情報セキュリティアドミニストレータ(セキュアド)過去出題問題

平成15年　午後2　問1

最終更新日　2006/02/27
webmaster@tomnetwork.net

Tomのネットワーク勉強ノート

　過去問（午後）

情報セキュリティアドミニストレータ過去問（午後）

情報セキュリティアドミニストレータ過去問平成15年　午後2　問1

問1

セキュリティ事件への対応に関する次の記述を読んで，設問1～5に答えよ。

　A社は，社員数が300名ほどの健康食品の輸入と販売を行う商社である。これまで，
A社では，Webを利用した商品の宣伝や社外との電子メール（以下，メールという）
のやり取りのために，インターネットサービスプロバイダ（以下，ISPという）が提
供する小規模事業者向けの各種のサービスを利用してきた。具体的には，ダイヤルア
ップによるインターネット接続サービス，ISPが提供するWebサーバのホスティング
サービスやメールアカウント利用サービスなどである。しかし，ダイヤルアップによ
る接続では，顧客とのメールのやり取りが遅れがちで業務に支障が出始めていた。そ
こで，昨今，高速なインターネット常時接続サービスが低価格で利用できるようにな
ってきたことや，A社内の情報システムの拡充に伴って情報システム課の課員が増強
されたことなどから，自社内にWebサーバやメールサーバなどのインターネット向け
情報システム（以下，新システムという）を構築し，インターネットに常時接続する
ことにした。A社の情報システム課のB課長をリーダとする3名でチーム（以下，構
築チームという）を組み，新システムの構築を推進することになった。図1に，新シ
ステムの構成を示す。

　　　　　　　　　　　　図1　新システムの構成

　構築チームによる検討の結果，新システムは，図2に示すような方針で運用するこ
とにした。

（1）ルータ
　・DNSサービス，SMTPサービス，HTTPサービス及びNTPサービスに必要のないイン
　　ターネットからの通信は，ルータですべて遮断する。

（2）FW兼DNSサーバ
・FW兼DNSサーバ上でFW機能及びDNSサービスを提供する。
・インターネット側からのDNSの問合せに対しては，バリアセグメントの情報だけを返
　す。
・社内LANからのDNSの問合せに対しては，バリアセグメント，社内LAN及び外部ド
　メインに関する情報を返す。
・インターネットから社内LANへのアクセスは，FW機能ですべて遮断する。
・バリアセグメントから社内LANへのアクセスは，SMTPサーバからPOP兼SMTPサー
　バヘのSMTPによる通信と，バリアセグメント上の各サーバからSYSLOGサーバヘの
　SYSLOGによる通信だけを許可し，それ以外はFW機能で遮断する。

（3）NTPサーバ
・NTPサーバを設置し，ISPが提供する時刻同期用のサーバと時刻を同期させる。
・バリアセグメントと社内LAN上の全サーバ，FW及びパソコンは，NTPサーバと時刻
　を同期させる。
・NTPサーバの運用及び保守は，社内LANからFW兼DNSサーバを経由するtelnet通信
　で行う。
・NTPサーバ上では，NTPサービスと運用及び保守に必要のないネットワークサービス
　をすべて停止する。

（4）SMTPサーバ及びPOP兼SMTPサーバ
・社外から社内に送られてくるメールは，SMTPサーバで中継され，POP兼SMTPサー
　バに転送される。
・社内で交換されるメールは，POP兼SMTPサーバ上で処理される。
・社内から社外に送られるメールは，POP兼SMTPサーバから，SMTPサーバを経由し
　て転送される。
・SMTPサーバの運用及び保守は，社内LANからFW兼DNSサーバを経由するtelnet通
　信で行う。
・SMTPサーバ上では，メールの送受信と運用及び保守に必要のないネットワークサービ
　スをすべて停止する。

（5）Webサーバ（社外向けの情報発信）
・Webサーバを用いて，社外向けに情報発信を行う。
・Webコンテンツの更新時には，更新したいコンテンツをフロッピーディスクやCD－Rな
　どの記録媒体にいったん格納し，それをWebサーバのドライブに挿入して，データを
　更新する。
・Webコンテンツの更新を除くWebサーバの運用及び保守は，社内LANからFW兼DNS
　サーバを経由するtelnet通信で行う。
・Webサーバ上では，HTTPサービスと運用及び保守に必要のないネットワークサービス
　をすべて停止する。

（6）Webプロキシサーバ（社内からインターネット上にあるWebを閲覧）
・社内LAN上のパソコンから，インターネット上にあるWebを閲覧するためには，Web
　　プロキシサーバを経由させる。

（7）SYSLOGサーバ
・バリアセグメント及び社内LAN上の各サーバが出力するログは，すべてSYSLOGサー
　　バに転送される。SYSLOGサーバは，定期的に書き込み専用の記録媒体ヘログを出力す
　　る。

（8）そのほかの共通事項
・各サーバでは，毎日午前3時から早朝にかけて，バックアップを採取する。バックアッ
　　プ媒体は，3世代分を保管する。

図2　新システムの運用方針

　情報システムへの投資に対する予算の制約もあり，必要なハードウェアやソフトウ
ェアの選定，調達及び設定まで,構築チームがすべての作業を実施することになった。

〔新システムのぜい弱性の検査〕

　3か月ほどの期間を経て，新システムの構築がほぼ一段落した。そこで，構築チー
ムのメンバである情報システム課のC主任が，新システムをインターネットに接続す
る前に，新システム全体の情報セキュリティの状況について確認することになった。
　C主任は，新システムで利用するOSやアプリケーションソフトウェアに関連した
ぜい弱性の情報を集め，各種の設定ファイルの内容や修正パッチの適用状況などを調
査した。その結果，Webサーバに関連するセキュリティ上の問題が二つ発見された。
　次は，それらの問題に関するB課長とC主任の会話である。

C主任：新システムのWebサーバで，セキュリティ上の問題が二つ発見されました。
　　　　インターネットに接続する前に，これらの問題を解決しておく必要がありま
　　　　す。
B課長：それはどのような問題かね。もう少し具体的に説明してほしい。
C主任：一つは，クロスサイトスクリプティング（以下，XSSという）と呼ばれるぜ
　　　　　い弱性に関する問題です。このぜい弱性を悪用されてしまうと，【 a 】
　　　　　といった被害の発生する可能性が考えられます。
B課長：それは大きな問題だな。この間題を解決するには，どのような対策を実施す
　　　　　ればよいのだろう。
C主任：XSSの問題を解決するためには，幾つかの対策を実施しなくてはなりません。
　　　　　詳細は，改めて文書で報告いたしますが，一つだけ例を挙げますと，Webブ
　　　　　ラウザからのリクエストに対してWebサーバが返すWebコンテンツ中に
　　　　　【 b 】が存在した場合には，それらに対する【 c 】処理をWeb
　　　　　サーバが実施しなければならないといったことがあります。
B課長：ほかにも問題はあったのかね。
C主任：もう一つは，バッファオーバフロー（以下，BOFという）と呼ばれるぜい弱
　　　　　性に関する問題です。このぜい弱性を悪用されてしまうと，遠隔地からイン
　　　　　ターネットを経由した不正な【 d 】や，【 e 】といった被害の発
　　　　　生する可能性が考えられます。
B課長：それでは，新システムへの移行時期を少し延期した方がよさそうだな。
C主任：2週間ほど時間をいただけないでしょうか。その間に，XSSやBOFの対策と
　　　　　して必要な修正を加えた上で，再度，確認試験を行いたいと思います。
B課長：分かった。それでは，担当役員を通じて取締役会に報告し，承認を得た上で
　　　　　延期することにしよう。

〔新システムヘの移行〕

　2週間ほどたって，C主任からB課長にWebサーバで発見されたぜい弱性への対策
を終了したとの報告があった。B課長は，その結果を担当役員を通じて再度取締役会
に報告し，新システムヘの移行について承認を得た。
　この承認を受けて，A社では，新システムへの移行が実施された。B課長は引き続
き新システムの運用責任者に任命され，構築チームは解散した。新システムでは，イ
ンターネットとの常時接続や回線速度の増強などが実現され，顧客や社員に極めて好
評であった。新システムヘの移行が終了してから数週間は，大きなトラブルもなく，
順調であった。

〔事件の発生〕

　新システムに移行してから数週間が過ぎたある日，某社（以下，X社という）のサ
イト管理者からA社のサイト管理者のメールアドレスあてに，図3に示すようなメー
ルが届いた。

To：root＠A-Company.co.jp
From：root＠X-Company.co.jp
Subject：貴社ホストからの不審なアクセスについて
Date：20 Mar 2003 16:47:46 +0900

　私は，X社のサイトを管理している者です。
　この1週間ほど，貴社サイト内のホスト（Webサーバ）が発信源と推測できる不審なアク
セスを観測し続けています。アクセスの内容は，当社のDNSに登録している外部公開サー
バ群に対するポートスキャンです。
　これまでのところ，当社ホストには不正侵入といった深刻な被害は発生しておりません
が，貴社ホストが何者かに悪用されている可能性がありますので，状況を調査していただく
とともに，不審なパケットの送出を停止していただくようお願いいたします。
　下記に，当社のルータで捕そくした貴社ホストからのアクセスのログを添付いたします。
（以下，ログは省略）

図3　X社のサイト管理者から届いたメール

　このメールは，直ちに情報システム課のメンバに伝達され，状況調査が行われた。
図4に，新システムの状況調査の結果を示す。

（1）インターネットに接続するルータ自身には，不正アクセスを受けた形跡はない。
（2）Webサーバ上に隠しディレクトリが作られており，その中に構築チームのだれも知らな
　いデータファイルが置かれていた。
（3）FW兼DNSサーバには，不正アクセスを受けた形跡はない。

図4　新システムの状況調査の結果

　C主任は，①Webサーバに置かれていた不審なデータファイルを削除し，再度Web
サーバ上のOSやアプリケーションソフトウェアについて，各種の設定ファイルの内
容や修正パッチの適用状況なとの確認作業を行ったが，ほかに問題は発見できなかっ
た。

〔事件の再発〕

　C主任が確認作業を行ってから数時間後に，Webページを見た顧客からの連絡で，
Webサーバのコンテンツが改ざんされたことが分かった。インターネットに接続した
状態では更に何が起こるか分からなかったので，C主任は，B課長と相談の上，Web
サーバのネットワーク接続を一時的に切断し，徹底的な原因の究明を行って，再発防
止の対策を実施することにした。
　B課長は，直ちに情報システム課のメンバを召集して対策会議を開いた。しかし，
このような事件に対してどのようなステップで対応すべきかについて，経験のあるメ
ンバがおらず，明確な対策を打ち出せずにいた。
　そこで，B課長は，このような事件に対する一般的な対応手順について，C主任に
至急情報を収集するように命じた。C主任は，情報システム課のメンバのD君と協力
して情報を収集し，図5に示す一般的な対応手順を取りまとめ，B課長に報告した。

（1）責任者及び担当者への連絡
　　セキュリティ事件は，だれが発見するか分からないので，事前に緊急時の連絡先を定め
　　ておくこと。事件を発見した者は，直ちに定められた連絡先の担当者に状況を報告して適
　　切な指示を受けること。責任者は，事前に定めた手順に沿って対応すること。もし，手順
　　が定められていなければ，（2）以降の記述を参考にして対応すること。

（2）事実の確認
　　セキュリティ事件の内容や状況などについて，事実関係を明らかにすること。

（3）システムの利用状況の記録とハードディスクの内容の保存
　　後日の調査及び対応処置に備えるために，事件を発見したら，なるべく早い段階で，シ
　　ステムの利用状況を記録し，ハードディスクの内容を保存しておくこと。

（4）ネットワーク接続の遮断又はシステムの停止
　　不正侵入が継続しているなど，他システムヘの影響や被害の拡大が想定される場合に
　　は，ネットワーク接続を遮断するか，システムを緊急に停止すること。

（5）影響範囲の特定
　　どのような範囲に対して，どのような影響が生じたのかを正確に把握すること。

（6）関係サイトへの連絡
　　自組織のサイトを踏み台にして不正にアクセスされたサイト又は自組織のサイトに不正
　　にアクセスしてきたサイトに対して，事実の報告と対応の依頼を行うこと。

（7）要因の特定
　　ホストに対して不正にアクセスが行われた時間的順序を明らかにし，不正なアクセスの
　　経路を特定すること。さらに，その経路から，不正なアクセスを許すきっかけになった要
　　因を特定すること。

（8）システムの復旧
　　システムが改ざんや破壊などの被害を受けた場合，又はそのような被害を受けていない
　　という確証が得られない場合には，バックアップによるシステムの復旧又は初期インスト
　　ール用のメディアによるクリーンインストールを実施すること。

（9）再発防止策の実施
　　システムを事件発生前の状態に戻しただけでは，同じ事件が再発する可能性があるの
　　で，上記（7）で特定された要因を除去するための措置を講じること。

（10）監視体制の強化
　　不正にアクセスを受けた場合には，同じ手口による不正なアクセスが再発する可能性が
　　高いので，当面の間，そのようなアクセスに対する監視体制を強化すること。

（11）作業記録と作業結果の報告
　　上記（1）～（10）の一連の作業記録を確実に保管し，作業結果を責任者に報告すること。

図5　セキュリティ事件発生時の一般的な対応手順

　B課長は，C主任から報告を受けるとすぐに，新システムに関する事件発生時の全
サーバ，ルータ及びFWを対象にした対応手順を，図5を参考にして検討するようC
主任に指示した。図6に，事件発生時の対応手順の検討結果を示す。

（1）責任者及び担当者への連絡（省略）

（2）事実の確認
　　①バリアセグメント上の全サーバ及びFWに関するログを調査し，不審なアクセスの記録
　　　について，アクセスの内容の確認を行う。
　　②社内LAN上の全サーバについてログを調査し，上記①と同様の確認を行う。
　　③社外向け及び社内向けの全サービスについて，異常の有無を確認する。異常があった場
　　合には，その状況の調査を行う。

（3）システムの利用状況の記録とハードディスクの内容の保存
　　①全サーバ及びFWについて，ユーザのログインの状況，ネットワーク接続の状況及びプ
　　　ロセスの稼働状況を記録する。
　　②全サーバ及びFWについて，“tar”コマンドを用いてハードディスク内にある全ファイ
　　　ルのバックアップを採取し，保存する。

（4）ネットワーク接続の遮断又はシステムの停止（省略）

（5）影響範囲の特定（省略）

（6）関係サイトへの連絡（省略）

（7）要因の特定（省略）

（8）システムの復旧
　　①保存されている最新のバックアップを用いて，システムの復旧を行う。
　　②バックアップ採取時点から後の更新内容を，できる限り反映させる。

（9）再発防止策の実施
　　①上記（7）で特定された要因を除去するために，不正にアクセスを受けたサーバに対して，
　　　設定ファイルの更新や修正パッチの適用などを実施する。
　　②同じ手口による不正なアクセスが実行できないことを確認する。

（10）監視体制の強化（省略）
（以下省略）

図6　事件発生時の対応手順の検討結果

　C主任は，B課長に図6の検討結果を報告して判断を仰いだ。B課長は，C主任が
作成した②図6の対応手順を見て、二つの重大な技術上の問題点を指摘した。C主任
は，B課長の指摘を受けて対応手順を修正し，直ちにその対応手順に従って対策を開
始した。
　翌日になり，Webサーバが復旧したところで，B課長が事件の経過を担当役員を通
じて取締役会に報告したところ，情報セキュリティ対策に関する対応の不備について
厳しい指摘を受けた。また，取締役会では，社長を委員長とする情報セキュリティ委
員会を直ちに設置して，情報セキュリティポリシの策定をはじめ，総合的なセキュリ
ティ対策を推進することが決議された。

設問1

本文中の【 a 】～【 e 】に入れる適切な字句を解答群の中から選
び，記号で答えよ。

　　　解答群
　　　ア　URLフィルタリング　イ　暗号化　　　　　　　ウ　エスケープ
　　　エ　機密情報の漏えい　　オ　コマンドの実行　　　カ　サービスの妨害
　　　キ　メール中継　　　　　ク　メタキャラクタ　　　ケ　レイティング

設問2　

本文中の下線①で実施した処置は，重大な誤りであった。そのため，A社が本
来実施すべきであった対応を実施できない可能性がある。図6中の（5）に沿って，
A社が本来実施すべきであったのはどのような対応か。A社の状況を踏まえて，
80字以内で具体的に述べよ。

設問3　

B課長が本文中の下線②で指摘した二つの重大な技術上の問題点を，図6中か
ら選び，それぞれ番号で答えよ。また，それらの問題点を回避するために実施す
べき対応を，問題点の内容も含めて，それぞれ80字以内で述べよ。

設問4　

図4に示した状況調査の結果だけでは，事件の影響範囲を特定し，再発を防止
するには不十分であった。X社のサイト管理者からメールを受け取った時点で，
更に調査の対象とすべきであった新システムの構成要素を，SYSLOGサーバ以外
に二つ挙げ，図1中の字句を用いてそれぞれ答えよ。また，それらに対する調査
の内容を三つ挙げ，図6中の字句を用いて，それぞれ15字以内で述べよ。

設問5　

事件発生時のB課長の行動や判断には，情報セキュリティマネジメントを実施
する上で問題がある。あなたがA社の担当役員から依頼を受けた情報セキュリテ
ィアドミニストレ一タであるとしたら，どのような点を助言するか。重大と思わ
れる問題を二つ挙げ，B課長が本来実施すべきであった対応も含めて，それぞれ
70字以内で述べよ。