目次
とある日
春期の情報処理安全確保支援士に合格するために勉強したアウトプットを記録した記事です。
令和三年度秋期情報処理安全確保支援士試験午後2問2
問題
解答
設問1
(1)
a:ア
b:イ
c:イ
d:ウ
解説
予算を割り当てる→必要なリソースを確保する (経営者)
セキュリティ維持に必要な技術的対策を講じる→インシデント発生時の対処(システム管理者)
制限を設ける→ルールを定める(システム管理者)
推測されにくいものを設定する→ルールを遵守し(テレワーク勤務者)
(2)
e:CRYPTREC
解説
支援士の問題ではこういった選択ではなく単語を記述する問題もあるのである程度かけるように覚える必要がある。
(本番のとき何を書くかはわかったがスペルがわからず適当に回答)
CRYPTREC | トップページ
CRYPTRECは、Cryptography Research and Evaluation Committeesの略。電子政府が推奨する暗号リストで、安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクトの総称でもある。
CRYPTREC暗号リストは以下の3種類で構成される。 (1)電子政府推奨暗号リスト (2)推奨候補暗号リスト (3)運用監視暗号リスト
設問2
(1)
エ
解説
これも知っているか知らないかを問われるだけである。
あと略称だけ覚えていてもあぶないので注意が必要。
LBO(Local Break Out:ローカルブレイクアウト)とは?意味・定義 | ITトレンド用語 ||NTTコミュニケーションズ
LBO(Local Break Out)とは、特定のクラウドサービス向けのトラフィックについては、データセンターなどに設けられたインターネットとの接点を使わず、各拠点から直接アクセスするネットワーク構成です。
OpenFlowとは - IT用語辞典 e-Words
OpenFlowとは、通信ネットワークを構成する通信機器を一つの制御装置で集中管理し、複雑な転送制御を行なったり柔軟にネットワーク構成を変更できる技術。
インターネット用語1分解説~SDN (Software Defined Networking)とは~ - JPNIC
SDN (Software Defined Networking)とは、 ソフトウェアによって仮想的なネットワークを作り上げる技術全般を言います。 SDNを用いると、物理的に接続されたネットワーク上で、 別途仮想的なネットワークを構築するといったようなことが可能になります。
ゼロトラストネットワークとは?仕組みやメリットデメリットについて徹底解説|サイバーセキュリティ.com
ゼロトラストネットワークでは「社内は安全である」という前提の下で境界を守るセキュリティ対策ではなく、「全て信頼できない(ゼロトラスト)ことを前提として、全てのデバイスのトラフィックの検査やログの取得を行う」という性悪説に基づいたアプローチを採用しています。
(2)
Bサービスのアクセス制限機能によって通信が拒否されたから
解説
表1のBサービス概要でアクセス制限機能によって、アクセス元IPアドレスがUTMのグローバルIPアドレスの場合だけアクセスを許可するとあるので、IPアドレスが関係している可能性が高い。
設問3
(1)
解説
FQDNとIPアドレスの2つを合わせたIPリストで拒否を決めるため片方が違った場合は拒否されない。
そのためどちらかを変えれば防げないです。
FQDNは変えると大変だなと判断してIPアドレスの変更と回答。
(2)
C&Cサーバとの通信時にDNSへの問い合わせを実行しない場合があるから
解説
DNSシンクホール機能が実行される場合は、DNSクエリが発行された場合である。
DNSシンクホール機能で防ぐことができないときは、IPアドレスを直接指定した場合などが想定される。
なので、UTMのアクセス制御機能を用いても防御する必要がある。
(3)
f:イベントログの消去を示すログ
解説
Gさんの感染確認の発言に続いてP氏が?が存在するかどうかもチェックする必要があるとあるので、ただイベントログを見るだけではなく追加で必要な確認項目があることがわかる。
図8で攻撃者の活動の特徴にその記載がある。
「一部の業務PCではすべてのイベントログが消去された痕跡があった。すべてのイベントログが消去されたあと、イベントログにイベントログの消去を示すログが記録されていた」
上記の記述から、イベントログにαログまたはβログがない場合はこのログを確認する必要があると判断できる。
(4)
横展開機能と待機機能だけを実行していた場合
解説
まず確認ツールが何をするかを把握する。
確認ツールは、イベントログにαログまたはβログが存在するをチェックする。
次はαログまたはβログが書き出されるタイミングをチェックする。
αログ:C&Cサーバと通信を確立し、攻撃者が遠隔操作できる状態になる。このときイベントログにマルウェアのαの実行を示すログが記録される。
βログ:C&Cサーバと通信を確立し、収集した情報をC&Cサーバに送信する。このときイベントログにマルウェアβの実行を示すログが記録される。
問われているのはβの挙動である。
βは表2を見るといずれかの機能をあらかじめ定められた確率でランダムに実行するとある。
機能は、待機機能、横展開機能、遠隔操作機能の3つだがログを記録するのは3つ目の遠隔操作機能だけである。
そのため、待機機能と横展開機能だけ実行されている場合はログが記録されないので確認ツールでは発見できない。
(5)
UTMのIDS機能によって攻撃が検知でき、システム管理者に連絡がされるから
解説
表1でUTMに備わっているIDS機能で十分対応可能なためそれを記述する。
IDSを知らなくても表1の内容を見れば十分に答えられる。
設問4
(1)
g:7月14日
解説
図8の7月14日にFさんがそのメールの添付ファイルを開いた結果Fさんの業務PCがマルウェアαに感染したとあるのでこの日が怪しい。
少し遡ると7月9日は不正ログインをした記述がある。
今回の問題は、マルウェアのアクセスログを探すので不正ログインしただけではマルウェアに感染したと言えないので14日が適切と言える。
(2)
h:IPリストに登録されたIPアドレス
解説
マルウェアによって行われる通信を検知するのためマルウェアの通信の宛先はC&CサーバのIPアドレスとFQDNが含まれたリストがあるのでそれらをまとめるだけ。
(3)
連携端末以外のIPアドレスを送信元とする通信記録
解説
通常の通信が連携端末からほかのPCサーバへの通信だと定義するなら、反対の感染が疑われる通信は送信元が連携端末以外となるのでその内容をまとめる。
(4)
連携端末を一時的にネットワークから切り離した対応
解説
被害を拡大させない要因を探す必要がある。
マルウェアの感染が疑われたときの初期対応としてネットワークからの切断が有効である。
ネットワークを切り離せば、マルウェアを限定的に隔離することができるので被害が広がる可能性が低くなる。
連携サーバ経由の感染状況の確認と感染拡大防止のところで、連携サーバをネットワークから切り離す記述があるのでそれをまとめるだけ。