情報処理安全確保支援士(登録セキスペ)の午後問題の頻出分野「サーバセキュリティ」の攻略ポイントと過去問についてまとめました。
【関連技術】ファイアウォール、インシデント対応
ファイアウォール
| 用語 | 概要 |
|---|---|
| ゲートウェイ方式FW | アプリケーションのプロトコル(HTTP,FTP,SMTPなど)ごとにゲートウェイ機能の設定が必要。 |
| トランスポートゲートウェイ方式FW | トランスポート層レベルでコネクションを中継する。 |
| パケットフィルタリング方式FW | パケットのヘッダ部の内容に基づいてフィルタリングを行う。(電子メールの内容などはパケットのペイロード部に格納されているためチェックできない。 |
| ステートフルインスペクション方式FW | 通信内容の通過可否(ポートの開閉)を動的に判断するファイアウォールの方式。セッション毎に通信順序が矛盾した攻撃パケットを遮断することができたり、最小限の許可ルール設定で済むため「設定不備に対するサイバー攻撃に強い」という利点がある。 |
| ステートフルフェールオーバー方式FW | システム障害時に別のファイアウォールへ通信を引き継ぐ機能。 |
ウイルス検知
| 用語 | 概要 |
|---|---|
| パターンマッチング法 | 既知ウイルスのシグネチャと比較し、ウイルスを検出します。 |
| コンペア法 | 感染前のファイルと感染後のファイルを比較し、ファイルに変更が加わったかどうかを調べてウイルスを検出します。既知の検体と同一のウイルスのみ検出可能です。 |
| ビヘイビア法 | ウイルスに起因する異常現象を監視し、ウイルスを検出します。 |
| チェックサム法 | ファイルのチェックサムと照合し、ウイルスを検出します。 |
インシデント対応
| 用語 | 概要 |
|---|---|
| CSIRT | 企業、組織、政府内に設置され、情報セキュリティインシデントの報告を受け付け、それを元に調査と対応活動を行う組織。 |
| JVN | 日本で利用されている、ソフトウェアの脆弱性情報を提供しているポータルサイト。 |
| インシデント発生前のCSIRTの日常業務(JPCERT/CCが公表) | ①情報収集・事象分析(内外のセキュリティ関連情報を収集し、自社と関係の深いものを分析)→②脆弱性対応(パッチ適用、予防策の実施用)→③情報提供(一般社員への注意喚起等)→④対応手順の決定(対応プロセスの明確化、マニュアル整備、訓練等) |
| インシデント発生時のCSIRTの対応(JPCERT/CCが公表) | ①検知・連絡受付→②トリアージ(優先付け、情報収集、対応要否の決定等)→③インシデントレスポンス(事象分析、対応策の実施)→④報告・情報公開(必要に応じて関連組織へ連絡と報告) |
| インシデント発生後のCSIRTの対応 | 再発防止策の策定 |
| 脆弱性への対応 | ①情報収集(利用しているソフト等の脆弱性情報をJVN等から入手)→②深刻度評価(入手した脆弱性情報から自社にとっての深刻度をCVSS等で評価)→③措置の実施(修正プログラムの適用、ソフトの利用停止など)→④事象分析(情報資産管理、監視、脆弱性診断など) |
| CVSS | 共通脆弱性評価システムといい、オープンで汎用的な脆弱性の評価手法。基本評価基準(脆弱性そのものの特性評価)、現状評価基準(脆弱性の現在の深刻度を評価)、環境評価基準(利用環境を考慮した最終的な脆弱性の深刻度を評価)の3種類の基準がある。 |
| 用語 | 概要 |
|---|---|
| WAF(Web Application Firewall) | 「通過するパケットのIPアドレス」「ポート番号」「ペイロード部(データ部分)」をチェックして、Webアプリケーションに対する攻撃を検知し、通信をブロックできるファイアウォール。ただし、HTTPS通信が行われている経路上のパケットは暗号化されているため、これらの検知手法が使えない。そのためHTTPの経路に設置する。 |
| SSLアクセラレータ | SSL/TLS通信におけるパケットの暗号化/復号を高速に行う専用機器。Webサーバの処理負荷を軽減する目的で「ファイアウォールとWebサーバーの間」に設置される。またSSLアクセラレータのWAN側はHTTPSとなる(LAN側はHTTP)。 |
| SIEM | 様々なシステムの動作ログを一元的に蓄積・管理し、セキュリティ上の脅威となる事象をいち早く検知・分析します(Security Information and Event Management)。 |
| UTM | ファイアウォール機能を有し、ウイルス対策や侵入検知などを連携させ、複数のセキュリティ機能を統合的に管理します(Unified Threat Management)。 |
| TPM | Trusted Platform Moduleの略で、PCのマザーボード上に直付けされ「RSA暗号の暗号/復号」や「鍵ペアの生成」、「SHA-1ハッシュ値の計算」「デジタル署名の生成・検証」などの機能を有したセキュリティチップです。業界団体であるTCG(Trusted Computing Group)によって仕様が策定されています。 |
| SDN | SDN(Software Defined Network)の略で、ネットワーク上の様々な通信機器を集中的に制御しネットワーク構成やセキュリティ設定などを動的に変更します。 |
| DMZ | DeMilitarized Zone(非武装地帯)の略で、公開サーバなどの外部からアクセスされる可能性のある情報資源を設置するための、外部でも内部でもない中間的な位置に存在するセグメントです。インターネットと内部ネットワークおよびDMZは、ルータやファイアウォールで隔てられています。外部からのアクセスを受け付ける公開サーバを内部ネットワークに設置すると、攻撃を受けた際の被害が、内部ネットワークの他のサーバに波及する恐れがあるため、Webサーバは被害発生時の影響を最小限にするためDMZに設置するのが一般的です。一方、DBサーバへのアクセスはWebサーバを介して行われるため、外部から直接アクセスさせる必要がなく内部ネットワークに設置するのが一般的です。 |
| NAPT | プNetwork Address Port Translationの略で、プライベートIPアドレスとグローバルIPアドレスの相互変換するNATの考え方にポート番号を組み合わせた技術。NAPT機能には内部ネットワークを秘匿できるというセキュリティ上の副次的効果がある。 |
| TPM | PCのマザーボード上に直付けされ、RSA暗号の暗号/復号や鍵ペアの生成、ハッシュ値の計算、デジタル署名の生成・検証などの機能をもつセキュリティチップです。(Trusted Platform Module)。 |
【情報セキュリティ対策とは】マルウェア・不正プログラム、不正アクセスなど
情報セキュリティ対策とは?マルウェア・不正プログラム、不正アクセスなどについてまとめました。
joho.info
2019.01.25
【令和3度・秋・午後Ⅰ問1】セキュリティインシデント
| 項目 | 答え | 補足 |
|---|---|---|
| 公式 | 午後Ⅰ問題、解答(公式)、講評 | ー |
| 設問1(1) | (a)接続先が保守用中継サーバではない | SSH接続の際に警告メッセージは表示されているため、サーバまで通信は届いています。よって、警告メッセージが表示される可能性として「保守用中継サーバのフィンガープリントが変更された」「接続先が保守用中継サーバではない(他のサーバに接続しようとしている)」があります(前者は既に記載されているので後者が正解)。 |
| 設問1(2) | 操作ログの改ざんや削除を防止するため | 図2の「ログ」で、「SSH認証ログ及び操作ログへのアクセスには特権利用者の権限が必要であり、それらのログの確認はJ社のシステム管理者が実施する。」とある。よって、外部の保守員に一般利用者権限を与える理由は、「操作ログの改ざんや削除を防止するため」だとわかる。 |
| 設問1(3) | (b)保守PC-A (C)インターネット |
保守用中継サーバへのアクセスを許可するのは、「保守PC-A」のみ。表1 FWのフィルタリングルールで「保守PC-B又は保守PC-Cからの保守作業の際は、事前申請にきさいされた作業時間だけ、J社のシステム管理者が”許可”に変更する」とあるため、保守PC-B又は保守PC-Cは通常時は許可せずインターネットからも拒否。 |
| 設問2(1) | 6 | 保守用中継サーバからインターネットに向けた通信なので、「DMZからインターネット向けの通信(FWで拒否)」となる。 |
| 設問2(2) | 6月14日の7時0分から6月14日の9時30分まで | J社のシステム管理者は事前申請に従って、インターネットから保守用中継サーバのアクセスを許可しているため、「6月14日の7時0分から6月14日の9時30分まで」となる。 |
| 設問3(1) | ・保守員以外が不正に秘密鍵を利用できないようにするため ・秘密鍵が盗まれても悪用できないようにするため |
ー |
| 設問3(2) | (d)パスワード認証 | 題意のまま |
| 設問3(3) | (e)秘密鍵 | 題意のまま |
| 設問3(4) | (f)送信元IPアドレスを固定にする | 表1のルールを利用している(FWのアクセス制限)なので、インターネット経由の接続を他の接続と見分けるには、接続元に固定のIPアドレスを付与します。 |
| 用語 | 概要 |
|---|---|
| SH接続におけるフィンガープリント | SSH接続の過程でホスト認証が行われ、そのときの「サーバー(接続先)の公開鍵から計算されたハッシュ値」がフィンガープリントとなる。 |
【令和3度・秋・午後Ⅰ問3】セキュリティインシデント
| 項目 | 答え | 補足 |
|---|---|---|
| 公式 | 午後Ⅰ問題、解答(公式)、講評 | ー |
| 設問1(1) | LANから切り離す | 被害拡大防止のために「LANから切り離す」のは、マルウェアに感染した恐れのあるPC端末の初動対応として定番。 |
| 設問1(2) | ディスクイメージ | ログの答えてしまいそうだが、デジタル・フォレンジックに必要なのは「ディスクイメージ」。調査すべき証拠が消失、改変されないよう、証拠を保全するために「ディスクイメージ」を取っておけば、解析に失敗してもデータを復旧できる。 |
| 設問1(3)a | 最新のマルウェア定義ファイルを保存したDVD-Rの使用 | 何らかの方法により「フルスキャンを実施する」ので、マルウェアの定義ファイルを更新する必要があることがわかります。そのためには、LANから切り離したPC-Gのマルウェアの定義ファイルを、インターネットに接続しない方法で最新にする必要があります。ウイルス対策ソフトの使用より、それを可能にするのは、「別の正常なPCを用いて、インターネットからマルウェア定義ファイルを入手し、DVD-Rに保存し、DVD-R経由でPC-Gに最新のマルウェアの定義ファイルを渡して更新します。 |
| 設問1(3)b | マルウェア定義ファイルの更新 | 設問1(3)aの解説のとおり |
| 設問1(3)c | マルウェア対策ソフトの画面の操作 | 設問1(3)aの解説のとおり |
| 設問1(4) | Q社内の全てのPC及びサーバからのアクセス | 調査対象とする接続元IPアドレスがPC-Gのみとなっている。また、12月9日17時でのQ社全体でのフルスキャンによりマルウェアが検出されなかったが、12月9日17時以前にマルウェアに感染したPCがなかったとは限らない。よって、全アクセスの調査が必要となる。 |
| 設問2(1)① | 項番:3、送信元:総務部LAN、営業部LAN | 利用できるサーバを部署ごとに振り分けるため、それぞれに対してFWの設定を行う。 |
| 設問2(1)② | 項番:4、送信元:技術部LAN | 同上 |
| 設問2(2)d | V社配布サイトのURL | 問題文中で、サーバからの通信が必要なのは、「マルウェア定義ファイルの更新時だけ」と記載されているため。 |
| 設問2(2)e | 全て | ー |
| 設問3(1) | 登録した実行ファイルがバージョンアップされた場合 | ー |
| 設問3(2) | 登録した実行ファイルのマクロとして実行されるマルウェア | ー |
情報処理安全確保支援士試験(登録セキスペ)の概要、攻略法
情報処理安全確保支援士試験(登録セキスペ)の概要、攻略法についてまとめました。
joho.info
2021.05.03
【令和3年度・春・午後Ⅰ問2】DNSサーバのセキュリティ
| 項目 | 答え | 解説 |
|---|---|---|
| 公式 | 午後Ⅰ問題、解答(公式)、講評 | ー |
| 設問1(1) | A社公開Webサーバの名前解決ができなくなる。 | 表1より、外部DNSサーバの機能は「A社ドメインの権威DNSサーバ及び再帰的な名前解決を行うフルサービスリゾルバ」とあります。外部端末がA社公開Webサーバへアクセスする場合、まず、A社の外部DNSサーバで名前解決を行い、A社の公開WebサーバのIPアドレスを取得することでアクセスできるようになります。外部DNSサーバがサービス停止すると、この名前解決ができなくなります。 |
| 設問1(2) | DNSリフレクション攻撃 | 「②送信元のIPアドレスを偽装した名前解決要求を〜Dos攻撃」とはまさにDNSリフレクション攻撃のことです。 |
| 設問1(3)a | ア:DNS-F(フルサービスリゾルバ機能) | DMZ上のフルサービスリゾルバ(DNS-F)は、クライアントからの要求に対して、インターネットを経由して他の権威サーバとやり取りを行う必要があります。よって、FW(DMZとインターネットの間)DNS-F→インターネットのDNS通信を許可します。 |
| 設問1(3)b | イ:DNS-K(権威DNS機能) | DMZ上の権威DNSサーバ(DNS-K)は、インターネットを経由した問合せに応答を返すため、インターネット→DNS-FのDNS通信を許可します。 |
| 設問1(4)c | A | 問題文でIPv4で記載されているので『A』レコードであると判断できます。 |
| 設問1(5)d | ランダム化 | フルサービスリゾルバからインターネットにある権威サーバ宛にDNS問い合わせで通信する際、宛先ポート番号はデフォルトだとDNSなので53が用いられます。問い合わせ結果を受信する際は宛先ポート番号と送信元ポート番号が反転となります。よって、送信元ポート番号が固定の場合は容易に推測されてしまうtまえ、送信元ポートをウェルノウンポート以外の1024~65535のいずれかをランダムに使用します。 |
| 設問1(6)e | DNSSEC | DNSSECはディジタル署名を用いて、DNSサーバの偽装及びレコードの改竄を検証します。 |
| 設問1(7)f | オ:スタブリゾルバ | DoT(DNS over TLS)とは、スタブリゾルバ(クライアント)とフルサービスリゾルバ(DNSキャッシュサーバ)の間のDNS通信をTLSで暗号化する技術です。 |
| 設問1(7)g | カ:フルサービスリゾルバ | 同上 |
| 設問2(1) | 権威DNSサーバがサービス停止になるリスク | 権威DNSサーバをプライマリとセカンダリと二重化(冗長化)することで、プライマリDNSサーバに障害が発生した場合、セカンダリDNSサーバで名前解決できるようになります。 |
| 設問2(2)h | カ:dns-s.x-sha.co.jp. | 問題文中からA社のドメイン(a-sha.co.jp.)とDNS-Kのホスト名(dns-k)がわかります。同じように考えると、hもNSレコードなので、セカンダリのDNS-Sについて記載する必要があるとわかります。DNS-SはA社内ではなく、X社のホスティングサービス(ドメインがx-sha.co.jp.)でDNS-Sのホスト名(dns-s)なので「dns-s.x-sha.co.jp.」であるとわかります。 |
| 設問2(2)I | ク:mail.a-sha.co.jp. | MXレコード(メールサーバを指す)であり、問題文中からメールサーバのホスト名は「mail」でメールサーバはA社に帰属するもので、ドメインは「a-sha.co.jp」なので、「mail.a-sha.co.jp.」だとわかる。記述問題だと、末尾に「.」を付け忘れるので注意。 |
| 設問2(3)j | 拒否 | ゾーン転送は基本的にはプライマリからセカンダリに対して同期を行います。プライマリは要求先、セカンダリは要求元となります。よって、kだけ許可。ほかは拒否。 |
| 設問2(3)k | 許可 | 同上 |
| 設問2(3)l | 拒否 | 同上 |
| 設問2(3)m | 拒否 | 同上 |
| 設問2(4)n | オ:プロキシサーバ | 表1で「フルサービスリゾルバとしては、プロキシサーバとメールサーバが使用している」と記載されています。フルサービスリゾルバ、プロキシサーバ、メールサーバはA社のDMZ内からX社のホスティングサービス上に移動されたので、通信のためにFWのルールを変更します。 |
| 設問2(4)o | ア:DNS-HF | ー |
| 設問2(4)p | カ:メールサーバ | ー |
【DNSキャッシュポイズニング攻撃とは】原理と仕組み、対策方法
DNSキャッシュポイズニング攻撃とは?原理と仕組み、対策方法についてまとめました。
joho.info
【令和4年度・春・午後Ⅰ問3】DNSサーバのセキュリティ
| 項目 | 答え | 解説 |
|---|---|---|
| 公式 | 午後1問題、解答(公式)、講評 | ー |
【令和3年度・春・午後Ⅰ問3】セキュリティパッチ更新サーバのセキュリティ
| 項目 | 答え | 解説 |
|---|---|---|
| 公式 | 午後Ⅰ問題、解答(公式)、講評 | – |
| 設問1 | PCの動作に影響を与えないか | セキュリティパッチを配布する前に、検証LAN上のPCにセキュリティパッチを入れ、社内で利用されているアプリケーションを動作させて悪影響がないかを確認している。 |
| 設問2 | L2SW1 | 表1(FWのルール)より、DMZのみインターネットとの通信を許可している。よって、インターネットと接続されるすべての通信をモニタするには、DMZ上にあるL2SW1のミラーリングポートにパケット収集装置を接続します。 |
| 設問3(1) | エ(FF:FF:FF:FF:FF:FF) | WoLでは、起動パケット(マジック・パケット)と呼ばれる特殊なイーサネット・フレームをUDPで送信する。このとき、あて先アドレス(FF:FF:FF:FF:FF:FF、ブロードキャスト・アドレス)を起動したいPCのLANアダプタに割り当てられているMACアドレスに16回繰り返し送信される。マジックパケットを受け取った端末では、マジック・パケットで16回繰り返されているMACアドレスが自機のものでなければ無視し、自機のものであれば、電源投入の指示が来たと判断して電源をオンにする。 |
| 設問3(2) | イ(Macアドレス) | 上記より |
| 設問3(3) | 起動パケットを他のセグメントに転送するように変更する | 事前に検証したのは①のルートで、起動できなかったのは②のルートになります。②のルートについては、L3SWを経由することになります。WoLで起動する際には、ブロードキャストアドレスで通信しますが、L3SWはこの通信を許可しておらず「Direct-Broadcast」許可の設定変更が必要だという設問かと思われます。 |
| 設問4(1) | (2)IPアドレス(4)MACアドレス | ー |
| 設問4(2) | エージェントに大量のPINGコマンドを検知設定し、EDR管理サーバとの通信以外を全て遮断する | マルウェアの感染が疑われた端末は隔離する必要がある。表1のエージェント部分に隔離に関する機能の記述があるため、この機能を利用する |
【令和0年度・春・午後Ⅰ問1】メールサーバのセキュリティ対策
【令和3年度・春・午後Ⅱ問1】インシデント対応(情報セキュリティ委員会の活動)
| 項目 | 答え |
|---|---|
| 公式 | 午後Ⅱ問題、解答(公式)、講評 |
| 設問1(1) | 外部から入手した利用者IDとパスワードの組みのリストを使ってログインを試行する攻撃 |
| 設問1(1) | 外部から入手した利用者IDとパスワードの組みのリストを使ってログインを試行する攻撃 |
| 設問1(3) | ・IPアドレスから分かる地理的位置について、過去のログインのものとの違いを確認する。 ・WebブラウザのCookieを利用し、過去にログインした端末かを判定する。 |
| 設問1(4) | タイムゾーン |
| 設問1(5) | 9 |
| 設問2 | マルウェアに感染したUSBメモリを介して管理用PCに侵入し、さらに店舗管理サーバーへ侵入する。 |
| 設問3(1)c | オ(情報セキュリティ委員会) |
| 設問3(2)d | イ(検知) |
| 設問3(2)e | カ(分析) |
| 設問3(2)f | ウ(根絶) |
| 設問4(1) | 5 |
| 設問4(2) | 脆弱性Mを悪用しても一般利用者権限での操作であるが、”/etc/shadow”ファイルの閲覧には管理者権限が必要なため |
| 設問4(3) | 攻撃の接続元IPアドレスを”/etc/hosts.allow”ファイルに追加する。 |
| 設問4(4) | 24 |
| 設問4(5) | FW2ぬおいて、インターネットからのインバウンド通信はN社とV社からの通信だけを許可する |
| 設問5 | ・複数の脆弱性が同時に悪用される可能性の観点 ・対応を見送った脆弱性の影響の観点 |
【令和元年度・秋・午後Ⅱ問1】インシデント対応(フォレンジック調査)
| 項目 | 答え |
|---|---|
| 公式 | 午後Ⅱ問題、解答(公式)、講評 |
情報処理安全確保支援士試験(登録セキスペ)の概要、攻略法
情報処理安全確保支援士試験(登録セキスペ)の概要、攻略法についてまとめました。
joho.info
2021.05.03
【情報処理入門】用語解説・資格試験対策まとめ
情報処理分野の用語・原理・資格試験対策について解説します。
joho.info
2023.08.08
コメント