令和4年度 春季試験 問1:セキュリティの問題解説を行っていきます。
出題テーマ:通信販売サイトのセキュリティ対策
セキュリティに関する用語が浅く広く出題されました。
これまで多く出題されてきた技術はもちろんのこと、最近流行している技術についても出題されていました。
一部知識は必要となる問題は出題されていましたが、基本的には問題文中のヒントから回答することができる国語の問題と言えるかと思います。
設問1
サーバ上に不要なアカウントが残っていれば、それらは適切に権限や認証などが管理されずに放置されている場合が多いため、不正にログインなどをされてしまう可能性があると推測できます。
同じように、不要な『a:サービス』(プログラムなど)が動作している場合は、これらの脆弱性などを利用され攻撃を受ける可能性があります。
ということで、解答例としては『a:サービス』となります。
実運用上でもWebサイトを運営するにあたり最小限のサービスを稼働させることが望ましいです。
設問2
シグネチャときたら『IPS』ですよね。
ということで解答は『IPS』となります。
シグネチャとはウイルスやマルウェアの行動パターンや特徴が記載されているファイルとなります。
IPSは通信内容を確認してシグネチャに定義された行動パターンや特徴と一致する場合は、その通信がウイルスやマルウェアであると判断します。
ウイルスやマルウェアは日々進化・変化していますので、シグネチャも基本的には毎日更新すべきではあります。
IPSにはもう1つアノマリ型という検知方法があります。
シグネチャ型はこの行動をしたらウイルスやマルウェアと判断しますが、アノマリ型はこの動きは怪しいなと判断したらウイルスやマルウェアと判断します。
イメージとしては、TVの警察24時みたいな刑事の感で声をかけたらクロでしたみたいなように、シグネチャ型では検知できないものを検知することができる可能性がある一方で、怪しいけど声をかけてみたら普通の人でしたというように正常な通信を誤検知してしまう可能性もあります。
応用情報試験を始めとして情報処理試験で出題されるのは圧倒的にシグネチャ型が多く、ネットワークスペシャリストや情報処理安全確保支援士では単語としてアノマリ型が問われたことがありますので、単語と簡単な内容だけ抑えておくと今後役に立つかと思います。
設問3
修正プログラムを確認するためには当然ですが、OS、ミドルウェア、CMSの『ウ:名称』を管理する必要があります。
そして、OSにはWindows7、Windows10のようにバージョンがあります。
ミドルウェアであればWebサーバであるApacheやDBとしてはMySQLなどが上げられ、これらにもバージョンがあります。
バージョンが異なれば適用する修正プログラムも異なりますので、『イ:バージョン』も管理する必要があると考えられます。
ということで、解答例としては『イ:バージョン、ウ:名称』となります。
『ア:販売価格』に関しては問答無用で正解ではないと判断できたかと思います。
『エ:ライセンス』は通常であれば、製品の名称に含まれることが多いです。
例えば、Windows10 HomeやWindows10 Proのように名称≒ライセンスとなっています。
どのライセンスを適用しているか、ライセンス期限などは適切に管理する必要がありますが、今回の問題の観点では管理する必要がないと考えられます。
設問4 (1)
脆弱性が発表されたら、製品のメーカーやリリース元がすぐに脆弱性に対応したパッチを提供できるかというとそういうわけではありません。
脆弱性が発表されてから、メーカーやリリース元は製品がその脆弱性に該当するのかを調査します。
調査した結果、脆弱性に該当しなければいいのですが、該当する場合は修正プログラムのリリース、なにか設定変更などで回避できるかというような対策案の立案、バージョンアップが必要になるなどの脆弱性への対策案を公表します。
脆弱性が発表され、メーカーやリリース元が修正プログラムなどを提供するまでにその脆弱性を利用されて受ける攻撃のことをを『ゼロデイ攻撃』と呼びます。
というこで解答例としては『ゼロデイ攻撃(6文字)』となります。
脆弱性発表→メーカーが調査→メーカーが対策案の発表という流れで、脆弱性の重大度などによりますが、この対策案の発表までに数日~数ヶ月程度要することがあります。
脆弱性をつかれて攻撃される心配はあるかと思いますが、先日のKDDIの障害に対する総務省ではないですが、メーカー側も重大度を理解して対応しています。
急かしても何も出ないので気長に待ちましょう。
設問4 (2)
選択肢の中から選択すべきは『ウ:脆弱性の回避策を調査』となります。
先程脆弱性発表から対策までの流れをご紹介しましたが、その中で記載した設定変更などでの回避できるかということが該当します。
修正プログラムや対策が施されたバージョンのリリースには時間を要します。
設定変更で回避できる場合はメーカーやリリース元も公表しますので、そちらを適用することを検討するのがよいかと思います。
設問4 (3)
これに見合う選択肢は『ア:過検知』となります。
説明としてはは問題文中に記載がある通りで、正常な通信までも遮断してしまうことです。
別名としては『フォールスポジティブ』と呼ばれることがあります。
ちなみにその逆で、設定がゆるすぎて異常な通信を通過させてしまうことを『フォールスネガティブ』と呼びます。
よく例えられるのが医師による告知です。
『あなたは病気です。』と告知を受け、よくよく検査したら病気じゃなかったという場合がフォールスポジティブです。
『あなたは病気ではありません。』と告知を受け、その場ではほっと安心しますが、その後なんだか体調が悪くなり、検査をしたら病気でしたというのがフォールスネガティブです。
実際の問題としてセキュリティレベルの調整は難しいのですが、異常な通信は通すべきではないので、フォールスポジティブの方が好ましくあります。
設問4 (4)
設問には本文中の字句を用いてとありますので、そのまま解答しましょう。
ということで解答例としては『インシデント対応チーム(10文字)』となります。
設問4 (5)
このようなシステムのことを『SIEM』と呼びます。
読み方はSIEM(しーむ)と読みます。
用語の説明は下線部に記載がある通りとなります。
最近流行しているシステムではあるのですが、導入だったり運用していく難易度が高い印象を持っています。
予兆や痕跡の正当性などはどのように検証・評価するのでしょうか。。
メーカーの言ったことなどを鵜呑みにせず、本当に必要なのかをご検討いただければと思います。
公式解答例との比較・予想配点
出題テーマは『通信販売サイトのセキュリティ対策』でした。
IPSやゼロデイ攻撃、最新の技術であるSIEMまで出題されており、幅広く問われていたと思います。
その一方で、理由を答えよなので文で解答する記述問題がなかったので、難易度はやや易しい程度だったかと思います。
配点 |
|||
設問1 | サービス(4文字) | サービス | 3点 |
設問2 | IPS | IPS | 2点 |
設問3 | イ、ウ | イ、ウ | 2点 |
設問4 (1) | ゼロデイ攻撃 | ゼロデイ攻撃 | 3点 |
設問4 (2) | ウ | ウ | 2点 |
設問4 (3) | ア | ア | 2点 |
設問4 (4) | インシデント対応チーム(10文字) | インシデント対応チーム | 3点 |
設問4 (5) | SIEM | SIEM | 3点 |
引用元
問題および解答例に関しては、独立行政法人 情報処理推進機構(IPA)より引用しています。
YouTube解説動画
応用情報技術者試験解説
その他の年度、問題は以下のページにてまとめています。