通信販売サイトのセキュリティインシデント対応に関する次の記述を読んで,設問1〜4に答えよ。
R社は,文房具やオフィス家具を製造し,店舗及び通信販売サイトで販売している。通信販売サイトでの購入には会員登録が必要である。通信販売サイトはECサイト用CMS(Content Management System)を利用して構築している。通信販売サイトの管理及び運用は,R社システム部門の運用担当者が実施していて,通信販売サイトに関する会員からの問合せは,システム部門のサポート担当者が対応している。
通信販売サイトはR社のデータセンタに設置されたルータ,レイヤ2スイッチ,ファイアウォール(以下,FWという),IPS(Intrusion Prevention System)などのネットワーク機器とCMSサーバ,データベースサーバ,NTPサーバ,ログサーバなどのサーバ機器と各種ソフトウェアとで構成されている。通信販売サイトは,会員情報などの個人情報を扱うので,様々なセキュリティ対策を実施している。R社が通信販売サイトで実施している不正アクセス対策(抜粋)を表1に示す。
項番 | 項目 | 対策 |
1 | ネットワーク | IPSによる,ネットワーク機器及びサーバ機器への不正侵入の防御 |
2 | ルータ及びFWでの不要な通信の遮断 | |
3 | ログサーバ | 各ネットワーク機器,サーバ機器及び各種ソフトウェアのログを収集 |
4 |
CMSサーバ |
不要なアカウントの削除,不要な a の停止 |
5 | OS,ミドルウェア及びCMSについて修正プログラムを毎日確認し,最新版の修正プログラムを適用 | |
6 | CMSサーバ上のWebアプリケーションへの攻撃を, b を利用して検知し防御 |
IPSは不正パターンをシグネチャに登録するシグネチャ型であり,シグネチャは毎日自動的に更新される。
項番4の対策をCMSサーバ及びデータベースサーバ上で行うことで不正アクセスを受けにくくしている。R社では,①項番5の対策を実施するために,OS,ミドルウェア及びCMSで利用している製品について必要な管理を実施して,脆弱性情報及び修正プログラムの有無を確認している。また,項番6の対策で利用している b は,ソフトウェア型を導入していて,シグネチャはR社の運用担当者が,システムへの影響がないことを確認した上で更新している。
ある日,通信販売サイトが改ざんされ,会員が不適切なサイトに誘導されるというセキュリティインシデントが発生した。通信販売サイトを閉鎖し,ログサーバが収集したログを解析して原因を調査したところ,特定のリクエストを送信すると,コンテンツの改ざんが可能となるCMSの脆弱性を利用した不正アクセスであることが判明した。
R社の公式ホームページでセキュリティインシデントを公表し,通信販売サイトの復旧とCMSの脆弱性に対する暫定対策を実施した上で,通信販売サイトを再開した。
今回の事態を重く見たシステム部門のS部長は,セキュリティ担当のT主任に今回のセキュリティインシデント対応で確認した事象と課題の整理を指示した。
T主任は関係者から,今回のセキュリティインシデント対応について聞き取り調査を行い,確認した事象と課題を表2にまとめて,S部長に報告した。
項番 | 確認した事象 | 課題 |
1 | CMSの脆弱性を利用して不正アクセスされた。 | CMSへの修正プログラム適用は手順どおり実施されていたが,今回の不正アクセスに有効な対策がとられていなかった。 |
2 | b のシグネチャが更新されていなかった。 | b は稼働していたが,運用担当者がシグネチャを更新していなかった。 |
3 | 通信販売サイトが改ざんされてからサイト閉鎖まで時間を要した。 | サイト閉鎖を判断し指示するルールが明確になっていなかった。 |
4 | 改ざんが行われたことを短時間で検知できなかった。 | |
5 | 原因調査に時間が掛かり,R社の公式ホームページなどでの公表が遅れた。 | ログサーバ上の各機器やソフトウェアのログを用いた相関分析に時間が掛かった。 |
S部長はT主任からの報告を受け,セキュリティインシデントを専門に扱い,インシデント発生時の情報収集と各担当へのインシデント対応の指示を行うインシデント対応チームを設置するとともに,今回確認した課題に対する再発防止策の立案をT主任に指示した。
〔再発防止策〕
T主任は,再発防止のために,表2の各項目への対策を実施することにした。
項番1については,CMSサーバを構成するOS,ミドルウェア及びCMSの脆弱性情報の収集や修正プログラムの適用は実施していたが,②今回の不正アクセスのきっかけとなった脆弱性に対応する修正プログラムはまだリリースされていなかった。このような場合,OS,ミドルウェア及びCMSに対する③暫定対策が実施可能であるときは,暫定対策を実施することにした。
項番2については, b の運用において,新しいシグネチャに更新した際に,デフォルト設定のセキュリティレベルが厳し過ぎて正常な通信まで遮断してしまう c を起こすことがあり,運用担当者はしばらくシグネチャを更新していなかったことが判明した。運用担当者のスキルを考慮して,運用担当者によるシグネチャ更新が不要なクラウド型 b サービスを利用することにした。
項番3については, d がセキュリティインシデントの影響度を判断し,サイト閉鎖を指示するルールを作成して,サイト閉鎖までの時間を短縮するようにした。
項番4については,サイトの改ざんが行われたことを検知する対策として,様々な検知方式の中から未知の改ざんパターンによるサイト改ざんも検知可能であること,誤って検知することが少ないことから,ハッシュリスト比較型を利用することにした。
項番5については,④各ネットワーク機器,サーバ機器及び各種ソフトウェアからログを収集し時系列などで相関分析を行い,セキュリティインシデントの予兆や痕跡を検出して管理者へ通知するシステムの導入を検討することにした。
T主任は対策を取りまとめてS部長に報告し,了承された。
出典:令和4年度春期 問1
設問1 表1中の a に入れる適切な字句を5字以内で答えよ。
解答・解説
解答例
サービス
解説
不要なものを削除・停止することで不正アクセスのリスクを軽減することができます。
問題文で既に、不要アカウントの削除が挙げられていますので、それ以外に削除・停止するものを考えると、不要な利用権限、機能・サービスなどが挙げられます。
a欄は停止という表現が使われていますので、機能またはサービスが適切でしょう。
設問2 本文及び表1,2中の b に入れる適切な字句をアルファベット3字で答えよ。
解答・解説
解答例
WAF
解説
「CMSサーバ上のWebアプリケーションへの攻撃を検知し防御」、「ソフトウェア型を導入」などの表現から、WAF(Web Application Firewall)と推測できます。
なお、WAFにはソフトウェア型以外に、アプライアンス型やクラウド型などがあります。
設問3 本文中の下線①で管理するべき内容を解答群の中から全て選び,記号で答えよ。
- 販売価格
- バージョン
- 名称
- ライセンス
解答・解説
解答例
イ,ウ
解説
「OS,ミドルウェア及びCMSについて修正プログラムを毎日確認し,最新版の修正プログラムを適用」するためには、ソフトウェアの名前とバージョンを確認する必要があります。
ライセンスは管理すべき情報ではありますが、修正プログラムの適用とは直接的には関係ありません。
設問4 〔再発防止策〕について,(1)〜(5)に答えよ。
(1)本文中の下線②の状況を利用した攻撃の名称を8字以内で答えよ。
解答・解説
解答例
ゼロデイ攻撃
解説
「今回の不正アクセスのきっかけとなった脆弱性に対応する修正プログラムはまだリリースされていなかった」といった状況を狙う攻撃を、ゼロデイ攻撃といいます。
(2)本文中の下線③について,暫定対策を実施可能と判断するために必要な対応を解答群の中から選び,記号で答えよ。
- 過去の修正プログラムの内容を確認
- 修正プログラムの提供予定日を確認
- 脆弱性の回避策を調査
- 同様の脆弱性が存在するソフトウェアを確認
解答・解説
解答例
ウ
解説
- 過去の修正プログラムの内容を確認
過去の修正プログラムを確認しても、新たな脆弱性には対応できません。 - 修正プログラムの提供予定日を確認
修正プログラムの提供予定日を確認しても、対策にはなりません。 - 脆弱性の回避策を調査
修正プログラムリリース前の暫定対策として適切です。 - 同様の脆弱性が存在するソフトウェアを確認
同様の脆弱性が存在するソフトウェアを確認しても、自身の対策にはなりません。
(3)本文中の, c に入れる適切な字句を解答群の中から選び,記号で答えよ。
- 過検知
- 機器故障
- 未検知
- 予兆検知
解答・解説
解答例
ア
解説
「デフォルト設定のセキュリティレベルが厳し過ぎて正常な通信まで遮断してしまう」ようなことを、誤検知または過検知といいます。
(4)本文中の d に入れる適切な組織名称を本文中の字句を用いて15字以内で答えよ。
解答・解説
解答例
インシデント対応チーム
解説
「セキュリティインシデントを専門に扱い,インシデント発生時の情報収集と各担当へのインシデント対応の指示を行うインシデント対応チームを設置する」とあります。
したがって、「サイト閉鎖を判断し指示するルールが明確になっていなかった。」ことを受けて、「セキュリティインシデントの影響度を判断し,サイト閉鎖を指示するルールを作成して,サイト閉鎖までの時間を短縮するようにする。」のは、まさにこのインシデント対応チームの役割です。
(5)本文中の下線④のシステム名称をアルファベット4字で答えよ。
解答・解説
解答例
SIEM
解説
「各ネットワーク機器,サーバ機器及び各種ソフトウェアからログを収集し時系列などで相関分析を行い,セキュリティインシデントの予兆や痕跡を検出して管理者へ通知するシステム」を、SIEM(Security Information and Event Management)といいます。
リアルタイムに分析を行うことで、未知の脅威や怪しいアクセスを早期に検知できるようになります。
IPA公開情報
出題趣旨
基本的なセキュリティ対策は定着しつつあるものの,体制の不備や攻撃の高度化によって,当初想定していなかったセキュリティインシデントが発生することが増えている。
本問では,通信販売サイトのセキュリティ対策を題材に,セキュリティ対策の不備による問題の再発防止策の立案と攻撃に対処する事後対策に関する理解を問う。
採点講評
問1では,通信販売サイトのセキュリティ対策を題材に,セキュリティ対策の不備による問題の再発防止策の立案と攻撃に対する事後対策について出題した。全体として正答率は平均的であった。
設問1は,正答率がやや低かった。サーバで不要なサービスなどが起動している場合,サイバー攻撃によって悪用されることがある。セキュリティリスク低減のために,最低限必要なものを除き停止する対策が重要であることを理解してほしい。
設問4(5)は,正答率が低かった。SIEMはログを統合管理し,ログの相関分析をリアルタイムに行うことで,セキュリティインシデントの早期検知や分析時間の短縮を可能とする,セキュリティ対策に重要な仕組みであるので,覚えておいてほしい。