下記の問題集を参考させていただいでおります。
午後(I・II)に集中!情報処理安全確保支援士精選17問
設問1
(1) a:SMTP over TLS
「サーバ証明書を用いて、SMTP通信をセキュアにした」とあります。
サーバ証明書を利用したSMTPプロトコルはSMTP over TLS(ポート:465)です。
POPの場合POP over TLS(ポート:995)、IMAP4はIMAP4 over TLS(ポート:993)です。
暗号化される範囲は自身のPCから接続しているサーバまでであり、その後のサーバ間、サーバと相手PC間は暗号化されない(装置間の設定による)
(2) b:ウ d:ア
MUA(Mail User Agent)・・・メールを見たり、送信したりするソフトのこと
MSA(Mail Submission Agent)・・・ユーザ認証を行う(SMTP-Auth, Pop Before SMTP)
MTA(Mail Transfer Agent)・・・メールサーバ、相手にメールを送る
MDA(Mail Delivery Agent)・・・メールを受信ボックスに格納する。
(3) c:内部メールサーバ
外部メールサーバの説明に「インターネットと内部メールサーバの間でメールを転送する」とあります。
このことから表3にはインターネットと内部メールサーバ(A社ドメイン)の転送ルールが表記されているはずです。
そのためCには内部メールサーバが入ります。
A社ではオープンリレー対策を行っています。オープンリレーとはメールサーバが外部からの送信依頼を受け、依頼にある宛先にメールを転送する機能です。SPAMメールの踏み台になってしまう可能性があるためオープンリレー防止は行っておく必要があります。
設問2
(1) e:プロキシサーバ
f:URLがマルウェアX中に保存されたURLである
空欄前後からマルウェアXに関する調査項目の追加であることがわかります。
表2を確認するとプロキシサーバでは社内のPC、サーバからインターネット上のWebサーバ向けの通信を中継していて、さらに、ログ取得機能では送信元IPやURLを保存しています。
図2(2)にマルウェアXにはC&CサーバのURLが保存されていると記載があります。
このことからプロキシサーバに残されたログのURLとマルウェアX中に保存されたURLを抽出してあげればよさそうです。
(2) g:外部メールサーバ
h:インターネット上のサーバに送信された
空欄前後からマルウェアYに関する調査項目の追加であることがわかります。
図2(3)にマルウェアYの動作が書かれており、メールを送信する機能があることがわかります。
このことからマルウェアYによって、インターネット上(C&Cサーバ)にメールが送信されたかどうかを確認する必要があります。
図2の調査結果には上がっていませんでしたが、実際に社内情報が外部に送信されたかどうかを確認するのは必ず必要なことになりそうです。
(3) 外部DNSサーバの設定変更内容:内部DNSサーバからのDNS問い合わせを拒否する
マルウェアYは多数のFQDNを保持しています。これを内部DNSサーバに問い合わせることでC&Cサーバから攻撃指示を仰ぎます。
(正確には内部DNS→外部DNS→インターネットという順に問い合わせる)
外部DNSサーバは公開Webサーバ、外部メールサーバ、プロキシサーバ、内部DNSサーバの問い合わせを受け付ける設定になっており、内部PCからの問いあわせはプロキシ―サ―バからの問い合わせとして対応すればよいため、内部DNSサーバからの問い合わせは拒否してもよさそうです。
内部DNSサーバの設定変更内容:インターネット上のサーバ名についてのDNS問い合わせを拒否する
内部DNSサーバ側は逆に社内ドメイン管理のみとし、管理していない問い合わせをインターネット上(外部DNSサーバ)に問い合わせ内容に設定すれば今後同様の攻撃は起きないと思われます。
(4) i:社内専用のドメイン名以外のFQDNが書かれている
設問2(3)で内部DNSサーバは社内ドメインの解決しか行わないため、社内ドメイン以外のFQDNを抽出するという条件なら簡単に抽出ができると思います。
設問3
(1) ファイルを暗号化しない
問題点(あ)では暗号化されたファイルのウイルス検出ができないことです。
この対策としてファイルのやりとりはデータ交換サーバをもちいることになります。
さらに、暗号化されたファイルのウイルス検出ができなかったためファイルは暗号化しないほうが良いです。
(2) サーバ及びPCでのウイルス検出結果をシステム部運用グループに通知する
問題点(い)ではマルウェア感染の申告をきっかけとして、調査及び対処に着手しており初動が遅くなっていることです。
その対策としてウイルス対策集中管理ソフトを導入します。このソフトに求める機能は何かを答える問題ですが、問題はマルウェアに感染したという申告がベースになることです。
そのため、ウイルススキャンによりウイルスを検出したタイミングで通知を出すというのが有効的な対策になり得ます。
通知先はHさんがウイルスを検知したと申告しているシステム部運用グループです。
設問4
j:PC-LAN
同法転送処理がどこから送られてくるかを考えます。
〔メールによる情報交換〕に記載がある通り、業者(外部)がメールを送信する時が1つです。
これは表7項番2にもある外部メールサーバのIPアドレスが該当します。
あと1つは社内から社内(部署から部署)への送信が考えられます。そのため、PC-LANのIPアドレスを許可しておけば良さそうです。
また、項番3で外部メールサーバへ転送しているため、送信元はメールを送ってくるPC-LANであることが想像できると思います。
設問5
業務LANの全てのサーバにホスト型IPSソフトウェアを導入する
業務LANのサーバでは脆弱性修正プログラムをすぐには適用できないことがあるため、それの対策を答える問題です。
現に業務部サーバとコンテンツ管理Webサーバは脆弱性修正プログラムの適用が延期されています。
解決策としてはIDS、IPSを導入することで今回は防止することも求められているためIPSを導入します。
また、通信維持の観点からネットワーク型は推奨されません。ホスト型を導入します。
この問題は中々難しいです。