情報処理技術者試験ナビ

当サイトは準備中です。

NW H26秋 午後Ⅰ 問3

◀️ 前へ次へ ▶️

 ネットワークのセキュリティ対策に関する次の記述を読んで,設問1〜4に答えよ。

 X銀行は,Q県を本拠地とする中堅の地域金融機関である。X銀行は,基幹システムである勘定系システムの運用を他行との共同センタに委託しているが,自行にもコンピュータセンタをもっており,インターネットバンキングはX銀行独自のシステム(以下,IBシステムという)で運用している。IBシステムの構成を,図1に示す。

f:id:honmurapeo:20180510205805p:plain

 IBシステムは,Webを使ったインターネット経由の顧客向けサービスである。IBシステムは,勘定系システムで管理している口座残高などの情報を除き,独自のユーザID,パスワードなどの重要情報をデータベースに保有している。IBシステムのWebサーバは,業務セグメントのPCからもアクセスできる。
 最近,IBシステムへのサイバー攻撃が増加している。金銭的な被害は発生していないが,セキュリティインシデントは頻繁に発見されている。

サイバー攻撃対策
 X銀行では,サイバー攻撃対策のためのセキュリティ担当者として,システム企画部の主任のF氏が任命されている。次は,新たにシステム企画部に着任したG君とF氏の会話である。

G君:最近のサイバー攻撃にはどのようなものがあるのですか。

F氏:最近,標的システムへの通信量を増大させて,ネットワークやサーバの処理能力を占有することによって,正常な取引の処理を妨害し,場合によってはサーバをダウンさせるDoS攻撃が,頻繁に発生している。特に,多数のコンピュータが標的サーバを集中的に攻撃する   ア   型DoS攻撃は,発信元のコンピュータの特定が難しいので,被害が大きくなるといわれている。DoS攻撃には,TCPのパケットを大量に送信し,応答待ちにして新たな接続を妨害するSYN   イ   攻撃や,コネクションレスのUDPパケットを使ったUDP   イ   攻撃などがある。

G君:DoS攻撃といえば,DNSの機能を悪用したものがあるそうですね。

F氏:例えば,PCなどから問合せを受けたDNSサーバが,他のDNSサーバにも問合せを行い,最終的な結果を返信する   ウ   的な問合せにおいて,発信元のIPアドレスを詐称して,その問合せの結果を標的サーバ宛てに送信させるDNS   エ   攻撃と呼ばれるものがある。このような,オープンリゾルバを用いた攻撃に関しては,自らも攻撃の   a   とならないようにすることが重要だ。サイバー攻撃に対応するためには,常に最新のセキュリティ対策を施しておく必要がある。
 

 X銀行では,DNSへのサイバー攻撃に対応するために,IBシステムに様々な対策を施している。そのうちの一つが,DNSのセキュリティ対策である。

DNSのセキュリティ対策
 IBシステムのDNS概念図を,図2に示す。

f:id:honmurapeo:20180510205815p:plain

 図2のDNSは,次のセキュリティ対策方針に基づいて構築されている。

  • DNSサーバが管理するドメインを,DMZ(外部向けゾーン)と内部セグメント(内部向けゾーン)に分け,それぞれゾーン転送を行う。
  • ①DMZのDNSサーバは,キャッシュ機能を無効にしたセカンダリの冗長構成として,DMZに設置されグローバルIPアドレスを割り当てられたWebサーバの名前解決に使用する。
  • 内部セグメントのDNSサーバは,プライマリ,セカンダリ,キャッシュをそれぞれ別のサーバ機器で稼働させる。
  • 内部セグメントのプライマリDNSサーバには,DNSの問合せが来ないようにし,ゾーン転送の宛先は自行内のセカンダリサーバに限定する。
  • 内部セグメントのセカンダリDNSサーバは,内部セグメントに設置されたデータベースサーバの名前解決に使用する。
  • FWにおいて,内部セグメントのDNSサーバからDMZのDNSサーバへの通信は,TCP/UDPともポート番号53番だけを許可する。

 DNSの対応を含めた上記のセキュリティ対策を正しく実装し,実効性を確保することが必要である。
 次は,侵入検査とインシデント管理に関する,F氏とG君の会話である。

G君:被害が発生してからでは遅いのではないでしようか。被害を未然に防ぐ対策はないのですか。

F氏:そうだね。当行では,実際にぜい弱性があるかどうか調査するための侵入検査いわゆるテストを定期的に実施して,セキュリティ対策の状況を評価している。しかし,それだけでなく,平常時の状態をよく監視しておき,被害が発生する前の兆候をつかむことが大切だ。そのためにはインシデント管理が重要だと考えている。また,②外部からの不正アクセスだけでなく,内部から外部への通信にも十分に注意しなければならないね。

G君:少しでも不審な動きがあったら,事前に定めておいた対応手順に従って,迅速に対応する必要があるということですね。

インシデント管理
 IBシステムにおいて,不正侵入などのサイバー攻撃に関わる重大なインシデントが発生した場合,社内のインシデント発見者又は社外からのインシデント連絡を受け付ける担当者が,定められた手順に従ってセキュリティ担当者への連絡を行う。インシデントの連絡を受け付けたセキュリティ担当者は,発生したインシデントの状況を把握し記録した後,必要な対処を実施することが定められている。
 IBシステムにおいて,サイバー攻撃に関わる重大なインシデントが発生したときのために,X銀行が定めた対応手順を,図3に示す。

f:id:honmurapeo:20180510205826p:plain

 X銀行では現在,適切なセキュリティ対策を実施し,インシデント発生時に迅速に対応することによって,IBシステムを順調に稼働させている。

設問1

 本文中の   ア    オ   に入れる適切な字句を答えよ。

アの解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

イの解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

ウの解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

エの解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

オの解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

 

設問2

 〔サイバー攻撃対策〕について,(1),(2)に答えよ。

(1)本文中の   a   に入れる適切な字句を答えよ。
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(2)大量のパケットを送信する攻撃として,大きなサイズのICMPエコー応答を使ったものがある。この攻撃を防御するために,図1中のFWがもつべき機能は何か。30字以内で具体的に述べよ。
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

 

設問3

 〔DNSのセキュリティ対策〕について,(1)〜(3)に答えよ。

(1)本文中の下線①の対策をとらなかった場合,どのようなセキュリティ上の脆弱性が考えられるか。20字以内で述べよ。
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(2)本文中のセキュリティ対策を実施した場合の,図2中の空欄のDNSサーバと,DNS問合せ及びゾーン転送について,凡例に従って図2を完成させよ。
 

解答例・解説
解答例

f:id:honmurapeo:20180510205841p:plain

解説

 XXXXXXXX

 

(3)本文中の下線②で,内部から外部への不正な通信を発見又は防止するために必要な,FWでの対策を二つ挙げ,それぞれ30字以内で述べよ。
 

解答例・解説
解答例
  • ああああ
  • ああああ
解説

 XXXXXXXX

 

 

設問4

 〔インシデント管理〕について,(1),(2)に答えよ。

(1)図3中の   b   は,セキュリティ担当者の対応として必要な,ネットワークに係る作業である。その作業の内容を15字以内で答えよ。
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(2)対処結果の報告後,将来発生するインシデントへの対応として,セキュリティ担当者が実施すべき事項がある。その内容を30字以内で述べよ。
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

 

IPA講評

出題趣旨

 DDoS 攻撃を始めとするサイバー攻撃は年々増加し,ネットワークのセキュリティの重要性が増している。ネットワークの様々な機器やサービスにおいてセキュリティ対策が必要であるが, ネットワークの基本機能の一 つである DNS は,未だに適切な対策が施されていないサーバも多く, サイバー攻撃の踏み台となっている場合がある。対策には,平常時の状況を把握し,異常なアクセスを早期に発見して対処することが必要だが,そのためにはインシデントの発生状況に注意を払い,事前に定めた手順に従って適切に対応することが重要であ る。
 本問では,ネットワークのセキュリティ対策を題材に, DNS のセキュリティ対策とインシデント管理について,基本的な知識と理解力を問う。

採点講評

 問3では,ネットワークのセキュリティ対策を題材に, DNS に関わる基本的な知識と,重要なインシデント が発生した場合のネットワークの運用対処について出題した。いずれも基礎的な知識を問うたものであり,全 体として正答率は高かった。
 設問1は,基本的な用語と知識に関する問題だが, DNS に関わる用語は正答率が低かった。正確に理解して ほしい。
 設問2(1), (2), 設問 3(1) は, DNS やファイアウォールのセキュリティ対策に関する問題であり,比較的高 い正答率であった。受験者の関心も高く,よく学習されていると思われる。
 設問3 (2)は, DNS サーバの配置と DNS 問合せやゾーン転送を,本文に記載した条件に従って図示する問題であるが,本文の条件をよく読まず, 自身の経験や一般的な知識だけで解答しているものが非常に多かった。ま た, DNS 問合せやゾーン転送は, DNS の基本的な機能であるが,正しく理解されていない解答が散見された。 DNS はネットワークの基礎的な要素であり,用語を覚えるだけでなく仕組みを理解して,構築方法などについ てもきちんと理解しておいてほしい。 設問4は,インシデント発生時の運用手順について問うたものであるが, ネットワーク技術者としてシステ ムの運用を理解しておくことが大切である。特に PDCA サイクルに従った改善手法については,実務に応用で きるように身に付けておくことが重要である。