[https://www.youtube.com/watch?v=IpZHoVwGIOE:embed:cite]

令和3年度秋期 情報処理安全確保支援士試験 午後Ⅱ問2を徹底解説します。テレワークへの急激な移行とクラウド利用拡大を背景に、ネットワーク遅延解消のためのローカルブレイクアウト導入や、その後のマルウェア感染インシデント対応を扱います,,。サクラ先輩とモモちゃんと一緒に、組織を跨ぐ複雑な状況下でのログ分析やトリアージの極意を楽しく学びましょう,。 本動画で学習する重要ポイントは、まずテレワーク環境下でのネットワーク構成の変容とそれに伴うセキュリティリスクです。従来のデータセンタ集約型VPN構成では全トラフィックが集中しUTMの処理能力が限界に達するため、特定のクラウドサービスへの通信を拠点から直接インターネットへ逃がすローカルブレイクアウトという手法が採用されますが、これには落とし穴があります,。単に経路を変えるだけでなく接続先SaaS側のセキュリティ設定、特に接続元IPアドレス制限の見直しを行わないと正規の利用者でもサービスに接続できなくなるトラブルが発生するため、ネットワークとアプリケーション設定の整合性が問われます。次に攻撃手法の高度化に対する防御策としてDNSシンクホール機能が挙げられますが、本問ではその限界についても深く掘り下げています。攻撃者がC&Cサーバとの通信にFQDNではなくIPアドレスを直接指定した場合、DNSへの問合せ自体が発生しないためシンクホール機能では遮断できません,。したがってDNS対策に依存せずファイアウォールでのIPアドレスフィルタリングを併用する多層防御の重要性が強調されます,。またインシデント対応においてはマルウェアの挙動解析が鍵となります。今回のマルウェアは横展開機能や待機機能を持ち合わせており、不審な通信がないからといって安全とは断定できません,。特にイベントログの消去を示すログ自体の有無を確認する視点や、ログが残存している期間よりも前の感染起点であるフィッシングメール受信日まで遡って調査範囲を設定するクリティカルシンキングが求められます,,。最後に最も重要なのがインシデント対応におけるトリアージの考え方です。多数の組織や端末が関与する場合、全てを同時に救うことはリソース上不可能です,。そのためファイアウォールの通信記録など客観的な証跡に基づき、外部へ感染を広げているリスクの高い端末や組織を特定し優先順位をつけて対処するという論理的な判断プロセスが必要不可欠となります,,。これら一連の流れは従来の境界型防御の限界とゼロトラストへの移行を示唆する実践的な学びとなります。