解答例は公式サイトを確認していますので、間違いはないと思います。
解説については自分の記憶に入り込みやすい形で書いているので、満点解説とは限りません。
思考回路をなるべく文字に起こしておりますので、お役に立てれば幸いです。
重要ワード
- ハウジング契約
サーバーの設置場所、ネット回線や電源などを借り、サーバー自体は自分たちで賄う利用形態のことです。ホスティング契約はサーバーもまるごと借りたり、決められた容量だけ借りたりする形態を指します。 - UTM
Unified Threat Managementの略。日本語訳すると、統合脅威管理です。UTMの構成要素としては、ファイアウォール、IDS/IPS、アンチウイルス、Webフィルタリングなどが一元管理されているケースが多いです。 - VPNサーバー
Virtual Private Networkの略。インターネットに独自のトンネルを作るイメージをしていただければ大丈夫です。暗号化する場合とカプセル化する場合とその両方の場合の3パターンがあるのですが、暗号化するために必要な通信規約に「IPsec」があります。 - SSH
Secure Shellの略。暗号方式としてはSSL/TLSと同じくハイブリッド型を取ります。SSLとは違い、サーバー管理者に向いている通信プロトコルです。 - CRYPTREC
Cryptography Research and Evaluation Committees の略。電子政府推奨暗号の安全性を評価・監視する委員会の総称です。「電子政府」における調達のための推奨すべき暗号のリスト(電子政府推奨暗号リスト)を2003年に発表しました。2021年に発足したデジタル庁もこのプロジェクトに参画しています。 - ローカルブレイクアウト
LBO(Local Break Out)ともいう。特定のクラウドサービスのトラフィックに限って、DCとのやり取りをせずに直接クラウドサービスとインターネット接続をすること。これにより、社内VPNやDCーインターネット間の帯域圧迫を避けることが出来ます。 - C&Cサーバー
コマンド&コントロールサーバーの略。攻撃者が踏み台として利用するサーバーの事を指します。 - FQDN
Fully Qualified Domain Nameの略。ホスト名+ドメイン名のことです。IPアドレスと1対1の関係ですが、IPアドレスは数字で利用者(人間)が判別しにくい反面、FQDNは文字列なので利用者が識別することが出来ます。ただし、コンピューターはFQDNを直接解読することはできないため、FQDN→IPアドレスへの変換が必要になります。 - DNSシンクホール
クライアント側からの名前解決で不正なIPアドレスをもつホスト名のリクエストを要求された場合、シャットアウトする機能です。
解答・解説
設問1 テレワークの検討について
(1)図5中のa~dに入れる適切な役割を解答群の中から選び、記号で答えよ。
解答:
a ア
b イ
c イ
d ウ
解説
a 予算を割り当てたり、投資したりするのは経営者(ア)ですね。
b 技術的対策を講じ、保守するのはシステム担当者(イ)ですね。
c システムのセキュリティー要件を決定するのはシステム担当者(イ)ですね。
d パスワードを設定するのは利用者(ウ)ですね。
(2)図5中のeに入れる語句を英字8字以内で答えよ。
解答:CRYPTREC
解説
知識問題になります。重要ワードをご確認ください。
設問2 ネットワーク構成の見直しについて
(1)図6中の下線①のネットワーク構成を示す用語を、解答群の中から選び、記号で答えよ。
解答:エ
解説
知識問題になります。ローカルブレイクアウトについては重要ワードをご確認ください。
OpenFlowはネットワーク装置のアーキテクチャ(分離)に関する話です。
SoftWare-Defined Networkingはネットワークインフラのコントローラー部分統合の概念のお話です。
ゼロトラストネットワークは「信頼100%のものはもはやありません。全てを疑ってかかりましょう。」という性悪説に則ったセキュリティー概念です。
(2)本文中の下線②について、トラブルを引き起こした原因を、 35 字以内で具体的に述べよ。
解答:Bサービスのアクセス制限機能によって通信が拒否されたから
解説
・・・アクセス制限機能によって、アクセス元IPアドレスがUTMのグローバルIPアドレスの場合だけアクセスが許可される。
表1 構成要素の説明(概要) Bサービスの記載
上記の内容に記載されている通り、現構成ではUTMのグローバルIPからの接続のみが許可されています。
ただし、
Bサービスへのアクセスだけ、拠点VPNサーバーから、DCを経由させずに支社に敷設したインターネット接続回線を経由させる。
図6 新NWの内容 下線①
上記の通り、Bサービスはローカルブレイクアウトの概念からDCを接続しておりませんので、グローバルIPは支社それぞれで異なります。これが接続不可の原因になります。
テストの段階で、こんな初歩的なミスを発覚させてしまったら、大変ですね・・・
設問3 インシデントへの対策の検討
(1)本文中の下線③について、どのような設定変更か。40 字以内で具体的に述べよ。
解答:マルウェア内にFQDNで指定したC&CサーバーのIPアドレスの変更
解説
問題文から攻撃者は「攻撃元を再度偽装する」ことをP氏は危惧していることはすぐに分かるのではないでしょうか。
では、どのように偽装するのかを考えていけばよいのですが、
Gさんは特定のIPアドレスをUTMにて拒否すると提案していますので、攻撃者はIPアドレスを変更すること危険性があるでしょう。
(2)本文中の下線④について、DNSシンクホール機能を有効化した場合でも、UTM での通信拒否が必要な理由を、マルウェアの解析結果を踏まえて 40字以内で具体的に述べよ。
解答:C&Cサーバーとの通信時にDNSへの問い合わせを実行しない場合があるから
解説
同日、X社から・・・・・・A社固有のファイルパス、並びにC&CサーバーのIPアドレスおよびFQDNのリストが埋め込まれていた。
[インシデントの発生]の文中
DNSシンクホール機能が使えるのは、名前解決を実施する場合のみです。IPアドレスを用いて通信する場合は、DNSにて名前解決する必要がありませんので問い合わせが発生しないことになります。
(3)本文及び表4中のfに入れる適切な字句を、20字以内で答えよ。
解答:イベントログの消去を示すログ
解説
一部の業務PCでは、すべてのイベントログが消去された痕跡があった。全てのイベントログが消去された後、イベントログにイベントログの消去を示すログが記録されていた。
図8 初期調査結果(概要)
初期調査結果の[攻撃者の活動の特徴]に記載がある通り、当マルウェアは活動記録を消去する機能を持っていることがわかる。イベントログα、β以外に確認すべき項目といわれると少し頓知が利いていますが「消去ログ」をチェックする必要があると言えます。
(4)本文中の下線⑤について、問題がないと判定されるのは、PCやサーバーがマルウェアβに感染後、マルウェアβがどのような挙動をしていた場合か。25字以内で具体的に述べよ。
解答:横展開機能と待機機能だけを実行していた場合
解説
(1) 待機機能
表2 マルウェアの特徴
・・・
(2)横展開機能
・・・
(3)遠隔操作機能
・・・マルウェアβの実行を示すログが記録される。以後、当該PC又はサーバの起動中はC&Cサーバから攻撃者が遠隔操作できる状態を維持する。
マルウェアの特徴にある通り、ログが出力されるのは(3)の遠隔操作機能が実行された場合です。下線⑤の通り、確認ツールで問題ないと判断されるPCの中には、(2)までの実行段階のマルウェア感染PCが存在する可能性があります。このリスクを回避するために、P氏は下線⑤のように指摘したのでしょう。
この続きは下書きが消えてしまったので、また気が向いた時に再投稿します。。。
終わりに
以上で、令和3年秋期 午後Ⅱ 問1 の解説を終わります。
もし、考え方等で意見がありましたらコメントで教えてください!
コメント
Hey very interesting blog!
Bel article, je l’ai partagé avec mes amis.
좋은 게시물, 나는 그것을 내 친구들과 공유했습니다.
I’m really enjoying the design and layout of your blog. It’s a very easy
on the eyes which makes it much more enjoyable for me to come here and visit more often. Did you hire out a developer to create your theme?
Fantastic work!