情報処理技術者試験ナビ

当サイトは準備中です。

NW H27秋 午後Ⅰ 問3

◀️ 前へ次へ ▶️

 侵入検知・防御システムの導入に関する次の記述を読んで,設問 1〜3に答えよ。

 F社は,中堅の輸入食品卸売会社であり,自社で営業支援システムを運用している。
 現在の営業支援システムのネットワーク構成を,図1に示す。

f:id:honmurapeo:20160901200904p:plain

 F社の営業部員は,社内で営業支援システムにアクセスする場合には,自席のPCを使い,社外からは,モバイル端末を使って営業支援システムにアクセスする。営業支援システムで主なサービスを提供しているWebサーバを社外から利用するには,SSL/TLSを実装したRPサーバを経由してアクセスする。社内のPCからインターネットへのアクセスは,RPサーバを経由しない。

 F社では数年前にネットワーク構成を見直し,侵入検知システム(IDS)の機能をもったFWを導入した。最近になって営業部員から,インターネットを通じたサービスのレスポンスがしばしば悪化していると,苦情が寄せられるようになった。F社の情報システム部が調査した結果,現在のFWはIDSとしての性能の限界に近づいており,これがレスポンス悪化の原因となっていると考えられた。IDS機能を使わなければFWは負荷が軽減され,今後も継続して利用できることが分かった。

 また,最近発見された一部のサーバのミドルウェアの脆弱性を悪用する攻撃はFWのIDS機能では検出できないものであった。このときは,アプリケーションへの影響確認テストに時間が掛かり,当該サーバにセキュリティパッチを適用するまで,営業支援システムを数日間休止せざるを得なかった。

 F社の情報システム部は,インターネットを通じた様々なサイバー攻撃の増大が頻繁に報道されていることも考慮し,営業支援システムのセキュリテイレベルを向上させるために,プロジェクトを立ち上げた。プロジェクトのリーダには H君が任命された。まずH君は,IDSの見直しを開始した。

 

〔IDSの見直し〕
 侵入検知の仕組みとしては,次の2種類がある。

 一方はシグネチャ型と呼ばれ,不正なパケットに関する一定のルールやパターンを使う。原則として未知の攻撃には対応できないが,あらかじめ様々な種類のシグネチャが登録されている。

 他方の  ア  型は,定義されたプロトコルの仕様などから逸脱したアクセスがあった場合に不正とみなす。シグネチャ型と比べて,未知の攻撃に対しては柔軟に対応できるが,正常と判断する基準によっては,正常なパケットを異常とみなすこともある。H君は,それぞれの仕組みの特長を生かすために,両方の機能をもったIDSを採用することにした。

 次に,H君は,IDSのネットワークへの接続について検討した。

 IDSは,監視対象のネットワークにあるSWの  イ  ポートに接続し,IDS側のネットワークポートを  ウ  モードにすることで,IDS以外を宛先とする 通信も取り込むことができる。また,IDS側のネットワークポートに  エ  アドレスを割り当てなければ,IDS自体が OSI基本参照モデルの第3層レベルの攻撃を受けることを回避できる。

 検出可能な通信は,IDS の接続箇所によって異なる。例えば,インターネットとDMZ間の通信は,IDSをSW1又はSW2に接続した場合は検出可能だが,SW3に接続した場合は検出できない。図1中のSW1〜SW3にそれぞれIDSを接続した場合に,IDSで検出可能な通信を表1に示す。

f:id:honmurapeo:20160901200921p:plain

 H君が調査したIDSには,検知した攻撃を遮断する機能を実装している機種があった。遮断機能のうちの一つは,①IDSとFWが連携することで,検知した送信元アドレスからの不正な接続を遮断するというものであった。

 また,IDSが不正なTCPコネクションを検知した場合に,該当する通信を強制的に切断する目的で,送信元と宛先の双方のIPアドレス宛てに,TCPのRSTフラグをオンにしたパケットを送る機能があった。検知した不正パケットがUDPの場合に は,該当するパケットの送信元に,ICMPヘッダのコードにport  オ  を設定したパケットを送って,更なる攻撃の抑止を試みることができる。しかし,H君は,②このICMPを使った攻撃抑止のためのパケットが,実際は攻撃者に届かないことがあること,又はこのパケット自体が他のサイトへの攻撃となることもあると考えた。

 これまでの検討結果から,H君は,より高度な侵入防御の仕組みが必要であると考え,ネットワークの重要な部分へは侵入防止システム(IPS)を追加することを検討した。

 

〔IPSの追加〕
 IPS は,不正アクセスを監視するだけでなく,遮断する機能を強化したネットワーク機器である。例えば,SQLインジェクションのような,Webアプリケーションの脆弱性に対応する機能をもつもの,及び③防御対象のサーバに新たな脆弱性が発見された場合の一時的な運用に対応できるものがある。しかし,IPSは正常な通信を誤って不正と検知してしまうこと(フォールスポジティブ),又は不正な通信を見逃してしまうこと(フォールスネガティブ)があり,双方のバランスをとって効果 的な侵入防御を実現することが重要である。

 また,高度な機能をもつ IPS には高い負荷が掛かることが予想される。ネットワークの通信量が急激に増えた場合でも,営業支援システムのレスポンス悪化を避け継続して利用できる状態にすることが重要であることから,H君はIPSの障害対策について検討した。

 IPSの障害対策には,並列に複数台導入する冗長化が考えられる。しかし,導入候補のIPSには ④IPSの機能の一部が故障した場合に備えた機能があった。費用対効果の観点と,IDSが併設されていることや,営業支援システムの継続利用を優先することから,H君はIPSを冗長化しないことにした。

 以上の検討の結果,H君は営業支援システムのネットワークに,IDSとIPSの両方を追加し,管理用PCを接続した管理用 LANを設けることを考えた。

 H君による,見直し後の営業支援システムのネットワーク構成案を,図2に示す。

f:id:honmurapeo:20160901200950p:plain

 H君が考えたネットワーク構成案は承認され,営業支援システムの見直しプロジェクトが開始された。

設問1

 〔XXX〕について,(1)〜()に答えよ。

(1)本文中及び表中の   ア    オ   に入れる適切な字句を答えよ。
 

アの解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

イの解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

ウの解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

エの解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

オの解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(2)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(3)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(4)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

 

設問2

 〔XXX〕について,(1)〜()に答えよ。

(1)XXX
 

解答例・解説
解答例

f:id:honmurapeo:20180511202536p:plain

解説

 XXXXXXXX

 

(2)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(3)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(4)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

 

設問3

 〔XXX〕について,(1)〜()に答えよ。

(1)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(2)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(3)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(4)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

 

設問4

 〔XXX〕について,(1)〜()に答えよ。

(1)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(2)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(3)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(4)XXX
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

 

IPA講評

出題趣旨

 XXX

採点講評

 XXX