サイバー攻撃への対策に関する次の記述を読んで，設問に答えよ。

　H社は，従業員3,000名の製造業であり，H社製品の部品を製造する約500社と取引を行っている。取引先は，H社に設置された取引先向けWebサーバにHTTPSでアクセスし，利用者IDとパスワードでログインした後，H社との取引業務を行っている。また，公開Webサーバでは，H社製品の紹介に加え，問合せや要望の受付を行っている。いずれのWebサーバが停止しても，業務に支障が出る。
　H社では，社内に設置しているPC（以下，H-PCという）とは別に，一部の従業員に対して，VPNクライアントソフトウェアを導入したリモート接続用PC（以下，リモート接続用PCをR-PCという）を貸与し，リモートワークを実現している。R-PCとH社との間のVPN通信には，VPNゲートウェイ（以下，VPNゲートウェイをVPN-GWといい，H社が使用しているVPN-GWをVPN-Hという）を使用している。
　H社のネットワークは，情報システム部の部長とT主任を含む6名で運用している。H社のネットワーク構成を図1に示す。

図1　H社のネットワーク構成

　UTMの機能概要及び設定を表1に，VPN-Hの機能概要及び設定を表2に示す。

表1　UTMの機能概要及び設定

表2　VPN-Hの機能概要及び設定（抜粋）

　最近，同業他社でサイバー攻撃による被害が2件立て続けに発生したという報道があった。1件は，VPN-GWが攻撃を受け，社内ネットワークに侵入されて情報漏えいが発生した事案である。もう1件は，DDoS攻撃による被害が発生した事案である。
　H社でも同様な事案が発生する可能性について，L部長とT主任が調査することにした。

 

〔VPN-GWへの攻撃に対する調査〕
　T主任は，VPN-GWへの攻撃方法を次のようにまとめた。

方法1：VPN-GWの認証情報を推測し，社内ネットワークに侵入する。

方法2：VPN-GWの製品名や型番を調査した上で，社内ネットワークへの侵入が可能になる脆弱性を調べる。もし，脆弱性が存在すればその脆弱性を悪用し，社内ネットワークに侵入する。

 

　T主任は，方法については，VPN-Hの認証強化を検討することにした。また，方法2については，VPN-Hの脆弱性対策と，VPN-Hへのポートスキャンに対する応答を返さないようにする方法（以下，ステルス化という）を検討することにした。方法1と方法2についてT主任がまとめた対策案を表3に示す。

表3　方法1と方法2についてT主任がまとめた対策案

 

〔DDoS攻撃に対する調査〕
　次に，T主任は，DDoSに関連する攻撃について調査し，H社で未対策のものを表4にまとめた。

表4　H社で未対策のDDoSに関連する攻撃

　次は，表4についてのT主任とL部長の会話である。

T主任：項番1，2，4のDDoS攻撃のサーバへの影響は，UTMのIPS機能とWAF機能で軽減することができます。

L部長：そうか。機能の設定に関する注意点はあるのかな。

T主任：例えば，アノマリ型IPS機能で，トラフィック量について，しきい値が高すぎる場合にも，①しきい値が低すぎる場合にも弊害が発生するので，しきい値の設定には注意するようにします。また，項番3の対策として，現在のDNSサーバを廃止して，権威DNSサーバの機能をもつサーバ（以下，DNS-Kという）とフルサービスリゾルバの機能をもつサーバ（以下，DNS-Fという）を社内に新設します。インターネットから社内へのDNS通信は　　b　　への通信だけを許可し，社内からインターネットへのDNS通信は　　c　　からの通信だけを許可します。

 

〔対策V-1についての検討〕
　次は，対策V-1についてのL部長とT主任の会話である。

L部長：対策V-1での注意点はあるのかな。

T主任：最近は，多要素認証の利用が多くなってきたこともあり，多要素認証を狙った攻撃が発生しています。多要素認証を狙った攻撃例を表5に示します。

表5　多要素認証を狙った攻撃例

L部長：攻撃例1については，不正なリモート接続を阻止するために，メールで受信したメッセージ内のURLリンクを安易にクリックしないよう注意喚起する必要があるな。

T主任：はい。しかし，当社では，業務の手続の督促などで従業員にURLリンクが含まれるメールを送っているので，URLリンクのクリックを禁止することはできません。不審なURLかどうかを見極めさせることは難しいでしょう。そこで，②たとえ罠のWebサイトへのURLリンクをクリックしてしまっても，不正なリモート接続をされないように，従業員全員が理解できる内容を注意喚起する必要があります。

 

〔対策V-3についての検討〕
　次は，対策V-3についてのL部長とT主任の会話である。

L部長：対策V-3について説明してほしい。

T主任：VPN-Hには，どのような通信要求に対しても応答しない“Deny-ALL”を設定した上で，あらかじめ設定されている順番にポートに通信要求した場合だけ所定のポートへの接続を許可するという設定（以下，設定Pという）があります。

L部長：設定Pの注意点はあるのかな。

T主任：設定されている順番を攻撃者が知らなくても，③攻撃者が何らかの方法でパケットを盗聴できた場合，設定Pを突破されてしまいます。

L部長：設定Pとは別の方法はあるのかな。

T主任：VPN-Hの機能にはありませんが，SPA（Single Packet Authorization）というプロトコルがあります。SPAの主な仕様を表6に示します。

表6　SPAの主な仕様

T主任：SPAなら，④攻撃者が何らかの方法でパケットを盗聴できたとしても突破はされません。

L部長：そうか。VPN通信機能と同様の機能をもち，SPAを採用している製品があるかどうか，ベンダーに相談してみよう。

 

　L部長がベンダーに相談したところ，S社が提供しているアプライアンス（以下，S-APPLという）の紹介があった。L部長とT主任は，S-APPLの導入検討を進めた。

 

〔S-APPLの導入検討〕
　S-APPLは，VPN通信機能，SPAパケットを検証する機能などをもつ。S-APPLと接続するためには，S-APPLのエージェントソフトウェア（以下，Sソフトという）を接続元のPCに導入し，接続元のPCごとのIDと秘密情報を，S-APPLと接続元のPCそれぞれに設定する必要がある。なお，秘密情報は，SPAパケットのHMACベースのワンタイムパスワードの生成などに使われる。S-APPLとSソフトの主な機能を表7に示す。

表7　S-APPLとSソフトの主な機能

　T主任は，対策V-1〜3について，次のように考えた。

・対策V-1については，表7項番3の機能で対応する。方式は，表2（イ）の方式を採用する。

・対策V-2については，S-APPLの脆弱性情報を収集し，脆弱性修正プログラムが公開されたら，それを適用する。

・対策V-3については，表7項番1の機能で対応する。

 

　T主任は，対策V-3のためのH社のネットワーク構成の変更案を作成した。なお，変更する際は，次の対応が必要になる。

（1）VPN-HをS-APPLに置き換える。R-PCには，Sソフトを導入する。

（2）R-PCごとのIDと秘密情報を，S-APPLとR-PCそれぞれに設定する。

（3）VPN-Hに付与していたIPアドレスをS-APPLに付与する。

（4）S-APPLのFQDNをDNSサーバに登録する。

 

　T主任は，S-APPLの導入によってVPN-GWへの攻撃の対策が可能であることをL部長に説明した。L部長は，効果とリスクを検討した上で，S-APPLを導入することを決めた。

 

〔DDoS攻撃に対する具体的対策の検討〕
　T主任は，表4の項番3以外に対する具体的対策の検討に着手した。
　まず，通信回線については，DDoS攻撃で大量のトラフィックが発生すると，使えなくなる。これについては，通信回線の帯域を大きくするという方法のほか，⑤外部のサービスを利用するという方法があることが分かった。
　次に，サーバへの影響は，これまでに検討したUTMのIPS機能とWAF機能を有効化することで軽減できることが分かっている。加えて，取引先向けWebサーバについては，次の対応によって，⑥更にDDoS攻撃の影響を軽減できることが分かった。

・取引先には，H社との取引専用のPC（以下，取引専用PCという）を貸与する。取引専用PCには，Sソフトを導入する。

・取引専用PCごとのIDと秘密情報を，S-APPLと取引専用PCそれぞれに設定する。

・S-APPLに，取引専用PCがVPN確立後にアクセス可能なサーバとして，取引先向けWebサーバだけを設定する。

・UTMのファイアウォール機能で，インターネットから取引先向けWebサーバへの通信を拒否するように設定する。

 

　その後，H社では，S-APPLの導入，UTMの設定変更，DNSサーバの変更などを行い，新たな運用を開始した。

設問1　〔DDoS攻撃に対する調査〕について答えよ。

 

（1）表4中の　　a　　に入れる攻撃の例を，H社での攻撃対象を示して具体的に答えよ。

 

解答・解説

解答例

　XXX

解説

　ー

 

（2）本文中の下線①の場合に発生する弊害を，25字以内で答えよ。

 

解答・解説

解答例

　XXX

解説

　ー

 

（3）本文中の　　b　　，　　c　　に入れる適切な字句を，“DNS-F”又は“DNS-K”から選び答えよ。

 

解答・解説

解答例

　XXX

解説

　ー

 

設問2　〔対策V-1についての検討〕について答えよ。

 

（1）表5中の　　d　　に入れる，不正な接続までの攻撃手順を，具体的に答えよ。

 

解答・解説

解答例

　XXX

解説

　ー

 

（2）本文中の下線②について，注意喚起の内容を，具体的に答えよ。

 

解答・解説

解答例

　XXX

解説

　ー

 

設問3　〔対策V-3についての検討〕について答えよ。

 

（1）本文中の下線③について，設定Pを突破する方法を，30字以内で答えよ。

 

解答・解説

解答例

　XXX

解説

　ー

 

（2）本文中の下線④について，突破されないのはなぜか。40字以内で答えよ。

 

解答・解説

解答例

　XXX

解説

　ー

 

設問4　〔DDoS攻撃に対する具体的対策の検討〕について答えよ。

 

（1）本文中の下線⑤について，利用する外部のサービスを，20字以内で具体的に答えよ。

 

解答・解説

解答例

　XXX

解説

　ー

 

（2）本文中の下線⑥について，軽減できる理由を，40字以内で答えよ。

 

解答・解説

解答例

　XXX

解説

　ー

 

IPA公開情報

出題趣旨

　XXX

採点講評

　XXX

前問 ナビ 次問