ITエンジニアが仕事に対して思うこと

ITエンジニアとして働く中で感じたことを、現場の温度感そのままに言語化するブログです。設計・実装・運用のリアル、学び続ける負荷、品質とスピードのせめぎ合い、コミュニケーションの難しさなど、きれいごとだけでは語れない「仕事の実態」を整理します。誰かを責めるのではなく、なぜそうなるのかを構造で捉え、明日から少し楽に、少し強く働ける視点を提供します。新人から中堅、マネジメントまで参考に。

トップ > 情報処理安全確保支援士 > 情報処理安全確保支援士試験 令和3年秋午後2問2の問題解説
最終更新日

情報処理安全確保支援士試験 令和3年秋午後2問2の問題解説

情報処理安全確保支援士
解答解説

全体像(舞台設定)

A社(化学素材メーカー、従業員8,000名)は、本社と6支社を持ち、基幹システムとVPNサーバはDC(データセンタ)に設置。メールはオンプレからクラウドのWebメール(Bサービス)へ移行済み。移行でインターネット向け通信が増え、DC側UTMの処理が逼迫気味、というスタートです。テレワークではVPN経由で基幹や利用者LANだけでなく、インターネット(Bサービス)もVPN経由で出ていく設計が採られています。

図1・表1:現在のネットワークと装置の役割

図1は「DCのUTMをインターネット境界に置き、社内(本社・支社)からの通信は基本DC経由」という骨格。表1では、VPNはIPsec+二要素、UTMはFW/IDSを有効、さらに“DNSシンクホール機能”も持つ(危険FQDNへの問い合わせを別IPへ向ける)と明示されています。Bサービスは“アクセス元IP制限”でUTMのグローバルIPからのみ許可、という要件がポイントです。

化学コン:外部共有の“情報連携システム”

A社の研究部は“化学研究開発コンソーシアム(化学コン)”を運営。重要情報はSSHを使う情報連携システムで共有します。会員側には「連携端末」を置き、A社側の“連携サーバ”の共有フォルダに置いたファイルを、3時間ごとにSSH接続で会員側へ自動コピー。連携サーバは研究部セグメントにあり、認証なしでアクセス可能な共有フォルダという“緩い点”が後のリスクに繋がり得ます。連携サーバのログは日次ファイルで60日保持、61日以前は日次バッチで自動削除、という運用も出題の布石です。

図5:テレワーク規程(役割と暗号要件)

テレワーク規程は、経営者・システム管理者・テレワーク勤務者の役割を定義。加えて、弱いパスワードの禁止、長いパスワード設定、そして“電子政府の調達でも参照される暗号リスト”に基づく安全な暗号採用、といったキーワードが示されます(ここは設問1の出題範囲)。

図6・図7:新NW(各支社ローカル出口+拠点VPN)

支社でもテレワークを広げるため、新NWを検討。拠点FW/DMZ/拠点VPNを各支社に新設し、テレワーク時は支社の拠点VPNへ接続。インターネットは原則DC経由だが、“Bサービスだけは支社の新設回線を直接使用”(=ローカルブレイクアウト)という例外ルートを設けます。

新NWテストでのトラブル(Bサービスに繋がらない)

支社テストでは“インターネットはOKだがBサービスはNG”。Bサービス側の設定変更で解消。ここでの含意は、Bサービスが“アクセス元IP制限”をしているため、支社から直接出ると“UTMのグローバルIPではない=拒否”になる点です。

図8:インシデント発生とタイムライン

7/9に攻撃者がDさんのBサービスのアカウントで不正ログイン。7/14にFさんへマルウェア付きメールを送信→FさんPCが感染し、同日中に遠隔操作型マルウェアも投入。その後9/11の発覚まで断続的に社内向けフィッシングを継続。送信済み削除・ログ消去痕跡など、発覚を遅らせるステルス運用が特徴として記載されています。

表2:マルウェアの特徴(A と B)

マルウェアAは感染・C2確立時に“実行ログ(口グ)”がイベントログに残る。マルウェアBは週単位で「待機/横展開/遠隔操作」のいずれかを確率的に実行し、遠隔操作が成功すると繰り返しを停止。横展開では脆弱機器へ自己感染、共有フォルダに“細工文書”をばらまき、それを開くと“Bに感染”という連鎖ギミック。遠隔操作が走ると“Bログ”が記録され、C2と資格情報窃取を行います。

対策本部:優先対策1/2と議論の要点

優先対策は(1)C2通信の遮断、(2)マルウェアの検出・駆除。C2遮断は「IPリストで拒否」+「DNSシンクホールを有効化」の二段構えが推奨されています(FQDN→IP変更など攻撃側の回避に備える趣旨)。検出は“ログ(Aの実行)かBログ(Bの遠隔操作)や、イベントログ消去ログ(f)を確認するチェックツールを配布”。ただしツールだけでは全感染を取り切れないため、専門者向け“駆除ツール”の開発も並行して進める、という流れです。

連携サーバ経由の感染可能性と初動

“連携サーバ自体が感染していなくても、そこで生成された細工文書経由で会員側へ感染が広がる可能性”が議論され、Eさんは連携サーバのネットワーク隔離・ディスク保全、会員側の連携端末も“一時的にネットワークから切り離し”を即日完了させる初動を実施。連携サーバのログが“最古で7/19”(=60日保持の影響)である点を確認します。

感染調査手順書(表4・図9・表5)の要点

会員ごとに“イベントログの有無(Aの実行、Bの実行、ログ消去)”を点検し、結果でグループA/Bに分類。P氏は“開始日(g)は最低でも、連携サーバに細工ファイルが置かれた可能性が最も早い日”まで戻せ、と指摘。また、会員内横展開の有無を“会員FWログ”で追加確認(調査2)し、該当があればグループA扱いにする改善を入れます。多数がAになった場合は、さらに“連携端末から他機器へ感染拡大が明白な会員”を優先対応に絞る考えを助言しています。

設問が“何を聞いているか”(道筋づけ)

  • 設問1:図5のa〜dは「誰の役割か」を対応づけ、eは“安全な暗号リスト”の正式名称を答える部分。本文の役割定義と“電子政府調達で参照される暗号リスト”というヒントから拾います。

  • 設問2:①は新NWの“Bサービスだけ現地から出す構成”を表す用語、②は“なぜBサービスだけ繋がらなかったか”の原因(Bサービス側のIP制限と支社側出口の不一致)を具体化します。

  • 設問3:③は“攻撃者がやる設定変更”(C2のFQDN→IP変更など)を具体化、④はDNSシンクホールを有効にしても“なぜUTMでのIP拒否が要るか”(DNSを引かないケースがある)を本文のマルウェア記述から説明。f は“どのログ名か”。⑤は“チェックツールで陽性にならないケース=Bが何をしていた時か”をBの挙動から詰めます。⑥は“なぜ可能か”をUTM/IDSの仕組みから本文で根拠づけ。

  • 設問4:gは“調査の起点日”を本文タイムラインから特定。hは“会員FWログで確認すべき宛先”の表現を、追加の感染調査項目の書式に合わせます。⑦は“どんな通信記録があった会員か”、⑧は“どんな初動対応か”を、問題文のフレーズで端的に表します。

#情報処理安全確保支援士 #クラウド #Webメール #VPN #FQDN #グローバルIP #DNS #マルウェア

tedd707