カテゴリ:7.セキュリティ > 7.5 情報セキュリティ対策

H28春AP午前
(H24春AP午前 問37と同じ)
問40 WAFの説明として,適切なものはどれか。

ア DMZに設置されているWebサーバへ外部から実際に侵入を試みる。
イ WebサーバのCPU負荷を軽減するために,TLSによる暗号化と復号の処理をWebサーバではなく専用のハードウェアで行う。
ウ システム管理者が質問に答える形式で,自組織の情報セキュリティ対策のレベルを診断する。
エ 特徴的なパターンが含まれるかなどWebアプリケーションへの通信内容を検査して,不正な操作を遮断する。

正解は、エです。

問41 Webアプリケーションのセッションが攻撃者に乗っ取られ,攻撃者が乗っ取ったセッションを利用してアクセスした場合でも,個人情報の漏えいなどの被害が拡大しないようにするために,Webアプリケーションが重要な情報をWebブラウザに送信する直前に行う対策として,最も適切なものはどれか。

ア Webブラウザとの間の通信を暗号化する。
イ 発行済セッションIDをCookieに格納する。
ウ 発行済セッションIDをURLに設定する。
エ パスワードによる利用者認証を行う。

正解は、エです。

問44 スパムメール対策として,サブミッションポート(ポート番号587)を導入する目的はどれか。

ア DNSサーバに登録されている公開鍵を用いて署名を検証する。
イ DNSサーバにSPFレコードを問い合わせる。
ウ POP before SMTPを使用して,メール送信者を認証する。
エ SMTP-AUTHを使用して,メール送信者を認証する。

正解は、エです。

H27秋AP午前

問41 図のような構成と通信サービスのシステムにおいて,Webアプリケーションの脆弱性対策のためのWAFの設置場所として,最も適切な箇所はどこか。ここで,WAFには通信を暗号化したり,復号したりする機能はないものとする。
170829_6
ア a
イ b
ウ c
エ d

正解は、ウです。
以下の出題あり
http://sc.seeeko.com/archives/3825528.html

H27秋AP午前(H26春AP午前 問41と同じ)

問43 ディジタルフォレンジックスの説明として,適切なものはどれか。

ア あらかじめ設定した運用基準に従って,メールサーバを通過する送受信メールをフィルタリングすること
イ 外部からの攻撃や不正なアクセスからサーバを防御すること
ウ 磁気ディスクなどの書換え可能な記憶媒体を単に初期化するだけではデータを復元できる可能性があるので,任意のデータ列で上書きすること
エ 不正アクセスなどコンピュータに関する犯罪に対してデータの法的な証拠性を確保できるように,原因究明に必要なデータの保全,収集,分析をすること

正解は、エです。

H27秋AP午前(H26春AP午前 問42と同じ)

問45 ペネトレーションテストの目的はどれか。

ア 暗号化で使用している暗号方式と鍵長が,設計仕様と一致することを確認する。
イ 対象プログラムの入力に対する出力結果が,出力仕様と一致することを確認する。
ウ ファイアウォールが単位時間当たりに処理できるセッション数を確認する。
エ ファイアウォールや公開サーバに対して侵入できないかどうかを確認する。

正解は、エです。

H26秋AP午前(H24春FE午前 問44を同じ)

問42 通信を要求したPCに対し,ARPの仕組みを利用して実現できる通信可否の判定方法のうち,最も適切なものはどれか。

ア PCにインストールされているソフトウェアを確認し,事前に許可されているソフトウェア以外がインストールされていない場合だけ通信を許可する。
イ PCのMACアドレスを確認し,事前に登録されているMACアドレスである場合だけ通信を許可する。
ウ PCのOSのパッチ適用状況を確認し,最新のパッチが適用されている場合だけ通信を許可する。
エ PCのウイルス対策ソフトの定義ファイルを確認し,最新になっている場合だけ通信を許可する。

正解は、イです。

(H24秋AP午前 問43と同じ)
問43 自社の中継用メールサーバで,接続元IPアドレス,電子メールの送信者のドメイン名及び電子メールの受信者のドメイン名のログを取得するとき,外部ネットワークからの第三者中継と判断できるログはどれか。ここで,AAA.168.1.5とAAA.168.1.10は自社のグローバルIPアドレスとし,BBB.45.67.89とBBB.45.67.90は社外のクローバルIPアドレスとする。a.b.cは自社のドメイン名とし,a.b.dとa.b.eは他社のドメイン名とする。また,IPアドレスドメイン名は詐称されていないものとする。
170829_4

正解は、ウです。

H26春AP午前(H24秋AP午前 問41と同じ)

問40 安全なWebアプリケーションの作り方について,攻撃と対策の適切な組合せはどれか。
170829_5

正解は、アです。

問43 家庭内で,PCを無線LANブロードバンドルータを介してインターネットに接続するとき,期待できるセキュリティ上の効果の記述のうち,適切なものはどれか。

ア IPマスカレード機能による,インターネットからの不正侵入に対する防止効果
イ PPPoE機能による,経路上の盗聴に対する防止効果
ウ WPA機能による,不正なWebサイトへの接続に対する防止効果
エ WPS機能による,インターネットからのウイルス感染に対する防止効果

正解は、アです。

問45 Webサーバにおいて,機密情報を記載したページが第三者に不正利用されることを防止するためのセキュリティ対策のうち,最も適切なものはどれか。

ア Webサーバの受信用のポート番号を標準ポート番号から変更する。
イ 機密情報を記載したページでは,アクセス時に利用者認証を要求する。
ウ 機密情報を記載したページのURLは非公開にし,関係者だけに伝える。
エ ドメイン名をDNSに登録せず,IPアドレスの直接入力だけでアクセスさせる。

正解は、イです。

H25秋AP午前
 
問41 ビヘイビア法のウイルス検出手法に当たるものはどれか。

ア あらかじめ検査対象に付加された,ウイルスに感染していないことを保証する情報と,検査対象から算出した情報とを比較する。
イ 検査対象と安全な場所に保管してあるその原本とを比較する。
ウ 検査対象のハッシュ値と既知のウイルスファイルのハッシュ値とを比較する。
エ 検査対象をメモリ上の仮想環境下で実行して,その挙動を監視する。

正解は、エです。

■H24秋AP午前
問36 シングルサインオンの説明のうち,適切なものはどれか。
ア クッキーを使ったシングルサインオンの場合,サーバごとの認証情報を含んだクッキーをクライアントで生成し,各サーバ上で保存,管理する。
イ クッキーを使ったシングルサインオンの場合,認証対象のサーバを,異なるインターネットドメインに配置する必要がある。
ウ リバースプロキシを使ったシングルサインオンの場合,認証対象のWebサーバを,異なるインターネットドメインに配置する必要がある。
エ リバースプロキシを使ったシングルサインオンの場合,利用者認証においてパスワードの代わりにディジタル証明書を用いることができる。

【正解】エ


問37 パスワードに使用できる文字の種類の数をM,パスワードの文字数をnとするとき,設定できるパスワードの理論的な総数を求める数式はどれか。
アM”

M!n\(M一n)!


M!
(肛一m)!
(M+n-i).n!(肛一1)!

【正解】ア


問41 安全なWebアプリケーションの作り方について,攻撃と対策の適切な組合せはどれか。
 攻撃 対策
ア SQLインジェクション SQL文の組立てに静的プレースホルダを使用する。
イ クロスサイトスクリプティング 任意の外部サイトのスタイルシートを取り込めるようにする。
ウ クロスサイトリクエストフォージェリ リクエストにGETメソッドを使用する。
工 セッションハイジャック 利用者ごとに固定のセッションIDを使用する。

【正解】ア


■H24春AP午前
問43 Webアプリケーションにおける脅威とそのセキュリティ対策の適切な組合せはどれか。
ア OSコマンドインジェクションを防ぐために, Webアプリケーションが発行するセッションIDを推測困難なものにする。
SQLインジェクションを防ぐために, Webアプリケーション内でデータベースへの問合せを作成する際にパイント機構を使用する。
ウ クロスサイトスクリプディングを防ぐために,外部から渡す入力データをWebサーバ内のファイル名として直接指定しない。
セッションハイジャックを防ぐために, Webアプリケーションからシェルを起動できないようにする。

【正解】イ


問44 ステガノグラフィを説明したものはどれか。
ア データをコピーできないようにする技術のことをいう。
イ データを第三者に盗み見られても解読できないようにするために,決まった規則に従ってデータを変換することをいう。
ウ 文書の正当性を保証するために付けられる暗号化された署名情報のことをいう。エ メッセージを画像データや音声データなどに埋め込み,メッセージの存在を隠す技術のことをいう。

【正解】エ

問45 脆弱性検査手法の一つであるフアジングはどれか。

ア 既知の脆弱性に対するシステムの対応状況に注目し,システムに導入されているソフトウェアのバージョン及びパッチの適用状況の検査を行う。
イ ソフトウェアのデータの入出力に注目し,問題を引き起こしそうなデータを大量に多様なパターンで入力して挙動を観察し,脆弱性を見つける。
ウ ソフトウェアの内部構造に注目し,ソースコードの構文を機械的にチェックするホワイトボックス検査を行うことによって脆弱性を見つける。
エ ベンダや情報セキュリティ関連機関が提供するセキュリティアドバイザリなどの最新のセキュリティ情報に注目し,ソフトウェアの脆弱性の検査を行う。
正解は、イです。

問44 サンドボックス機構に該当するものはどれか。

ア OS,データベース,アプリケーション,ネットワーク機器など多様なソフトウェアや機器が出力する大量のログデータを分析する。
イ Webアプリケーションの入力フォームの入力データに含まれるHTMLタグ,JavaScriptSQL文などを他の文字列に置き換えることによって,入力データ中に含まれる悪意のあるプログラムの実行を防ぐ。
ウ Webサーバの前段に設置し,不特定多数のPCから特定のWebサーバヘのリクエストに代理応答する。
エ 不正な動作の可能性があるプログラムを特別な領域で動作させることによって,他の領域に悪影響が及ぶのを防ぐ。
ぜい
正解は、エです。

問37 ISP “A" 管理下のネットワークから別のISP “B" 管理下の宛先にSMTPで電子メールを送信する。電子メール送信者がSMTP-AUTHを利用していない場合,スパムメール対策OP25Bによって遮断される電子メールはどれか。

ア ISP “A" 管理下の固定IPアドレスから送信しようとしたが,受信者の承諾を得ていない広告の電子メール
イ ISP “A" 管理下の固定IPアドレスから送信しようとしたが,送信元IPアドレスDNSで逆引きできなかった電子メール
ウ ISP “A" 管理下の動的IPアドレスからISP “A" のメールサーバを経由して送信される電子メール
エ ISP “A" 管理下の動的IPアドレスからISP “A" のメールサーバを経由せずに直接送信される電子メール
正解は、エです。

問43 図のような構成と通信サービスのシステムにおいて, Webアプリケーションの脆弱性対策のためのWAFの設置場所として,最も適切な箇所はどこか。ここで, WAFには通信を暗号化したり,復号したりする機能はないものとする。
問43
ア a
イ b
ウ c
エ d
正解は、ウです。

問36 インターネットへの接続において,ファイアウォールでNAPT機能を利用することによるセキュリティ上の効果はどれか。

ア DMZ上にある公開Webサーバの脆弱性を突く攻撃からWebサーバを防御できる。
イ インターネットから内部ネットワークへの侵入を検知し,通信経路の途中で遮断できる。
ウ インターネット上の特定のWebアプリケーションを利用するHTTP通イ言を検知し,遮断できる。
エ インターネットにアクセスする組織内の利用者PCについて,外部からの不正アクセスを困難にすることができる。
正解は、エです。

セキュリティ対策は、以下の3つに分けて考えましょう。
人的対策
物理的対策
技術的対策

IPAの以下のサイトがよくまとまっています。
http://www.ipa.go.jp/security/manager/protect/pdca/risk.html

-----------------
なぜ、運転免許の更新では怖いビデオを見せるの?
-----------------
気分が悪い方は目をそむけていいと言われるほどの怖いものです。
そういうセミナーをすることで、強い意識付けをしているのでしょう。

1.人的セキュリティ対策のキーワード
人的セキュリティ対策として、情報セキュリティマネジメント試験のシラバスでは、以下のキーワードがあります。
組織における内部不正防止ガイドライン,情報セキュリティ啓発(教育,訓練,資料配付,メディア活用),パスワード管理,利用者アクセスの管理(アカウント管理,特権的アクセス権の管理,need-to-know(最小権限) ほか),ログ管理,監視

①組織における内部不正防止ガイドライン
この試験では重要な位置づけですので、一通り目を通しておきましょう。
http://sg.seeeko.com/archives/cat_10843.html

②情報セキュリティ啓発
教育に関しては以下に記載しています。
http://sc.seeeko.com/archives/3825737.html

③パスワード管理
http://sc.seeeko.com/archives/3825734.html

④アカウント管理
http://sc.seeeko.com/archives/3825772.html

⑤アクセス権
http://sc.seeeko.com/archives/3841228.html

⑥ログ
http://sc.seeeko.com/archives/cat_125410.html

⑦監査
別のページにて詳しく解説します。
http://sg.seeeko.com/archives/310433.html

セキュリティ対策は、一番の肝となる内容であり、その範囲は幅広くあります。
いくつかのカテゴリに分けて整理します。

1.マルウェア対策
http://sc.seeeko.com/archives/cat_125414.html

2.標的型攻撃の対策
キーワードとして、「入口対策」「出口対策」「多層化」を覚えましょう。
http://sc.seeeko.com/archives/4553722.html

3.ネットワークセキュリティ
DMZ
http://nw.seeeko.com/archives/50935415.html

ファイアウォールとパケットフィルタリング
http://nw.seeeko.com/archives/cat_10016146.html

③UTM
http://sc.seeeko.com/archives/4559464.html

④IDS、IPS
http://sc.seeeko.com/archives/cat_125428.html

⑤WAF
http://sc.seeeko.com/archives/cat_125429.html

⑥検疫ネットワーク
http://sc.seeeko.com/archives/cat_125389.html

無線LANのセキュリティ
・認証についてはこちら
http://www.viva-musen.net/archives/18796659.html
・暗号についてはこちら
http://www.viva-musen.net/archives/18796333.html

ハニーポット
http://sc.seeeko.com/archives/4877724.html

4.サーバおよびアプリケーションセキュリティ
①Webサーバの一般的なセキュリティ対策
http://sc.seeeko.com/archives/3841242.html

SQLインジェクション対策
エスケープ処理」や「バインド機構」が軸となります。
http://sc.seeeko.com/archives/cat_125407.html
また、エスケープ処理はクロスサイトスクリプティング対策としても有効です。

③セキュアプログラミング
http://sc.seeeko.com/archives/cat_127750.html

④ディジタルフォレンジックス(証拠保全ほか)
http://sc.seeeko.com/archives/3841195.html

5.クライアントセキュリティ
①電子メールのセキュリティ
http://sc.seeeko.com/archives/cat_125384.html

SPAM対策
シラバスにキーワードとしてあるSPFは特に注意しておきましょう。
http://sc.seeeko.com/archives/cat_125532.html

③URLフィルタリングとコンテンツフィルタリング
http://sc.seeeko.com/archives/3844516.html

MDM
http://sc.seeeko.com/archives/4844199.html

⑤電子透かし
http://sc.seeeko.com/archives/3825196.html

6.セキュアプロトコル
IPsec
http://sc.seeeko.com/archives/cat_125402.html

SSLTLS
http://sc.seeeko.com/archives/cat_125403.html

SSH
http://sc.seeeko.com/archives/4569666.html

1.オフィスにおける物理的セキュリティ                
 物理的セキュリティと言われると、パッと思いつかないかもしれません。でも、皆さんの日常では、以下のようにいくつもの物理的セキュリティ対策が行われています。
①監視カメラ
 オフィスへの入口に監視カメラを設置することで、不正な第三者への入室記録を取ります。データセンターなどの機密性の高いサーバやデータがある箇所では、入口だけでなく、部屋のいたるところに監視カメラが設置されます。
②施錠管理
 施錠管理として、オフィスや部屋の施錠をします。加えて、機密文書やパソコンが保管されている書庫や机の引出しなどの施錠も必要です。
③入退室管理
 多くの企業では、ICカードによる入退室管理が行われ、許可された人しか入室できないようになっています。また、ICカードの入退室記録はログとして保存され、盗難などの事件発生時の証拠になります。
④クリアデスク
 クリア(clear)とは、「消す」や「きれいにする」という意味です。クリアデスクとは、書類やノートPCを机の上に出したままにせず,整理整頓をする考え方です。必要なものだけを机に出したり、帰宅時には書庫に施錠保管することで、情報漏えいのリスクが減らすことができます。
⑤クリアスクリーン
 クリアスクリーンとは、PCの画面(screen)が、スクリーンセーバなどにより自動でロックされる仕組みです。離席時においても、第三者によって不正にそのPCを利用されるリスクを軽減できます。

2.可用性や信頼性を高める物理的セキュリティ                
 先ほど紹介した物理セキュリティ対策は、セキュリティの3要素の中で、「機密性」や「完全性」を確保するものが中心でした。
 ここでは、3要素の一つである「可用性」を確保するための物理的セキュリティ対策について、シラバスに掲載されているキーワードからいくつか紹介します。
UPS
 過去問(H26年春AP午前問57)では,UPSの説明として,「電源の瞬断時に電力を供給したり,停電時にシステムを終了させるのに必要な時間の電力を供給したりすることを目的とした装置」と述べられています。
http://sm.seeeko.com/archives/53643199.html
②耐震耐火設備
 耐震耐火設備とは、言葉の通り、地震や火災に耐える設備です。データセンターでは、建物そのものが耐震耐火構造になっている場合がほとんどです。
③二重化技術
 二重化技術は、「可用性」の向上に寄与します。ミラーリングを含むRAID(3.5章の「テクノロジ」の章で解説)や、負荷分散の技術などがあります。
④遠隔バックアップ
 データの改ざんや破壊に対し、早期復旧にはバックアップが役立ちます。しかし、自然災害などによるデータの破壊の場合には、バックアップデータごと破壊される可能性があります。そこで、遠隔地バックアップが有効な対策になります。
情報セキュリティマネジメント試験を目指す剣持成子_2 
 
これらの内容は、RASやRASISにという考え方に通じます。
また、入退室管理を含む物理的セキュリティの全体像に関しては、過去問(H20秋SU午後Ⅰ問3)が参考になるので紹介します。この試験は、以前に実施されていた情報セキュリティアドミニストレータという利用者を意識したセキュリティの資格です。
入退室管理システムの導入〕
C主任は,見直し結果を,指紋認証による入退室管理システム(以下,Sシステムという)の概要, Sシステム運用規程及びSシステム利用規程としてまとめ,  B課長に報告した。図2はSシステムの概要である。
1.システム構成
 入退室カード,入退室カード読取装置,指紋認証装置(ドア用),指紋登録装置,入退室管理サーバ,電気錠,受付電話,  UPSから構成される。
 指紋認証装置は,入退室カード読取装置と並べて,室外(入室用)と室内(退室用)に設置する。
2.指紋登録
 指紋登録装置を用いて,任意の2指の指紋を登録する。
3.登録された指紋データの削除
 異動や退職に連動して削除される。
4.電気錠の開閉
 指紋が認証された場合に解錠し,ドアが閉まったら施錠する。解錠後にドアが開閉されなかった場合は,一定時間後に自動的に施錠される。
5.入退室管理サーバのログ
 入退室した個人を特定できるログを,所定期間保存する。
6.来訪者対応
 受付電話によって室内にいる社員が解錠する。対応者は,来訪者の入室から退室までの間付き添う。
7.監視カメラとの連携
 入退室画像を記録し,所定期間保存する。データセンタにおいては,室内の画像も記録し,所定期間保存する。
図2 Sシステムの概要

----------
弱そうな警備の人で、大丈夫?
----------
ある保育園の園長が,自信を持ってセキュリティ対策を説明していたそうです。
「門の入口では,元警察官が子どもたちをしっかりと守っています」
とはいえ、元警察(=OB)というのは,60歳以上の方が多いことでしょう。今は元気な年配の方も多いので,70歳以上で現役という方もいらっしゃいます。しかし,凶器でも持った大柄の不審者がやってきたら,大丈夫だろうか?と心配になってしまいます。
1ca9d771.jpg


不正アクセスについて
不正アクセスについては、IPAの資料などをもとに、以下にまとめています。
http://sc.seeeko.com/archives/5119019.html

上記に書きましたが、対策としては、一つで守れるものではありません。ファイアウォールなどのゲートウェイですべてを守れません。だからといって、ファイアウォールが意味がないかというと、そうでもありません。保育園の警護の方が、すべての不正侵入を防げないかもしれませんが、ある程度は防げます。また、万が一のときには迅速に警察に通報するなどして、被害拡大に努めるのです。そうやって、複合的に守るしかないのです。

ーーーーーーー
暗号化した情報を漏洩しても情報漏えい事故になるか? 
ーーーーーーー

一般的には、事故として扱われます。
ただ、以下の見解もあります。
http://sc.seeeko.com/archives/3967960.html
事故の大きさや社会的影響によっても変わってくることと思います。

情報漏えいのリスクとその対策に関しては、以下にまとめています。
http://sc.seeeko.com/archives/3825733.html

・某社事故の報告書
http://blog.benesse.ne.jp/bh/ja/news/m/2014/09/25/docs/20140925%E3%83%AA%E3%83%AA%E3%83%BC%E3%82%B9.pdf

・情報漏えいの検知
http://sc.seeeko.com/archives/3828376.html

物理的なものと論理的なものがあります

掃除のおばちゃんが建物に入っているけど大丈夫?
24882361.jpg

技術的セキュリティ対策の製品として、以下もあります。

DLP(Data Loss Prevention)
 DLP(Data Loss Prevention)とは、言葉の通り、データ(Data)の損失(Loss)を防止( Prevention)する仕組みです。データの操作ログを取得したり、データを外部に送れないように制限したりする機能などがあります。
過去問(H29秋SG午前問13)ではDLPに関して、「情報システムにおいて,秘密情報を判別し,秘密情報の漏えいにつながる操作に対して警告を発令したり,その操作を自動的に無効化させたりするもの」と述べられています。

SIEM(Security Information and Event Management)
SIEM(Security Information Event Management)は、直訳が意味する通り、セキュリティの情報やイベントを管理する装置でシームと発音します。FWやProxyサーバ、認証サーバなどの複数の機器のログを集約し、多面的に分析をします。
SIEM (Security Information and Event Management)に関して過去問では「サーバやネットワーク機器などのログデータを一括管理,分析して,セキュリテイ上の脅威を発見し,通知する(H28年秋SG午前問15)」、「様々な機器から集められたログを総合的に分析し,管理者による分析を支援する(H29年秋SG午前問14)。」とあります。

SSL アクセラレータ
 SSL アクセラレータ(ssl accelerator)とは、SSL通信の暗号化と復号を行う装置です。自動車のアクセルを思い浮かべてもらうとわかりますが、アクセルを踏むと加速します。SSLアクセラレータは、この、SSLの処理を高速に実現する装置です。

↑このページのトップヘ