今回は、令和6年度 春期 情報処理安全確保支援士 午後 問2の中から、【設問1】DDoS攻撃に関する問題に焦点を当てて、解答への道筋を分かりやすく解説していきます。
この問題は、企業が直面する現実的な脅威であるDDoS攻撃への対策について、具体的な知識が問われる良問です。【出題趣旨】にも「企業を狙ったDDoS攻撃も後を絶たない」とあるように、非常に重要なテーマですね。
それでは、一緒に問題の核心に迫っていきましょう!
情報処理安全確保支援士試験 令和6年度 春期 午後 問2
【出典:情報処理安全確保支援士試験 令和6年度 春期 午後 問2(一部、加工あり)】
問2 サイバー攻撃への対策に関する次の記述を読んで、設問に答えよ。
H社は、従業員3,000名の製造業であり、H社製品の部品を製造する約500社と取引を行っている。取引先は、H社に設置された取引先向けWebサーバにHTTPSでアクセスし、利用者IDとパスワードでログインした後、H社との取引業務を行っている。また、公開Webサーバでは、H社製品の紹介に加え、問合せや要望の受付を行っている。いずれのWebサーバが停止しても、業務に支障が出る。
H社では、社内に設置しているPC(以下、H-PCという)とは別に、一部の従業員に対して、VPNクライアントソフトウェアを導入したリモート接続用PC(以下、リモート接続用PCをR-PCという)を貸与し、リモートワークを実現している。R-PCとH社との間のVPN通信には、VPNゲートウェイ(以下、VPNゲートウェイをVPN-GWといい、H社が使用しているVPN-GWをVPN-Hという)を使用している。
H社のネットワークは、情報システム部のL部長とT主任を含む6名で運用している。H社のネットワーク構成を図1に示す。
UTMの機能概要及び設定を表1に、VPN-Hの機能概要及び設定を表2に示す。
最近、同業他社でサイバー攻撃による被害が2件立て続けに発生したという報道があった。1件は、VPN-GWが攻撃を受け、社内ネットワークに侵入されて情報漏えいが発生した事案である。もう1件は、DDoS攻撃による被害が発生した事案である。
H社でも同様な事案が発生する可能性について、L部長とT主任が調査することにした。
[VPN-GWへの攻撃に対する調査]
T主任は、VPN-GWへの攻撃方法を次のようにまとめた。
- 方法1:VPN-GWの認証情報を推測し、社内ネットワークに侵入する。
- 方法2:VPN-GWの製品名や型番を調査した上で、社内ネットワークへの侵入が可能になる脆弱性を調べる。もし、脆弱性が存在すればその脆弱性を悪用し、社内ネットワークに侵入する。
T主任は、方法1については、VPN-Hの認証強化を検討することにした。また、方法2については、VPN-Hの脆弱性対策と、VPN-Hへのポートスキャンに対する応答を返さないようにする方法(以下、ステルス化という)を検討することにした。方法1と方法2についてT主任がまとめた対策案を表3に示す。
[DDoS攻撃に対する調査]
次に、T主任は、DDoSに関連する攻撃について調査し、H社で未対策のものを表4にまとめた。
次は、表4についてのT主任とL部長の会話である。
T主任:項番1、2、4のDDoS攻撃のサーバへの影響は、UTMのIPS機能とWAF機能で軽減することができます。
L部長:そうか。機能の設定に関する注意点はあるのかな。
T主任:例えば、アノマリ型IPS機能で、トラフィック量について、しきい値が高すぎる場合にも、①しきい値が低すぎる場合にも弊害が発生するので、しきい値の設定には注意するようにします。また、項番3の対策として、現在のDNSサーバを廃止して、権威DNSサーバの機能をもつサーバ(以下、DNS-Kという)とフルサービスリゾルバの機能をもつサーバ(以下、DNS-Fという)を社内に新設します。インターネットから社内へのDNS通信は(b)への通信だけを許可し、社内からインターネットへのDNS通信は(c)からの通信だけを許可します。
まずは問題の状況を整理しよう!【本文要約】
今回の舞台は、製造業のH社です。まずはH社が置かれている状況と、問題となっているポイントを簡潔に整理してみましょう。
- 登場する企業: H社(従業員3,000名)
- ネットワーク構成:
- インターネットに接続されたDMZと内部セグメントが存在
- DMZには、取引先向けWebサーバ、公開Webサーバ、DNSサーバ、プロキシサーバ、メールサーバ、VPN-Hが設置されている
- 内部には、PCセグメントがある
- 課題:
- 同業他社でVPN-GWへの攻撃とDDoS攻撃による被害が発生
- H社のUTMに搭載されているIPS機能とWAF機能が無効になっている
- T主任は、H社で未対策のDDoS関連攻撃をリストアップしている(表4)
【採点講評】によると、この設問の全体的な正答率はやや高かったとのことです。 基本的な知識をしっかり押さえていれば、得点しやすい問題と言えそうですね。
【設問1 (1)】HTTP GET Flood攻撃の具体例を考えよう
(1) 表4中の (a) に入れる攻撃の例を、H社での攻撃対策を示して具体的に答えよ。
考え方のポイント
表4は、H社で未対策のDDoS攻撃をまとめたものです。項番1はUDP、項番2はSYNと、プロトコルレベルでの攻撃が挙げられています。項番4のHTTP GET Flood攻撃は、これらとは異なり、アプリケーションレベルの攻撃です。
- HTTP GET Flood攻撃とは?
Webサーバに対して、正常なHTTP GETリクエストを大量に送りつける攻撃です。サーバはリクエストごとに応答を返そうとリソース(CPU、メモリなど)を消費し、最終的には正規のユーザーからのリクエストに応えられなくなってしまいます。 - 「H社での攻撃対策を示して」
この部分が重要です。単に攻撃を説明するだけでなく、「H社において、どのサーバが攻撃対象になるか」を明確にする必要があります。問題文から、H社には外部に公開されているWebサーバが2つあることがわかります。- 取引先向けWebサーバ: 取引先が業務で利用する
- 公開Webサーバ: H社製品の紹介や問い合わせ受付を行う
これらのサーバは、外部からのHTTP(S)アクセスを受け付けているため、HTTP GET Flood攻撃の標的になり得ます。
解答への道筋
上記のポイントを組み合わせると、解答が見えてきます。
- 攻撃対象を特定する: 「公開Webサーバ」と「取引先向けWebサーバ」
- 攻撃内容を記述する: 「HTTP GETリクエストを繰り返し送る」
これらをまとめると、解答例のような具体的な説明になります。
【解答例】 公開Webサーバ、取引先向けWebサーバを攻撃対象に、HTTP GET リクエストを繰返し送る。
【設問1 (2)】アノマリ型IPSの「しきい値が低すぎる」場合の弊害
(2) 本文中の下線①の場合に発生する弊害を、25字以内で答えよ。
(下線①: しきい値が低すぎる場合にも弊害が発生する )
考え方のポイント
まず、UTMのアノマリ型IPS機能の仕組みを理解することが重要です。
- アノマリ型: 「異常」を検知する方式です。あらかじめ「正常な通信」の状態(トラフィック量など)を学習しておき、そこから大きく逸脱した通信を「異常」として検知します 。
- しきい値: 「どこからが異常か」を判断するための境界線です。
この「しきい値」の設定がポイントです。
- しきい値が高すぎる場合: 本当の攻撃(異常なトラフィック)が発生しても、しきい値に達しないため見逃してしまいます(検知漏れ/フォールスネガティブ)。
- しきい値が低すぎる場合: 一時的なアクセスの集中など、攻撃ではない正常な通信まで「異常」と誤って判断してしまいます。これを過検知(フォールスポジティブ)と呼びます。
【採点講評】では「IPS機能の仕様を反対に理解していると思われる解答が散見された」との指摘がありました。 しきい値の高低がそれぞれどのような結果をもたらすのか、正確に理解しておくことが大切ですね。
解答への道筋
下線①「しきい値が低すぎる場合」に発生する弊害は、まさにこの「過検知」です。つまり、問題のない通信を攻撃だと誤認してしまうことです。
【解答例】 正常な通信を異常として検知してしまう。
【設問1 (3)】DNSサーバの適切な通信許可設定
(3) 本文中の(b)、(c)に入れる適切な字句を、”DNS-F”又は”DNS-K”から選び答えよ。
考え方のポイント
この問題を解く鍵は、権威DNSサーバとフルサービスリゾルバ(キャッシュDNSサーバ)の役割の違いを正確に理解することです。
T主任は、DNSリフレクション攻撃の踏み台にされる対策として、現在のDNSサーバを2つのサーバに分離する案を提示しています。
- DNS-K (権威DNSサーバ): 自分の管理するドメイン(例: h-sha.co.jp)に関する情報を保持し、外部からの問い合わせに答えるサーバ。「このドメインのIPアドレスは何ですか?」と聞かれたら答えるのが役目です。
- DNS-F (フルサービスリゾルバ): 内部のPCからの「このWebサイトのIPアドレスを教えて」という依頼を受け、代わりに外部の権威DNSサーバに問い合わせ、結果をPCに返すサーバです。
この役割を踏まえて、通信の方向性を考えます。
- (b) インターネットから社内へのDNS通信: これは、外部の人がH社のWebサーバなどにアクセスしようとする際の通信です。したがって、H社のドメイン情報を管理しているDNS-K(権威DNSサーバ)への問い合わせであるべきです。
- (c) 社内からインターネットへのDNS通信: これは、H社の従業員が外部のWebサイトを見るために、H-PCから名前解決を要求する通信です。この依頼はまずDNS-F(フルサービスリゾルバ)に送られ、DNS-Fが外部へ問い合わせを行います。
解答への道筋
上記から、インターネットからのDNS通信はDNS-Kが受け、社内からのDNS通信はDNS-Fが起点となって外部へ送信されるのが適切な構成です。
【解答例】 b: DNS-K、c: DNS-F
まとめ
今回は、DDoS攻撃という実践的なテーマに関する設問1を解説しました。
- (1) 攻撃の具体例: 知識だけでなく、問題文の状況(どのサーバが存在するか)を読み取って解答する応用力が試されました。
- (2) IPSのしきい値: セキュリティ機器の基本的なパラメータ設定に関する理解が問われました。過検知(フォールスポジティブ)と検知漏れ(フォールスネガティブ)は頻出用語なので、必ず押さえておきましょう。
- (3) DNSサーバの役割: ネットワークの基本であり、セキュリティの観点からも非常に重要なDNSの役割分担に関する問題でした。
【出題趣旨】や【採点講評】 を見ても、基本的な知識を正確に理解し、それを問題文の状況に当てはめて考える力が求められていることがわかります。
一つ一つの知識を丁寧に、そして正確に積み上げていくことが合格への一番の近道です。これからも一緒に頑張っていきましょう!