【情報処理安全確保支援士試験 令和6年度 春期 午後 問2 No.4】

情報処理安全確保支援士試験 令和6年度 春期 午後 問2

【出典：情報処理安全確保支援士試験 令和6年度 春期 午後 問2（一部、加工あり）】

[DDoS攻撃に対する具体的対策の検討]
 T主任は、表4の項番3以外に対する具体的対策の検討に着手した。
 まず、通信回線については、DDoS攻撃で大量のトラフィックが発生すると、使えなくなる。これについては、通信回線の帯域を大きくするという方法のほか、⑤外部のサービスを利用するという方法があることが分かった。
 次に、サーバへの影響は、これまでに検討したUTMのIPS機能とWAF機能を有効化することで軽減できることが分かっている。加えて、取引先向けWebサーバについては、次の対応によって、⑥更にDDoS攻撃の影響を軽減できることが分かった。

• 取引先には、H社との取引専用のPC（以下、取引専用PCという）を貸与する。取引専用PCには、Sソフトを導入する。
• 取引専用PCごとのIDと秘密情報を、S-APPLと取引専用PCそれぞれに設定する。
• S-APPLに、取引専用PCがVPN確立後にアクセス可能なサーバとして、取引先向けWebサーバだけを設定する。
• UTMのファイアウォール機能で、インターネットから取引先向けWebサーバへの通信を拒否するように設定する。

 その後、H社では、S-APPLの導入、UTMの設定変更、DNSサーバの変更などを行い、新たな運用を開始した。

下線⑤について、利用する外部のサービスを、20字以内で具体的に答えよ。：DDoS対策機能を有するCDNサービス/クラウド型ファイアウォールサービス/ISPが提供するDDoS防御サービス

「まず、通信回線については、DDoS攻撃で大量のトラフィックが発生すると、使えなくなる。これについては、通信回線の帯域を大きくするという方法のほか、⑤外部のサービスを利用するという方法があることが分かった。」
 DDoS攻撃で通信回線が使えなくなるのは、攻撃を受ける側のインターネット向け回線が埋め尽くされてしまうことによって引き起こされます。
 したがって、インターネットと接続する箇所で対策を講じても効果がないため、インターネット側であるISPやクラウド、つまり外部のサービスを利用します。

• DDoS対策機能を有するCDNサービス
  CDN（Contents Delivery Network）は、地理的に分散したサーバーのネットワークで構成されており、ユーザーに近いサーバーからコンテンツを配信することで、速度を向上させたり、負荷を分散させたりするためのサービスです。
  CDNではトラフィックを常時監視し、異常なトラフィックパターンを検知します。例えば、通常の数倍のリクエストが一瞬で送信された場合、そのトラフィックがDDoS攻撃である可能性があります。
  CDNサービスは、異常なトラフィックを自動的に検知し、フィルタリングする機能を持っています。これにより、攻撃者からのトラフィックを排除し、正常なユーザーのリクエストを処理します。
• クラウド型ファイアウォールサービス
  インターネット上のクラウド環境に設置されたファイアウォール機能を、サービスとして利用する形態です。オンプレミスのファイアウォールとは異なり、物理機器を持たずに、クラウド上で一元的にネットワークのトラフィック制御やセキュリティ対策を実施できます。
• ISPが提供するDDoS防御サービス
  ISPが提供するDDoS防御サービスでは、インターネット通信の入り口（通信事業者のネットワーク）で、大量の不正トラフィックを検知・遮断するサービスです。これにより、企業のネットワークやサーバに届く前に攻撃を食い止めることができます。

下線⑥について、軽減できる理由を、40字以内で答えよ。：取引専用PC以外からの通信は取引先向けWebサーバに到達しないから/UTMの設定変更によって、ボットネットからの通信が遮断されるから/UTMの設定変更に伴って、外部からの接続対象サーバでは無くなったから

「次に、サーバへの影響は、これまでに検討したUTMのIPS機能とWAF機能を有効化することで軽減できることが分かっている。加えて、取引先向けWebサーバについては、次の対応によって、⑥更にDDoS攻撃の影響を軽減できることが分かった。」

• 取引先には、H社との取引専用のPC（以下、取引専用PCという）を貸与する。取引専用PCには、Sソフトを導入する。
• 取引専用PCごとのIDと秘密情報を、S-APPLと取引専用PCそれぞれに設定する。
• S-APPLに、取引専用PCがVPN確立後にアクセス可能なサーバとして、取引先向けWebサーバだけを設定する。
• UTMのファイアウォール機能で、インターネットから取引先向けWebサーバへの通信を拒否するように設定する。

 DDoS攻撃の対応として、前の設問で挙げた通信回線に対するものに続き、サーバへの影響を軽減する対応が記述されています。
 上記の問題文は、サーバの中で、取引先Webサーバへの対応についての説明です。
 現状は、取引先Webサーバへのインターネットからの通信は全て許可されていましたが、上記の対応では、取引専用PCのS-APPL経由での通信のみ許可されていることが分かります。
 したがって、攻撃者が取引先Webサーバへ直接通信することはできず、DDoS攻撃への影響を軽減できることになります。