下記の問題集を参考させていただいでおります。
午後(I・II)に集中!情報処理安全確保支援士精選17問
設問1
a:対応の要否
「重要度や優先度を考慮して」表1番号3か番号6(対応するorしない)に飛んでいます。
対応するかしないかの判断をしているため対応の要否です。
設問2
(1) 報告すべきインシデントの範囲
問題文中に「A社IRTに報告すべきインシデントの範囲についても明確に定義していない」、「マルウェア感染時の社内連絡先」という記載があります。
従業員の多くがマルウェアに感染したときの連絡先という認識で、インシデントが発生したときは事業部内で対応している様子で、どんなインシデント(マルウェア感染も含みますが)を報告するのかが不明確になっています。
(2) インシデントがA社全体に与える影響度に基づいた対応を指示するため
A社でのインシデント発生前は事業部内で発生したインシデントを事業部内で対処していました。
しかし、今回インシデントが発生することによりIT部から独立し、経営陣直属の組織となります。
独立したことで表1番号5を直接実施できるようになり、事業部内でインシデント対応させることを改善します。
表1番号5の内容は「インシデントの影響度に基づいて、対応内容を決定し、対応指示を行うこと」です。
設問3
(1) IT部のOA用PCに攻撃メールが送信され、PCがマルウェアに感染し、起動したマルウェアがサーバLANに不正アクセスする攻撃
運用管理セグメントを新設することで、対処できる攻撃内容についての問題です。
Hさんが「サーバLANの管理用ポートへのアクセスは利用者LANのIT部セグメントからしか許可を与えていないため、運用管理セグメントとほぼ同様な構成になっているから意味がない」と言っています。
しかし、利用者LANとサーバLANのセグメントは分かれているものの、FWを通した構成にはなっていません。
さらに今回はSS部のZ主任に攻撃用メールが送られており、IT部に攻撃メールが送信される可能性もあります。
そうなるとIT部のOA用PCがマルウェアに感染し、サーバLANへのアクセスも可能になってしまいます。
また、LDAPがHTTP通信のため管理用IDやパスワード等を取得されてしまう可能性もあります。
(2) IT部運用チームのメンバのLDAPID以外によるログイン要求の検知」
リバースブルートフォース攻撃はブルートフォース攻撃とは逆でパスワードが固定で、IDを総当たりに試す攻撃です。
LDAPサーバへのログインはIT部の運用チーム4名のLDAPIDのみで、他のLDAPからのログインはあり得ません。
そのため、他LDAPIDからのログイン要求=攻撃の可能性というのが考えられます。
設問4
(1) A社IRTが収集すべき脆弱性情報を把握できるため
構成情報を正しく把握しておけばどのような効果があるのかという問題です。
現状、脆弱性対処などは各部署ごとで行われていますが、多忙な時などは対処が遅れインシデントにつながっているようです。
ここでA社IRTが各部署の構成情報を把握しておけば、利用されている機器を基に脆弱性情報を収集しやすくなります。
(2) A社IRTが各部署のインシデント発生時や対策時の、影響範囲の特定に活用する
なぜ構成管理情報を把握しておくことで、インシデント対応でも有効に活用できるのかという問題です。
設問4(1)にも記述した通り、各部署は多忙なこともあり、脆弱性対処が遅れインシデント発生が増加しているようです。
ここで、構成管理情報があればインシデント発生時もどの機器でインシデントが発生しているの、影響はどれくらいの範囲なのか特定が容易になります。
解答では対策時にも有効だと記載があります。
設問5
・各部署が収集している脆弱性情報の提供を受ける。
A社各部署の取り組みとどのように連携するのかという問題です。
A社各部署で行われている取り組みは〔脆弱性情報のハンドリング〕より「脆弱性情報の収集」と「脆弱性修正プログラムの適用」です。
今回の問題である図5課第2は脆弱性情報の収集に対する課題で、長期的には増員するようですが、短期的に行えることとしてはすでに情報収集がされた脆弱性情報の共有を受けることが行えると思います。
設問6
(1) 現状評価基準
ゼロデイ攻撃はパッチなどの修正プログラムが適用する前に行われる攻撃です。
問題文より現状評価基準は「時間の経過によって変化し、脆弱性を公表する組織が、脆弱性の現状を表すために評価する基準」と記載があります。
ゼロデイ攻撃はパッチが適用されるまでの時間は攻撃が可能なため、端的に言えば時間で左右されます。
(2) c:ネットワーク d:ローカル e:FW1
表3のFW1には「外部事業者の担当者が遠隔地からインターネットを経由し」とあるためFW1には攻撃元区分の**ネットワーク(c)が当てはまります。
FW2は表3より「SS部が管理する」「SS部の担当者がMPC(管理用PC)にログインし」とあるため攻撃元区分にはローカル(d)が当てはまります。
そして攻撃の多さはローカルよりネットワークの方が当然多いため、深刻度のスコアはFW1(e)**が大きいです。
用語
インシデントマネジメント:インシデントに関する情報を収集、発生した場合の影響度を評価、発生時の連絡・共有先、インシデント終息後の対応方法等の将来の発生する可能性を見込んで対策を検討すること
インシデントハンドリング:「インシデントの検知・連絡受付」、「インシデントのトリアージ・対応要否の決定」、「影響範囲の特定・応急処置」、対応策」の4つで構成されており、インシデントマネジメントに含まれている。