情報セキュリティ アドミニストレータ(セキュアド)過去出題問題
 平成13年　午後1　問1　解説

    Powered By 楽天市場

【 a 】

”RAS を【　a　】から切り離した。”です。

なぜ、切り離したのでしょう？

不正アクセスの侵入者が公衆電話網からアクセスしてきたからです。

ですから、公衆電話網経由で侵入できないようにすればいいわけですから、

”公衆電話網”から切り離す、でいいでしょう。”開発部LAN”でもいいと思います。

【 b 】

こっちは、”サーバ2を【　b　】から切り離した”です。

では、こちらはなぜ切り離したのでしょう？

開発2課のサーバである”サーバ2”が、開発2課の主任であるK主任のパスワードが
盗まれたために侵入を受けたため、これ以上情報漏えいを阻止するために、
ネットワークから切り離しました。

なので、答えは、”開発2課LAN”でいいでしょう。

【 c 】

”改ざんされたプログラムをバックアップテープから【　c　】して”

侵入されて、改ざんされているのが分かったので、バックアップテープから何かをしています。

セキュリティコントロールの”予防”、”阻止”、”検出”、”回復”の”回復”です。

”復活”または、”リストア”でいいでしょう。

【 d 】

”ファイアウォールで【　d　】を実施しているので、社内LAN上にある
すべてのマシンが社外へのアクセスに際してこのIPアドレスを使用することになる｡”

と書かれています。社内のIPアドレスが、プライベートアドレス、グローバルアドレス

どちらを利用しているかは、別として、ファイアウォールから社外に出るときは、

ファイアウォールのIPアドレスを使用するということです。

ということは、何を実施していますか？　アドレス変換ですね。

さらに技術的に書いて、”IPマスカレード”、”プロキシサーバ”でも問題ないと思います。

全社員に変更依頼を通知した理由です。

E課長のパスワードが漏えいしたから侵入されたのであって、E課長だけ変更すれば、

防げるはずです。それなのに、なぜ全社員が変更しなければならないのでしょうか？

〔原因究明〕のところを読むと、複数の社員のアカウントに対して、アタックされているのがわかります。

ここのログでは、確かにE課長だけかもしれませんが、他にも漏えいしている可能性があると

考えるのが自然でしょう。

サーバ2とは、侵入を受けたサーバのことです。

�@現状のディスクの内容をテープに保存した｡

この理由について聞かれています。

ISO/IEC17799に、ログ監視の目的が書かれています。（国際標準 ISO/IEC17799入門 P.178参照）

「システムを監視し、アクセス制御ポリシーの非準拠性を検出し、監査可能な事象を記録し、
セキュリティ問題発生時には証拠を提供できること」

これを問われていると思います。

”トロイの木馬”の対処として、

�A正常なNTPサーバを再インストールする

だけでは不十分である理由を問われてます。

�Aの文章をどう考えるかなんですが、
(a)正常なNTP”サーバ”を用意して、インストールしたのか、
(b)トロイの木馬を残されたサーバに対して、正常なNTPサーバ用”ソフト”を再インスト
ールしたのか。

(a)だけで不十分という問なら、ＮＴＰサーバ以外にも　“トロイの木馬”が混入
された可能性があるので、開発2課の他クライアントも調査し、必要に応じて
再インストールが解答でしょう。

(b)だけで不十分という問なら、再インストールしただけでは、不正コードが残存してい
る可能性があるので、サーバを破棄して、新規サーバを導入するが解答でしょう。

ボクは、(b)だと解釈しました。

たとえ監視ツールを導入したとしても、

�B管理者が、今回の事故におけるV君のような対応を取った場合には、十分な効果が望めない

と考えた理由を問われてます。

では、今回の事故でV君はどんな対応を取ったでしょう？

>E課長のアカウントによるサーバ1へのログインの試みが数回記録されているのに気が付いた｡
>(中略)｡
>V君は、このアクセスを不審に思ったが、操作ミスのたぐいであって大した問題ではないと判断し、サーバ1に実害が
>なかったこともあって、上司への報告はしなかった｡

また、

>ネットワークや各サーバの情報セキュリティ管理については、社員の知識や良識に強く依存している。

とも書かれています。

つまり、せっかく監視ツールを導入しても、V君のような誤った知識、判断により、上司へ報告されない可能性があるということです。

これが解答でしょう。