ITエンジニアが仕事に対して思うこと

ITエンジニアとして働く中で感じたことを、現場の温度感そのままに言語化するブログです。設計・実装・運用のリアル、学び続ける負荷、品質とスピードのせめぎ合い、コミュニケーションの難しさなど、きれいごとだけでは語れない「仕事の実態」を整理します。誰かを責めるのではなく、なぜそうなるのかを構造で捉え、明日から少し楽に、少し強く働ける視点を提供します。新人から中堅、マネジメントまで参考に。

トップ > 【動画解説】令和4年度 春期 応用情報技術者試験 午後問1過去問題解説
最終更新日

【動画解説】令和4年度 春期 応用情報技術者試験 午後問1過去問題解説

解答解説
           [https://www.youtube.com/watch?v=gz3RStaHG1E:embed:cite]

今回は、令和4年度 春期 応用情報技術者試験 午後問1「情報セキュリティ」の過去問題を題材に、ECサイト改ざんインシデントの原因分析と対策方法を丁寧に解説します。この問題は、コンテンツ管理システム(CMS)を用いた電子商取引サイトに対するゼロデイ攻撃を中心に、不正アクセスのメカニズム、リスク低減策、インシデント対応プロセスを総合的に理解することができる良問です。動画では、出題の背景となるシステム環境を整理し、攻撃者がどのようなルートで侵入し、どのような痕跡を残したのかを順序立てて追いながら、各設問で問われたセキュリティ管理上の判断ポイントを詳しく解説していきます。 問題の舞台となるR社の通信販売サイトは、市販のCMSをベースに構築されており、業務担当部署が日々の更新作業を行うことで運用されています。しかし、ある日サイトが改ざんされ、利用者が不正サイトへ誘導される被害が発生しました。調査の結果、CMSの脆弱性を悪用した不正アクセスであることが判明しましたが、脆弱性は企業側のパッチ提供が追いつかず、修正プログラムがまだ公開されていない状況でした。このような更新未対応期間に発生する攻撃はゼロデイ攻撃と呼ばれ、防御策の難しさが実務でも常に課題として挙げられます。動画では、脆弱性が公表されていない段階で企業として取るべき暫定措置や、公開前から攻撃が始まる理由についても整理していきます。 設問1では、不要なアカウントやサービスを削除することの重要性が問われています。サーバーOSには初期状態のまま利用しないサービスが多数含まれており、攻撃者はこれら未使用サービスに存在する脆弱性を足掛かりとして侵入するケースが少なくありません。不要なサービスを無効化することは、攻撃対象領域を縮小し、リスクを低減する基本的な運用管理の作法です。動画では、なぜ不要サービスが放置されやすいのか、運用現場でよく起きる見落としパターンとともに解説します。 設問2の主題であるWAF(Web Application Firewall)は、HTTP通信の内容を精査し、SQLインジェクションやクロスサイトスクリプティングなどの攻撃を検知・遮断する仕組みです。ネットワーク層を監視するファイアウォールとは異なり、WAFは通信データの中身に踏み込んだ検査を行うため、アプリケーション層の攻撃に強い防御壁を作ることができます。今回の問題文でも、R社はWAFを導入することでECサイトを守っていましたが、設定の厳しさによっては正常通信まで遮断してしまう過検知が発生する可能性があります。適切なシグネチャの適用やチューニングが必要であること、なぜ運用担当者が更新をためらうのかといった現場の課題を踏まえながら、WAFの仕組みとメリット・デメリットを整理します。 設問4では、ゼロデイ攻撃に関する理解が問われました。脆弱性が公表され、修正パッチが提供されるまでの期間は、攻撃者にとって格好の標的となり得ます。そのため、企業側はパッチが提供されるまでの間、該当機能の無効化、アクセス制限、監視強化などの回避策を講じる必要があります。また、攻撃の兆候を早期に把握するための仕組みとして、SIEM(Security Information and Event Management)が注目されました。SIEMは、複数のログを一元的に収集・分析し、異常挙動を相関的に検知するシステムです。個々のシステムログでは見えない攻撃パターンを統合分析により発見可能とするため、再発防止策としても効果的です。 問題文の終盤では、組織としてのインシデント対応体制の整備も取り上げられています。インシデント対応チームを組成し、役割分担を明確化した上で、インシデント対応のプロセスを標準化することは、被害拡大の抑止と迅速な復旧のために極めて重要です。今回のR社のケースでは、CMSの脆弱性が公表前であったことに加え、運用手順の見直しやログ管理の改善といった長期的な対策が求められました。動画では、被害原因の特定、暫定対応、恒久対策、再発防止策という一連の流れを整理しながら、企業としてのセキュリティガバナンスの重要性を解説します。 本動画では、CMSの脆弱性とゼロデイ攻撃の構造、WAFを用いたアプリケーション防御、過検知が発生する理由、SIEMによるログ相関分析、インシデント対応チームの役割整理など、問題文に登場する要素を一つ一つ掘り下げて紹介します。応用情報技術者試験の午前・午後で登場するセキュリティ用語と関連させながら、実際の業務にも応用できる知識として理解していただける内容です。攻撃手法と防御手段の両面をバランスよく学ぶことができるため、午後試験の解答作成に必要な文章読解力と原因分析力を合わせて磨くことができます。 本問題は単なる用語暗記でなく、脆弱性の本質や攻撃者の視点、対策の優先順位付けなど、思考力が求められる内容となっています。ECサイトのような公開系システムでは、日々多数の攻撃が飛び交うため、攻撃対象を減らし、ログを適切に分析し、迅速な対応体制を構築することが不可欠です。今回の解説を通じて、問題文の裏にある組織的課題や運用上の注意点に気づき、セキュリティ実務における発想力を養っていただければ幸いです。 出典:独立行政法人情報処理推進機構(IPA)

tedd707