情報処理安全確保支援士の令和3年度 春季試験 午後Ⅰ 問3問題の解説を行っていきます。
ネットワークスペシャリスト・情報処理安全確保支援士に
最短・最速で合格する方法についてはこちら
出題テーマ『Wake on LAN』
令和3年度 春季試験 午後Ⅰ 問3問題の出題テーマは『Wake on LAN』です。
Wake on LANは遠隔でPCを起動することができる仕組みです。
通常なら電源ボタン・スイッチを押して起動させますが、Wake on LANの起動パケットを送るだけでPCを起動させることができます。
PCの電源をつけるためには出社するなど、機器と人が一緒の場にいる必要がありますが、Wake on LANを用いることで、電源をつけるためだけに出社したりする必要がなくなります。
便利な機能ではありますが、Wake on LANを使用するためには条件が色々とあります。
例えば、PC、厳密にはマザーボードやNICがWake on LANに対応している必要があります。
電源はOFFでもマザーボードとNICには通電していてWake on LANのパケットを受け付ける必要があったり、BIOSやOSといったソフトウェア的にも対応している必要があります。
また、Wake on LANを通信させるためにネットワーク的な対策が必要となってきます。
こちらは問題で問われていますので、問題解説と一緒に行っていきます。
この問題はWake on LANに関する知識がなくても解くことができる問題となっています。
1問だけ知識が必要となりますが、残りは文中のヒントから論理的に考えることで解答することができますので、ほぼ国語の問題であると言うことができます。
設問1
『パッチ担当者は、セキュリティパッチを検証LANのPCに適用し、社内で利用しているアプリケーションプログラムを2日間動作させて』とあります。
なぜアプリケーションプログラムを2日間も動作させるのか。
現実問題で考えてあげるとわかりやすいかと思います。
OSのセキュリティパッチと聞くと思い当たるのはWindowsアップデートです。
Windowsアップデートの後にPCが不調になったり、特定のアプリケーションが不調になったりしたことがありませんか。
学生の方ですとこういった経験が少ないかと思いますが、社会人の方なら一度は経験したことがあるかなと思います。
なぜ、セキュリティパッチ適用前に検証LANのPCで試すのかというと、いきなりセキュリティパッチを全社に適用する業務影響が大きく出てしまう可能性があるからです。
パッチ適用後に業務で使用するアプリケーションプログラムが使えなくなってしまうと、業務影響が大きく出てしまいます。
なので、検証LANのPCでセキュリティパッチを適用しても『アプリケーションプログラムが正常に動作するかを確認』してから全社に適用することで業務影響を発生させずに、セキュリティパッチを適用することができます。
ということで解答例としては、『プログラムが正常に動作すること(15文字)』となります。
設問2
表1のFWについての説明を確認します。
『インターネットとの間の通信を許可しているのはDMZだけである。』と記載があります。
図1の構成図を確認します。
DMZのセグメントには外部メールサーバ、外部DNSサーバ、プロキシサーバがあります。
各サーバやPCはDMZ上のプロキシサーバを経由でインターネット通信を行い、内部メールサーバ、DNSサーバはDMZ上の外部メールサーバ、DNSサーバ経由でインターネットと通信を行うと推測することができます。
通信経路を記載してみるとこのように、インターネット宛の通信はすべてDMZを経由して行われていることがわかります。
マルウェアはインターネットと通信を行います。
つまり、マルウェアもこの経路にしたがってインターネット通信を行う必要があると考えられます。
よって、答えとしてはDMZにある『L2SW1』であるとなります。
設問3 (1)
この問題だけ知識が必要になる問題です。
Wake on LANのパケットとしてはマジックパケットと呼ばれています。
マジックパケットはフォーマットが決まっており、『FF:FF:FF:FF:FF:FF』に続けて、起動したいPCのMACアドレスを16回続けて記載するというフォーマットになっています。
つまりbは『FF:FF:FF:FF:FF:FF』(エ)となります。
設問3 (2)
この問題は知識があれば『MACアドレス』(イ)と即答することができますが、知識がなくても解くことができる問題です。
前の問題の設問3 (1)の選択肢を確認します。
『0』か『F』で記載されていることから16進数であることがわかります。
英数字が2文字ずつに区切られており、16進数だとすれば、『FF→11111111』のように2進数では8ビットに表すことができます。
それが6ブロックあるので、『8×6=48ビット』であることがわかります。
16進数で48ビットのものは『MACアドレス』(イ)ですので、このように考えても解答を導くことができます。
設問3 (3)
行ったこととしては、検証LANのPC-XとPC-Yで行ったら起動することができて、内部システムLANの資産管理サーバと検証LANのPC-Yで行ったら起動できなかったとあります。
違いは何かと考えると同一セグメントか異なるセグメントかということです。
異なるセグメント間を通信させるためにはルーティングが必要なので、まずは『ルーティングがないのでは?』と考えることができます。
表1の資産管理サーバの説明を確認しますと、
『エージェントから情報を受け取り、ソフトウェアの資産管理を行う。』と記載があります。
エージェントはPCにインストールされているプログラムで、問題文の他の箇所を確認しても、エージェントと資産管理サーバが通信できないとは記載がありませんのでルーティングは問題がないということがわかります。
となると、残った考えとしてはWake on LANはL2層、データリンク層の技術でセグメント超えができないのではと考えることがきでます。
転送してあげるということがL3SWに必要になってくるということが推測することができます。
プロキシARPのようなイメージです。
解答例としては、『WoLの起動パケットを検証LANへ転送する設定』となります。
設問4 (1)
『(1)感染するとすぐに、自身が起動するPCのARPテーブルから下記(2)及び(4)の活動に必要な情報を読み取って保持しておく。』と記載があります。
ARPテーブルはIPアドレスとMACアドレスを紐付けた対応表です。
Windowsであればコマンドプロンプトから『arp -a』を実行することで確認可能です。(※MACアドレスはマスキングしています。)
ARPテーブルに含まれている情報としては『IPアドレス』と『MACアドレス』ですので、どちらかが解答になることがわかります。
『(2)『夜間にARPテーブル中のPC全てにpingコマンドを送信し、PCが起動しているかどうかを確認する』と記載があります。
(2)はpingを行っています。pingを行うには宛先が必要、つまり『IPアドレス』が必要となります。
『(4)起動していないPCを発見したら、WoLを使ってそれらのPCを起動し、感染拡大を試みる』と記載があります。
(4)ではWoLパケットを送信しています。設問3で散々回答させられたようにWoLは宛先として『MACアドレス』を用います。
設問4 (2)
G社導入済みシステムとは、PCにインストールされているエージェントのことです。
表1のエージェントについての説明を確認すると、『PC上で起動する全てのプロセスを監視する。指定した時間帯に指定したコマンドが実行された場合、EDR管理サーバとの間の通信を除き、当該PCをの全ての通信を遮断する機能を持つ。』と記載があります。
『具体的に述べよ』と問われていますので、具体的にしていきましょう。
『指定した時間帯』は、『起動していないPCをWoLを使って夜間に起動させ、次の手順で感染拡大を試みる。』とありますので『夜間』であることがわかります。
『指定したコマンド』は、『ARPテーブルから』とありますので、『ARPコマンドを実行』ということがわかります。
これらをまとめて解答例としては、『夜間にARPコマンドを実行しARPテーブルの確認を行った際、エージェントの機能でそのPCのの通信を遮断する。(53文字)』と導き出すことができます。
公式解答例との比較、予想配点
完答ではないかもしれませんが、7割〜8割程度の答えを導き出すことができたかと思います。
予想配点は個人的の独断と偏見で記載していますので、あくまで参考程度と思ってください。
まれにみる問題数の少なさでした。
知識が問われる問題も少ないため、出題された選択すべき問題だったと思います。
問題数が少ない分、1問あたりの配点が高くなることが予想されますので、ケアレスミスには要注意です。
配点 |
|||
設問1 | プログラムが正常に動作すること(15文字) | PCの動作に問題がないこと | 8点 |
設問2 | L2SW1 | L2SW1 | 4点 |
設問3 (1) | エ | エ | 4点 |
設問3 (2) | イ | イ | 4点 |
設問3 (3) | WoLの起動パケットを検証LANへ転送する設定 | 起動パケットを他のセグメントに転送するように変更する。 | 8点 |
設問4 (1) | (2)IPアドレス (4)MACアドレス |
(2)IPアドレス (4)MACアドレス |
各4点 |
設問4 (2) | 夜間にARPコマンドを実行しARPテーブルの確認を行った際、エージェントの機能でそのPCの通信を遮断する。 | エージェントによって、夜間にarpコマンドの実行を検知したら、当該PCwpネットワークから隔離する。 | 10点 |
引用元
問題および解答例に関しては、独立行政法人 情報処理推進機構(IPA)より引用しています。