情報処理安全確保支援士の令和2年度 10月試験 午後Ⅰ 問3問題の解説を行っていきます。
ネットワークスペシャリスト・情報処理安全確保支援士に最短・最速で合格する方法についてはこちら
通常は春季と秋季の年2回開催ですが、某ウイルスの影響で春季試験が10月に延期されての開催となりました。
ネットワークスペシャリストなど秋季試験は11月に開催予定でしたが、会場の確保の観点などから中止となり、令和3年度の春季試験にずれる形となりました。
このため、令和2年度は年1回しか開催されていませんので、春季・秋季という名称ではなく10月試験という名称が使用されています。
ちなみに私はこの回で情報処理安全確保支援士に合格しましたので、何かと思い入れのある回となっています。
私が受験した際に解答した内容についての記事も記載しています。
出題テーマ:脆弱性診断
出題テーマとしては『脆弱性診断』で、診断を行う上において考慮すべきポイントや対応について出題されています。
どのような通信を発生させて脆弱性の診断するかなどの技術的な内容は出題されていません。
技術的な内容を強いてあげるなら『IPS』や『FW』ですが、単語自体は登場しますが、これらの動作に関する内容も出題もなく、問題文の説明文で十分解答することができます。
なので、全体を通して、問題文中のヒントから論理的に考えてあげることで解答することができる国語の問題と言えることができます。
設問1 (1)
表1を確認するとN-IPSは脅威となる通信を検知した際に遮断もしくは検知したことを知らせるセキュリティ機器で、現在は遮断する設定で動作しています。
PF診断時にN-IPSの設定を無効にすると、本来脅威として遮断されていた通信がWebサーバに届くようになってしまいます。
つまり、これが『より多くの脆弱性を検出する』ようになってしまう理由となります。
よって解答としては、『N-IPSで脅威として遮断されていた通信が通過するから(27文字)』と解答することができます。
設問1 (2)
N-IPSを無効にすると、PF診断は問題なく行うことができますが、本来の通信に対してもN-IPSが無効となってしまい、診断中に攻撃を受ける可能性があります。
そこで、N-IPSの機能は有効にしたまま、PF診断の通信だけをN-IPSの検査対象から外すことができるような設定がないかを探していきます。
表1を確認すると『1.ホワイトリスト判定:ホワイトリストに登録したIPアドレスからの通信は、脅威でないと判定する。』と記載があり、この設定を使用することでPF診断の通信だけをN-IPSの検査対象から外すことができそうです。
また、図4を確認すると診断サービスは診断PCを用いて確認を行うようです。
つまり、診断PCのIPアドレスをホワイトリストに登録してあげることで、PF診断の通信だけをN-IPSの検査対象から外すことが実現できます。
よって解答としては、『診断PCのIPアドレスをホワイトリストに追加する設定をする。(30文字)』と解答することができます。
設問1 (3)
図4を確認すると、『診断PCは、既存の機器とは別のIPアドレスを設定し、インターネット又は内部のネットワークに接続する。』とあります。
インターネットからの通信は当然行いますが、加えて内部のネットワークからも診断を行おうという話です。
また、図1の注記2に『本番Webサーバ、(略)はそれぞれ、サービス用と管理用の二つのNICを備えている。』と記載があります。
接続点を確認すると(a)はサービス用のNIC、(b)~(e)は管理用のNIC側にあると判断することができます。
今回診断を行うべきはサービス側ですので、解答として『(a)』を選択することができます。
設問2 (1)
診断用に設定・作成したものを診断終了後には元に戻すことを徹底しています。
図4の配下にWeb診断の実施方法について、『診断用の利用者IDを作成する。その利用者に診断用のポイントを付与し、Pシステムにログインして診断する。』と記載があります。
診断用にアカウントを作成するとありますので、診断終了後にはこのアカウントを削除すべきです。
削除しなければ、診断終了後に診断サービス業者や関わった人が故意にログインすることができてしまうからです。
よって解答としては『診断用の利用者ID(9文字)』と解答することができます。
設問2 (2)
PF診断は本番環境に対して必要があり、サービスを稼働させた状態で診断を行います。
この状態でサーバが異常停止するということとはサービスが停止するということです。
表2の診断計画を確認しますと、気になるのは日時です。
問題文の冒頭に『Pシステムが受信する1日の時間帯別の通信量の比率は、0~8時が2%、8時~16時が55%、16時~24時が43%である。』と記載されています。
予定通り9時~17時の時間帯で実施すると通信が多く発生していますので、サーバが異常停止した場合は当然サービス影響も大きくなってしまいます。
サービスへの影響を最小限にするためには、通信量の少ない『0~8時』の時間帯に実施すべきと考えることができます。
よって解答としては、変更すべき項目は『日時』で、変更内容としては『診断を0~8時の時間帯で行う。(16文字)』と解答することができます。
設問2 (3)
警告灯が点灯するようなことをすると社内が混乱するようです。
では、どんなことをすると警告灯が点灯するのでしょうか。
表2中の診断2について確認をすると、診断方法として本番DBサーバへ通信を行うようです。
表1の本番DBサーバの記載を確認すると、『ホスト型IPSが導入されている。』と記載があります。
図2のホスト型IPSの概要を確認すると、『ホワイトリスト設定や侵入検知設定による判定で通信が拒否されると、ポイントサービス部運用グループの執務室内になる警告灯を点灯させる。』と記載があります。
また、ホスト型IPSには『ホワイトリスト設定』がされており、『現在、本番WebサーバとDB管理PCのIPアドレスだけが登録されている。』と記載があります。
つまり、本番DBサーバにアクセスすることができるのは現状、『本番Webサーバ』と『DB管理サーバ』であり、これら以外の機器から通信があった場合は警告灯と点灯させてしまいます。
警告灯を点灯させないように、つまりは通信を拒否されないようにする対策としては、ホワイトリストに登録してあげればよいのです。
ということで解答として、設定変更をすべき機器は『本番DBサーバ』で、設定変更の内容としては『診断PCのIPアドレスを本番DBサーバに導入されているホスト側IPSのホワイトリストに登録すること(49文字)』と解答することができます。
設問2 (4)
『診断2の診断PCを接続するポイントを、図1の(e)から(d)に変更する必要があるという提案があった。』と記載があります。
その理由として、『Web管理PCから本番DBサーバにログインを試みた。その結果、警告灯が点灯し、運用グループは緊急対応体制をとることになってしまった。』とあり、その再発防止策として行ったFW2への設定の影響によるものと記載があります。
前問で本番DBサーバにはホスト型IPSが導入されており、そこにホワイトリストが設定されていて、警告灯と点灯させることなく本番DBサーバ宛に通信が行えるのは『本番Webサーバ』と『DB管理サーバ』であるということを扱いました。
ホワイトリストに登録されていないWeb管理PCから本番DBサーバにログインを試みたら警告灯が点灯してしまいます。
アクセスしたら警告灯が点灯し、緊急対応体制を取るような緊急事態に発展をするのであれば、最初からアクセスできる状態にしておくべきではないです。
そこでFW2に本番DBサーバ宛の通信はDB管理PCからのみ許可をする設定を行うことで、Web管理PCからアクセスを試みてもFW2で拒否され、警告灯も点灯しないという状況を構築することができます。
よって解答としては『c:本番DBサーバ』、『d:DB管理PC』、『e:許可』と解答することができます。
この設定変更が行われている場合、(e)に接続をすると通信経路上にFW2がありますので、設定によって通信は拒否されますが、(d)であればFW2の影響は受けませんので問題なく診断を行うことができます。
公式解答との比較・予想配点
私の解答と公式解答を比較してみました。
満点ではないにせよ、少なくとも7割~8割程度は取れているかと思いますので合格ラインには達していると思います。
予想配点はあくまで予想ですので参考程度でお願いします。
全体を通して、知識が必要となる問題はなく、文章中のヒントから論理的に考えて解答することができる国語の問題だったかと思います。
配点 |
|||
| 設問1 (1) | N-IPSで脅威として遮断されていた通信が通過するから(27文字) | N-IPS で遮断されていた PF 診断の通信が通過するから | 6点 |
| 設問1 (2) | 診断PCのIPアドレスをホワイトリストに追加する設定をする。(30文字) | ホワイトリストに診断 PC の IP アドレスを登録する。 | 6点 |
| 設問1 (3) | (a) | (a) | 4点 |
| 設問2 (1) | 診断用の利用者ID(9文字) | 診断用の利用者ID | 5点 |
| 設問2 (2) | 項目:日時 内容:診断を0時~8時の時間帯で行う。(16文字) |
項目:日時 内容:診断時間を 0 時~8 時の間にする。 |
2点 5点 |
| 設問2 (3) | 機器:本番DBサーバ 設定:診断PCのIPアドレスを本番DBサーバに導入されているホスト側IPSのホワイトリストに登録すること。(53文字) |
機器:本番DBサーバ 設定:ホスト型 IPS のホワイトリスト設定に,診断 PC の IP アドレ スを登録し,侵入検知設定を無効にする。 |
2点 8点 |
| 設問2 (4) | c:本番DBサーバ d:DB管理PC e:許可 |
c:本番DBサーバ d:DB管理PC e:許可 |
各4点 |
引用元
問題および解答例に関しては、独立行政法人 情報処理推進機構(IPA)より引用しています。
