情報処理技術者試験解説チャンネル

応用情報技術者試験をはじめとする情報処理技術者試験の午後問題では、「過去10年分を確実に理解しているか」が合格ラインを左右するといわれています。当チャンネルでは、その10年分の午後問題を要点だけに絞り、約10分のコンパクトな解説としてまとめました。限られた時間でも効率よく学習を進められる構成です。

トップ > 情報処理安全確保支援士 > 情報処理安全確保支援士試験 令和3年春午後2問1の問題解説
最終更新日

情報処理安全確保支援士試験 令和3年春午後2問1の問題解説

情報処理安全確保支援士
解答解説

全体像(舞台設定)

  • 主人公はドラッグストアチェーンのN社。B社ブランドのライセンスで店舗と通販を展開。セキュリティは経営直轄の委員会とシステム部が担い、「消費者に影響が出るインシデントは速やかに情報開示」という基本方針を掲げています。ここが後半の“情報開示を巡る方針衝突”の伏線です。

  • 一方、B社は“ブランド毀損の最小化”を目的とする独自のインシデント対応ポリシを持ち、N社はその順守契約。インシデント時はB社部門に報告し、指示に従う取り決めからスタートします。

  • システムは大きく「Zサービス(クラウド)上の通販サイト+開発用システム」と「N社内の店舗管理システム」の二系統。以降の攻撃経路や隔離可否の判断は、この“ネットワークの分離”に立脚します。

図2・図3のポイント(接続と権限)

  • 図2(全体ネットワーク):開発用システムはFW2で外部からのSSH/HTTP(S)のみを許可。アウトバウンドはR1サーバからのみ許可。通販サイトと開発用システム間に“直接の経路なし”。店舗管理システムは社内LANと分離、店舗とはIP-VPN、データ受け渡しはUSB前提です。これらの“経路制限”が、侵入拡大の可否評価の根拠になります。

  • 図3(R1サーバ周り):

    • R1はOS/SSH/“Web UIの開発支援ツール”が稼働。ツールは“OSの一般利用者権限”で動作。

    • SSHログインの認証情報は“/etc/shadow”に保存(ソルト+ハッシュ)。SSHの許可元は/etc/hosts.allowでN社とV社に限定(変更は管理者権限必要)。対して“開発支援ツールのHTTP操作は接続制限なし”が弱点。

    • 開発用ではWAF・改ざん検知を導入せず(テスト妨げ懸念)。この選択が後の脆弱性M悪用に繋がります。

インシデントP(通販サイトの不正ログイン)

  • 事象:16IDで不正購入(計130万円)、攻撃は“パスワードリスト攻撃”と推定。対応としてリセット・注意喚起・検知ロジックの導入(多数試行の検出、失敗数しきい値)・「普段と異なる環境からのログイン通知」を追加。

  • 課題1:ログの“時刻”がJSTUTCで混在、かつタイムゾーン表記が欠落するものがあり、B社側に誤解が生じた(a=タイムゾーン、b=9に対応する伏線)。ここは“インシデント連携ではタイムゾーン管理が重要”という定番論点。

  • 課題2:N社は速やかな開示を望むが、B社ポリシでは“原則非開示”寄りで足並みが揃わず、N社基本方針と齟齬。結局は特別要請で開示。契約ポリシの差異が組織対応を遅延させる教訓です。

対応方針の再設計(契約変更とCSIRT)

  • N社は「今後は自社基本方針に従う」契約へ変更を要請。B社は①ISO/IEC 27001での評価と合意、②自社で対応可能な体制整備、③重大時の即時協議という3条件で承認。E社/T氏(登録セキスペ)が支援し、N-CSIRTの枠組みを整備します。

  • ISO/IEC 27001に基づく評価では、“店舗PC経由の侵入リスク”“社内LANから店舗管理サーバへの感染リスク(④)”が指摘。これが後の「USB・ネット分離の運用リスク」へ繋がる伏線です。

インシデントQ(開発環境R1の侵害)

  • 兆候:V社が“AC-X”という不審アカウントをR1に発見。調査すると、N社/V社以外の複数IPからAC-Xで10回以上の不正SSHログイン。FW集計(図9)ではインバウンドSSH/HTTP(S)と、アウトバウンドでa2.*やa1.*へのHTTPアップロードが目立つ。これが“ファイル持ち出し推定”の根拠。

  • 侵害手口(図10):

    1. 脆弱性L+Mの連鎖”で/etc/shadowを参照(L=一般権限でも管理者権限でコマンド実行できる脆弱性、M=開発支援ツールの任意コマンド実行)。M“だけ”では一般権限のままなのでshadow参照不可——ここが設問で問われます。

    2. 管理者権限で“AC‑X”作成+“インターネット経由で操作できる設定変更”。SSHで継続侵入の足場化。

    3. ツールXを使って大規模スキャン、結果をF1/F2に保存し外部へアップロード。F1は“8IP×固定長=320KB”から逆算のヒントに、F2は図9の送信量で個数推定をさせる出題です。

  • 横展開評価:他サーバ群には開発支援ツールが無く、/hosts.allowでR1発のSSHのみ許可。通販サイト側もL/Mが無く、経路も遮断されているため侵入拡大なし、というロジックで“影響限定”を結論付けます。

  • その後の是正:パスワード変更/R1復旧/L・M修正適用/“SSH・HTTPを使った攻撃からの保護”の追加指示へ。

最後の示唆(脆弱性管理の観点不足)

  • Q対応は迅速で評価された一方、“可能性評価(図4(イ))/影響評価(図4(ウ))の観点不足”が指摘。具体的には「複数脆弱性の“連鎖”による事態悪化」「秘匿情報が無くても“踏み台化・横展開・窃取”が起こり得る影響評価」を落としていた——という学びに収束します。

用語・構成の読み方ヒント

  • タイムゾーンUTCJSTの混在は“相手とログを突き合わせる現実的障害”として頻出。時刻値の前提・表記有無まで本文が書いてあるので、拾えば点になります。

  • /etc/hosts.allow は“接続元制限(allow list)”。今回、R1はN社/V社のみに限定だが、攻撃者は“設定を変えて”外から操作可能にした点がコア。

  • /etc/shadow は“パスワードハッシュ+ソルトの格納場所”。一般権限では読めないため、M単独では取れず、Lを絡めて昇格→参照、という論理展開になります。

##(学習用)設問の狙い(どこを拾うかだけ簡潔に)

  • 設問1:①パスワードリスト攻撃の定義、②安全な設定、③“普段と異なる環境”の判定手法(IP地理・Cookie等)、④a=タイムゾーン、⑤b=9。本文の図5・課題文中に全ヒントが配置。

  • 設問2:④の“社内LAN→店舗管理サーバへの感染経路”をUSBや分離前提の運用から具体化。表1の指摘文をそのまま根拠に。

  • 設問3:N‑CSIRTの構成・ライフサイクル語の当て込み(“準備/検知/封じ込め/根絶/復旧/事後活動/トレーニング”等)。本文の図6・図7の説明に対応。

  • 設問4:図9(通信量)と図10(F1=8IP固定長/320KB)から、侵入元IP個数・影響評価・設定変更内容・F2のIP数を数量的に詰める問題。

  • 設問5:脆弱性管理の観点追加(“複数脆弱性の同時悪用”“影響過小評価の回避”)で締める。

tedd707

コメントを書く