q部の正式な手順として採用された。新しいファイル転送手順を図5に示す。
図5中のa〜dに入れる適切な手順を、解答群の中から選び、記号で答えよ。
ア:検疫PCにログインし、検疫PCのPFWの設定を変更して検疫PCとOF機器との間の通信を許可する。解析ファイルをOF機器から検疫PCに転送する。
イ:検疫PCにログインし、検疫PCのPFWの設定を変更して検疫PCとファイルシェアサーバとの間の通信を許可する。解析ファイルを検疫PCからファイルシェアサーバに転送する。
ウ:検疫PCを除くOF機器をシャットダウンする。
エ:使用したOF環境内のルータを内部モードに切り替える。
a:(ア)検疫PCにログインし、検疫PCのPFWの設定を変更して検疫PCとOF機器との間の通信を許可する。解析ファイルをOF機器から検疫PCに転送する。
図5(新しいファイル転送手順)で示されるのは、解析ファイルの転送手順です。
解析ファイルは、図4(ファイル転送手順)の3項「使用したOF機器にログインし、ログ収集ツールが出力したファイル及び解析に必要な任意のファイル(以下、2種類のファイルをあわせて解析ファイルという)を収集する。」、4項「解析ファイルをファイルシェアサーバに転送する。」、6項「ファイルシェアサーバ上でマルウェアスキャンを実行し、ファイルシェアサーバがマルウェアに感染していないことを確認した上で、解析ファイルをD-PCに転送する。」とあるように、OF機器→ファイルシェアサーバ→D-PCの流れで転送されました。
新しい手順では、「解析ファイルの転送は、必ず検疫PCを経由させる。」とあるように、OF機器→検疫PC→ファイルシェアサーバ→D-PCの流れで転送されることになります。
図5の2項「使用したOF環境内のOF機器にログインし、解析ファイルを収集する。」で、OF機器での解析ファイルを収集した後の操作は、検疫PCへの解析ファイルの転送でいいでしょう。
b:検疫PCを除くOF機器をシャットダウンする。
図5の5項「検疫PCにログインし、マルウェアスキャンを実行して検疫PCがマルウェアに感染していないことを確認した上で、以降の手順に進む。」とあるように、5項まででOF機器→検疫PCの手順が完了することになります。
マルウェアに感染したOF機器が他の機器に感染を広げるのを防ぐために、操作が完了したOF機器をシャットダウンする手順が該当します。
c:使用したOF環境内のルータを内部モードに切り替える。
解析ファイルの転送手順で、次は検疫PC→ファイルシェアサーバの流れです。
ここで、OF機器からファイルシェアサーバへの通信にはルータを経由し、「検疫PCは、表3の通信制御のルールについては、OF機器として扱う。」とあります。
表3(OF機器に対するモードごとの通信制御のルール)の4項(送信元:OF機器、宛先:ファイルシェアサーバ)では、内部モードが許可、公開モードが禁止となっていて、検疫PC→ファイルシェアサーバへ転送するには内部モードになっている必要があります。
モードについては、図3(検体を持ち込んで実行する手順)の5項「使用するOF環境内のルータを公開モードに切り替える。」とあり、公開モードから内部モードへの切り替えが必要となります。
d:検疫PCにログインし、検疫PCのPFWの設定を変更して検疫PCとファイルシェアサーバとの間の通信を許可する。解析ファイルを検疫PCからファイルシェアサーバに転送する。
ここまできてやっと検疫PC→ファイルシェアサーバの転送が可能になります。