[https://www.youtube.com/watch?v=cEFrjfIibmU:embed:cite]

この動画では、令和6年度春期に行われた情報処理安全確保支援士試験の午後問題、特に問2で取り上げられた「H社におけるリモートワーク及びDDoS攻撃対策の設計と実装」について、試験のポイントを余すところなく徹底的に解説していきます。今回の問題は、現代の企業ネットワークにおいて避けては通れない、VPN機器の脆弱性を突いた攻撃と、Webサービスを停止に追い込むDDoS攻撃という二大脅威への対策をテーマにした非常に実践的な内容となっています。動画の中では、まずH社の現状と抱えている課題について整理することから始めます。H社は従業員数3,000名の製造業であり、約500社の部品製造業者と連携してビジネスを行っています。そのインフラには、製品紹介などを行う公開Webサーバと、受発注業務を行う非常にクリティカルな取引先向けWebサーバが存在し、これらはいずれも停止が許されない重要なシステムです。また、従業員は貸与されたPC（R-PC）を用いてVPN接続を行い、リモートワークを実施しているという環境が前提となります。 本問のプロジェクトが発足した背景には、同業他社で発生した深刻なセキュリティインシデントがありました。一つはVPNゲートウェイの脆弱性を突かれたことによる社内侵入と情報漏えい、もう一つは大量アクセスによるWebサービスの停止、すなわちDDoS攻撃による被害です。これを受けてH社の情報システム部であるL部長とT主任が緊急点検と対策立案に乗り出すというストーリー展開となっており、受験者は彼らの立場に立ってセキュリティ設計を行うことになります。解説パートでは、大きく4つのドメインに分けて詳細に分析を行います。 まず最初の重要なトピックは、DDoS攻撃の特性とIPS（不正侵入防止システム）のチューニングに関するジレンマについてです。H社が直面している脅威の一つに、正規のHTTPリクエストを大量に送信してサーバリソースを枯渇させるHTTP GET Flood攻撃があります。これに対抗するためにUTMのIPS機能を活用しますが、ここではアノマリ型（異常検知型）の検知ロジックが採用されています。動画では、この検知における「しきい値」の設定が極めて重要かつ難しいポイントであることをグラフを用いて解説します。もし攻撃を見逃さないようにしきい値を低く設定しすぎてしまうと、感度が高くなりすぎ、正常な通信までも異常として遮断してしまう「過検知（False Positive）」のリスクが高まるというトレードオフの関係を正確に理解する必要があります。さらに、DDoS攻撃の踏み台として悪用されるリスクがあるDNSリフレクション攻撃への対策も解説します。H社の従来のDNSサーバは、外部向けの「権威DNS」機能と社内向けの「キャッシュDNS（フルリゾルバ）」機能が同居している状態にあり、これが外部からの攻撃の踏み台にされるリスクを持っていました。解決策として、外部からの問合せのみを許可する権威DNSサーバ（DNS-K）と、内部からの名前解決のみを許可するフルリゾルバ（DNS-F）に機能を分離し、それぞれに適切なアクセス制限を施すという構成変更の意図を詳しく説明します。 次に、ドメイン2として、昨今非常に被害が増えている多要素認証（MFA）を突破する高度なフィッシングの手口について深掘りします。多くの人が「多要素認証を導入していれば安全」と考えがちですが、攻撃者はリアルタイム・フィッシングプロキシ（中間者攻撃）という手法を用いてこれを突破してきます。動画ではこの攻撃フローをアニメーションで可視化して解説します。具体的には、利用者がフィッシングメールのリンクから偽サイトにアクセスし、IDとパスワードを入力すると、攻撃者はそれをリアルタイムで正規のVPNシステムに転送します。正規システムから利用者のスマホにSMS通知などでセキュリティコードが届きますが、利用者がそのコードを偽サイトに入力してしまうことで、攻撃者はそのコードを使って正規システムへの認証を完了させてしまうのです。この脅威に対する人的な対策として、H社が導入した「メール内のリンクから開いた画面には絶対に認証情報を入力せず、必ず正規のVPNクライアントソフトが起動したダイアログに入力する」という運用ルールの重要性を解説します。これは、Webブラウザ経由での認証を禁止することで、フィッシングサイトへの誘導を無効化する非常に有効な手段となります。 続いてドメイン3では、VPNゲートウェイをインターネット上の攻撃者から隠蔽するための技術、「ポートのステルス化」に焦点を当てます。H社では当初、特定の順序でパケットを送信した時のみポートを開放する「ポートノッキング」のような旧方式（設定P）を検討していましたが、これは通信経路の盗聴によってパケットをコピーされ、再送攻撃（リプレイ攻撃）を受ける脆弱性がありました。そこで採用されたのが、SPA（Single Packet Authorization）という技術です。このSPAパケットには、認証情報だけでなく、HMAC（ハッシュメッセージ認証コード）によるワンタイムパスワード機能に加え、ランダムデータやタイムスタンプが含まれています。動画では、なぜSPAが安全なのかという点について、その「ユニーク性（Uniqueness）」をキーワードに解説します。SPAパケットは毎回異なるランダムデータを含むため、一度使用されたパケットと全く同じデータを攻撃者が再送しても、サーバ側で「使用済み」または「重複」として破棄されるため、リプレイ攻撃が成立しないという論理的根拠を明確にします。 そして最後のドメイン4では、帯域幅を埋め尽くすような大規模なDDoS攻撃（Volumetric Attack）への最終的な対策構造を解説します。UTMやファイアウォールといったオンプレミスの機器だけでは、回線の帯域自体が飽和してしまう攻撃には対抗できません。そこで、上位層（Level 1）としてCDNやクラウド型WAF、ISPのDDoS対策サービスを導入し、上流で攻撃通信を緩和（スクラビング）する必要性を説明します。さらに、中位層（Level 2）の対策として、取引先からの通信を守るためのS-APPL（セキュリティアプライアンス）の活用方法についても触れます。ここではホワイトリスト制御を用い、専用のエージェントソフト（S-Soft）が導入された取引専用PC以外からの通信をUTMで全て遮断することで、ボットネットからの攻撃を無効化するという多層防御のアプローチを確認します。 最後に、採点講評から見えてくる受験者が陥りやすい罠についても注意喚起を行います。特にIPSのしきい値設定において、「しきい値が低い」ことが「感度が高い」ことを意味し、それが誤検知のリスクにつながるという逆相関の関係を正しく記述できているか、また、MFAフィッシングの手口を単に「パスワードを盗む」と記述するのではなく、「リアルタイムに中継して正規セッションを乗っ取る」プロセスとして理解しているかどうかが合否を分けるポイントとなります。本動画の結論として、セキュリティ対策とはSPAやIPSといった技術的な導入だけでなく、認証ルールなどの人的な運用を含めた「多層防御」によって初めて確立されるものであることを強調します。技術と運用の隙間を埋めることこそが、情報処理安全確保支援士に求められる真のスキルです。この動画を通じて、単なる用語の暗記ではなく、攻撃のメカニズムとそれに対する論理的な防御策の設計能力を養い、試験合格に向けた確実な一歩を踏み出していただければ幸いです。H社の事例は、現代のセキュリティエンジニアが直面する課題そのものであり、実務にも直結する非常に学びの多いケーススタディとなっています。ぜひ最後までご視聴いただき、ネットワーク図や攻撃フローの図解を通して、複雑なセキュリティ要件を整理する力を身につけてください。