ITエンジニアが仕事に対して思うこと

ITエンジニアとして働く中で感じたことを、現場の温度感そのままに言語化するブログです。設計・実装・運用のリアル、学び続ける負荷、品質とスピードのせめぎ合い、コミュニケーションの難しさなど、きれいごとだけでは語れない「仕事の実態」を整理します。誰かを責めるのではなく、なぜそうなるのかを構造で捉え、明日から少し楽に、少し強く働ける視点を提供します。新人から中堅、マネジメントまで参考に。

トップ > 情報処理安全確保支援士 > 情報処理安全確保支援士試験 令和3年春午後1問3の問題解説
最終更新日

情報処理安全確保支援士試験 令和3年春午後1問3の問題解説

情報処理安全確保支援士
解答解説

 

物語の流れ(読み取りの道筋)

  1. G社の環境
    従業員1,500名の製造業。Webとメールを日常利用。情報セキュリティポリシを整備済み。以後の図表(図1・表1・図2)に社内ネット構成、機器・ソフト、既存のパッチ配信手順が載ります。

  • 図1の要点:
    DMZだけがインターネット通信可/FWはステートフルで許可・拒否とログ送信/全PCにEDRエージェント、一般従業員に管理者権限なし。これが後段の**“どこでパケットをとるか/どう隔離するか”**の根拠になります。

  1. 図2:現行のパッチ配信プロセス
    (1) ベンダがパッチ公開→担当者がリリースノート確認
    (2) 検証LANのPCに適用し、アプリを2日間動かして a を確認
    (3) 不具合情報が無いことを確認して配信サーバへ配置
    (4) PCは起動時に配信サーバへ問い合わせ→あれば取得・適用(稼働中PCは数時間ごとに適用状況を通知)
    ここで a が何を指すか が設問1の焦点です(「2日間動作させて a を確認」)。

  2. 同業他社H社の事故(図3)とG社の不安
    H社では、長期間起動していなかったPC(PC‑H)を7月に起動→パッチ適用完了前に既知脆弱性を突かれて感染・約50MBの外部送信/ログ不備で調査長期化、という教訓。
    G社も「1か月以上起動していないPCが30台」あると判明し、同様のリスクを踏まえて対策を立てます(図4)。

  3. 図4:対策の柱は2つ

  • 対策1:感染時に経路特定と流出確認ができる仕組み(パケット収集+外部解析サービス)

  • 対策2:パッチ配信手順の改善(=起動していないPCを自動起動させてパッチ適用)
    この2本立てに加え、後で**夜間の自動隔離(対策3)**も出てきます。

  1. 対策1の具体化(どこでパケット収集?)
    L2SWのミラーポートに収集装置を挿し、J社の解析サービスがVPN経由で必要パケットを取得して侵害検知。「マルウェアからインターネットへの通信が必ず通過するL2SW」に付けるのがポイント(=設問2の根拠)。

  2. 対策2の具体化(WoLで自動起動→パッチ適用)
    WoL対応PCなら、資産管理サーバが起動パケットを送信して自動起動できる、という流れ。検証LANでPC‑X→PC‑Yへ「b に続けて c を16回繰り返したデータ」を含む起動パケットを送り、起動確認。ただし別セグメント越しでは最初失敗→L3SWの設定変更が必要と分かる(=設問3(1)(2)(3)の根拠)。

  3. WoLを悪用するマルウェアR(図5)
    感染端末がARPテーブルを読み、(2) 夜間に全PCへpingで起動確認→(3)起動中へ感染拡大→(4)未起動PCはWoLで起動させて感染を狙う……という脅威像。(2)に必要なのはIPアドレス、(4)に必要なのはMACアドレスという理解が要点(=設問4(1))。

  4. 追加の対策3(夜間の自動隔離)
    D君は「夜間に不審な振る舞いを検知したPCをネットワークから隔離」する方法を、既存のEDRの機能で実現する案を立案・承認。EDRは「指定時間帯に指定コマンドが実行されたら、EDRサーバとの通信以外を遮断」できる、という仕様が根拠です(=設問4(2))。

設問ごとの“何を問うていて、どこを拾うか”

  • 設問1(図2の a)
    2日間の検証で何を確認するか、を問う。拾いどころは図2(2)の「アプリケーションを2日間動作させて a を確認」。文脈上は“パッチ適用でPCや業務アプリの動作に問題がないこと”の確認です。

  • 設問2(下線①のL2SWはどれ?)
    どのL2SWにミラーを当てれば、DMZ/各LAN→インターネット行きの通信を押さえられるか。根拠は「どのLANで感染してもインターネットへの通信が通過するL2SWに接続」とある記述。図1の構成と合わせて選ぶ問題です。

  • 設問3(WoLの中身とL3SW設定)
    (1) 起動パケットの先頭に付く同期データ b(いわゆるMagic Packetの“FF…FF”)
    (2) c は何の値を16回繰り返すか(対象PCのMAC)
    (3) L3SW側で何を変えたのか(他セグメントへ起動パケットが届くよう転送設定)
    いずれも検証シーンの叙述が根拠。

  • 設問4(WoL悪用脅威と対策3の実装)
    (1) (2)の活動に必要:IPアドレス/(4)に必要:MACアドレス(ARPテーブルから得る)
    (2) 夜間に不審コマンド(例:arp)を検知したらEDRで当該PCを隔離、という“既存システムでの実現方法”を具体に書く。

重要ポイントの整理(答案に載せたい観点)

  • “長期未起動PC”はパッチ窓が空きやすくリスク大:起動直後~パッチ完了までが危ない。

  • “どこで観測するか”は経路の必然性で決める:必ず通過するL2SWでミラー。

  • WoLの動作原理(同期FF×6+対象MAC×16)とL3SW越えの工夫が肝。

  • **EDRの“時間×コマンド検知→隔離”**で夜間封じ込め。

#仮面ライダー #VTuber #萩尾望都 #ノーベル賞 #プリキュア #YAPC #十二国記

tedd707