■問1(難易度:普通)
テーマ:OAuthによる認証・認可を提供するSNSで自社開発のSaaSを認証したい
【問われていること】
・SaaSを作る側になったとして、認証をどうやって行うか?
従来:基本認証(ID、PW)による認証システムを独自に組み込む
今後:IDaaSに任せる。
・IDaaSに任せる方法のメリット・デメリットは?
メリット :本来のサービスの開発に集中できる。IDaaS製品によっては多要素認証、リスクベース認証、特権ID管理など高度な認証機能が利用できる。
デメリット :IDaaSに依存する。IDaaS製品の柔軟性、可用性に自社製品も巻き込まれる。
・具体的にどうやってIDaaSに認証させるか。
→OAuth認証を本文では取り上げている。SAML認証も知っておいたほうが良い。
■問2(難易度:易)
テーマ:Webサーバを公開する際、名前解決(DNS)で気をつけないといけないこと。
【問われていること】
・DNSサーバの役割は?
→名前解決。ホスト名からIPアドレスを教えてあげる案内員。
・内部と外部にDNSサーバを置く理由は?
→外部NWから内部NWにくるものは外部DNSサーバで対応し、内部NWのさらに詳細な場所は内部DNSサーバが名前解決する。役割を分けることで攻撃される箇所を減らすなどのリスク低減、サーバの負荷低減などが可能。レコードの管理もしやすい。
・(外部)DNSサーバはどんな攻撃をされるか?
DNSリフレクション攻撃:送信元IPアドレスを偽装し、DNSサーバに問い合わ、偽装先にパケットが大量に送られる。攻撃者→宅配ピザ→第三者 に大量のピザを送るイメージ。
対策:外部DNSサーバを権威DNSサーバ機能とフルサービスリゾルバ機能に分ける+FWで外部→フルサービスリゾルバ機能サーバへのアクセスを遮断する。
権威DNS機能:ゾーン情報を持つ。プライマリであり、普通はセカンダリDNSサーバにゾーン情報を同期している。
フルサービスリゾルバ機能:再起問い合わせする。聞かれて分からんかったら、解決するまで他の人に聞いてくれるポジションの人みたいなイメージ。
DNSキャッシュポイズニング攻撃:再起問い合わせ中に嘘の回答を送りつけ、DNSサーバに誤認させておく。
対策:毎回の問い合わせで使うポート番号をランダムにする。
DNSSEC(DNS Security Extensions)を使う。再起問い合わせの回答にはディジタル証明書も必須。
ディジタル証明書:サーバの正当性(変なところから送られてきてないか)とデータの完全性(途中で改ざんされていないか)を保証するもの
■問3(難易度:難)
テーマ:EDRを用いて、マルウェア対策とパッチの適用する。
【問われていること】
・全社PCに対してセキュリティを高めるには?
→マルウェア対策ソフトをインストールする
・↑はどうやってやるの?(個人にインストールする方法では実施しない人がかならずいる)
→PC起動時に配信サーバに強制的にアクセスし、ダウンロードする。
(管理者 :事前に検証端末で業務アプリに影響ないかは確認しておく。)
強制ダウンロードをどうやって実現するか?で登場するのがEDR製品。
・EDR(:Endpoint Detection and Response)とは?
エンドポイント、つまり、各端末にエージェントを仕込んでおいて、そのエージェントが各端末のログなどをEDR管理サーバに送る。そのログを監視して、不審な動きをしていないかを見張る仕組み。
「現代では100%ウイルスを防ぐのは無理。感染した際のダメージを最小限にする」という考えに基づいた製品。
エージェント経由でマルウェアソフトのインストールやバージョンアップを管理者→エンドユーザにプッシュできる。ここが問3のテーマになっている。
代表製品だとCrowdStrike。
メモ(出題はほとんどされないが、覚えていおいて損はない)
・Wake on LAN:ブロードキャスト後、MACアドレスを16回送って、停止中のサーバを起動する。A LAN→B LANのサーバを起動したいなら、L3スイッチの設定を変えて、ブロードキャストが転送されるようにしないといけない。