応用情報技術者 2014年 秋期 午後 問01
ネットワークや Webアプリケーションプログラムのセキュリティに関する次の記述を読んで、設問1~4に答えよ。
X社は、中堅の機械部品メーカーである。X社では、部品製造に関わる特許情報や顧客情報を取り扱うので、社内のネットワークセキュリティを強化している。社内のネットワークの内部セグメントには、内部メールサーバ、内部Webサーバ、ファイルサーバなど社内業務を支援する各種サーバが配置されている。また、DMZには、インターネット向けのメール転送サーバ、DNSサーバ、Webサーバ、プロキシサーバが配置されている。Webサーバでは、製品情報や特定顧客向けの部品情報の検索システムを社外に提供しており、内部Webサーバやファイルサーバでは、特許情報や顧客情報の検索システムを社内に提供している。X社のネットワーク構成を図1に示す。
先日、同業他社の社外向け Webサイトが外部からの攻撃を受けるというセキュリティインシデントが発生したことを聞いた情報システム部のY部長は、特に FW に関するネットワークセキュリティの強化を検討するように部下のZさんに指示した。
X社の社内ネットワークのセキュリティ要件を図2に示す。
Zさんは、①FWによるIPアドレスやポート番号を用いたパケットフィルタリングだけでは外部からの攻撃を十分に防ぐことができないと考えた。そこで、より高度なセキュリティ製品の追加導入を検討するために、IDS、IPSやWAFの基本的な機能について調査した。調査の結果、IDSは、X社の外部からのaことができ、IPSは、X社の外部からのbことができ、一方、WAFは、cことができるということが分かった。
この結果から、Zさんは、次の二つの案を考えた。
案1:社内ネットワークのルータとFWの間にネットワーク型のIPSを導入する。
案2:セキュリティ強化の対象とするサーバにWAFを導入する。今回、dを目的とする場合には案1を、eを目的とする場合には案2を選択することがそれぞれ有効であると分かった。
特に案2のWAFは、ブラックリストや②ホワイトリストの情報を有効に活用することで、社内ネットワークのセキュリティ要件2.3を満たすことができる。
Zさんは、それぞれの案について、費用面や運用面での課題の比較検討も行い、結果を取りまとめて!部長に報告した。これを受けて▶部長は、築2を採用することを決め、具体的な実施策を検討するように2さんに指示した。
設問1:本文中の下線①において、FWでは防げない攻撃を解答群の中から全て選び、記号で答えよ。
FWでは防げない攻撃を解答群の中から全て選び、記号で答えよ。
解答群
ア:DNSサーバを狙った、外部からの不正アクセス攻撃
イ:WebサーバのWebアプリケーションプログラムの脆弱性を悪用した攻撃
ウ:内部Webサーバを狙った、外部からの不正アクセス攻撃
エ:ファイルサーバを狙った、外部からの不正アクセス攻撃
オ:プロキシサーバを狙った、外部からのポートスキャンを悪用した攻撃
模範解答
ア、イ
解説
解答の論理構成
-
問題文の前提
・下線①には「①FWによるIPアドレスやポート番号を用いたパケットフィルタリングだけでは外部からの攻撃を十分に防ぐことができない」と記載されています。
・FW(ファイアウォール)の基本機能は「IPアドレスやポート番号」による層3/層4フィルタリングであり、通信を許可したサービスの“内容”までは検査しません。 -
各選択肢とFWの可否判断
ア:「DNSサーバを狙った、外部からの不正アクセス攻撃」
– DMZにはDNSサーバが公開されており、FWは53/TCP・UDP通信を許可している想定です。ポート自体は許可されるため、DNSサービスの弱点を突く不正アクセスはFWでは検知・遮断できません。
イ:「WebサーバのWebアプリケーションプログラムの脆弱性を悪用した攻撃」
– Webサーバは80/TCPや443/TCPで公開済みです。FWはポートを開けるだけなので、アプリケーション層での SQL インジェクション等は通過してしまいます。
ウ:「内部Webサーバを狙った、外部からの不正アクセス攻撃」
– 内部Webサーバは内部セグメントにあり、外部からのHTTPポートはFWで閉じられています。よってFWが遮断可能です。
エ:「ファイルサーバを狙った、外部からの不正アクセス攻撃」
– ファイルサーバも内部セグメントのため、外部向けポートは開放されておらずFWで遮断可能です。
オ:「プロキシサーバを狙った、外部からのポートスキャンを悪用した攻撃」
– DMZに存在するプロキシサーバの不要ポートはFWで閉じられている前提です。ポートスキャン自体は行われるものの、本質的な攻撃(未使用ポートへの到達)はFWで防御できます。 -
結論
FWだけでは防げない=アプリケーション層を突く、またはポート開放が必須で中身の検査ができない攻撃に該当するため、該当する選択肢は
「ア、イ」となります。
誤りやすいポイント
- 「内部」の語に惑わされ、ウ・エを選んでしまう。内部セグメントに置かれたサーバはそもそもFWで外部公開されていません。
- 「ポートスキャンだからFWで検知できない」と早合点してオを選ぶ。FWは“未開放ポート”への通信は破棄するため遮断可能です。
- FWとIDS/IPS/WAFの役割を混同し、アプリケーション層攻撃をFWで止められると考えてしまう。
FAQ
Q: DNSやWebの正規ポートを閉じられないなら、FWでどう保護するのですか?
A: FWはポート自体の開閉が役割です。正規ポートを閉じられない場合は、IDS/IPSやWAFなど上位層の対策を追加して保護します。
A: FWはポート自体の開閉が役割です。正規ポートを閉じられない場合は、IDS/IPSやWAFなど上位層の対策を追加して保護します。
Q: ポートスキャンはFWログで痕跡が残るのでは?
A: 不要ポートへのパケットはFWで破棄されますが、ログを残すかどうかは設定次第です。遮断そのものはFWで可能なので「防げない攻撃」には該当しません。
A: 不要ポートへのパケットはFWで破棄されますが、ログを残すかどうかは設定次第です。遮断そのものはFWで可能なので「防げない攻撃」には該当しません。
Q: Webアプリの脆弱性対策としてFW設定を細かくすれば良いのでは?
A: FWはHTTPというプロトコル単位までしか識別できず、リクエストのパラメータやSQL文などは見分けられません。そのため、WAFなどアプリケーション層を解析する装置が必要です。
A: FWはHTTPというプロトコル単位までしか識別できず、リクエストのパラメータやSQL文などは見分けられません。そのため、WAFなどアプリケーション層を解析する装置が必要です。
関連キーワード: パケットフィルタリング、アプリケーション層攻撃、DMZ, DNS, WAF
設問2:
本文中のa〜cに入れる最も適切な字句を解答群の中から選び、記号で答えよ。
解答群
ア:IPパケットの中身を暗号化して盗聴や改ざんを防止する
イ:IPパケットの中身を調べて不正な挙動を検出し遮断する
ウ:IPパケットの中身を調べて不正な挙動を検出する
エ:Webアプリケーションプログラムとのやり取りに特化した監視や防御をする
オ:Webアプリケーションプログラムとのやり取りを暗号化して盗聴や改ざんを防止する
カ:電子メールに対してウイルスチェックを行う
模範解答
a:ウ
b:イ
c:エ
解説
解答の論理構成
- 問題文は「IDS、IPSやWAFの基本的な機能について調査した」後に、
「IDSは、X社の外部からのaことができ、IPSは、X社の外部からのbことができ、一方、WAFは、cことができる」と述べています。
それぞれの装置の代表的な役割を整理すると次のとおりです。- IDS:侵入を検知する(detect だけ)
- IPS:侵入を検知して遮断する(detect + prevent)
- WAF:Web アプリケーション層の通信を専用に監視・防御する
- 解答群を照合します。
- ア:IPパケットの中身を暗号化して盗聴や改ざんを防止する
- イ:IPパケットの中身を調べて不正な挙動を検出し遮断する
- ウ:IPパケットの中身を調べて不正な挙動を検出する
- エ:Webアプリケーションプログラムとのやり取りに特化した監視や防御をする
- オ:Webアプリケーションプログラムとのやり取りを暗号化して盗聴や改ざんを防止する
- カ:電子メールに対してウイルスチェックを行う
- 上記の役割と照合しながら空欄に当てはめます。
- IDS は「検出のみ」なので「IPパケットの中身を調べて不正な挙動を検出する」が一致します。よってa=「ウ」。
- IPS は「検出+遮断」なので「IPパケットの中身を調べて不正な挙動を検出し遮断する」が一致します。よってb=「イ」。
- WAF は Web アプリケーション専用の防御なので「Webアプリケーションプログラムとのやり取りに特化した監視や防御をする」が一致します。よってc=「エ」。
- 以上より解答は
a:ウ
b:イ
c:エ
誤りやすいポイント
- 「IDS と IPS の違い」を遮断機能の有無ではなく“リアルタイム性”で覚えてしまうと選択肢を誤るケースがあります。問題ではあくまで「遮断できるか否か」が鍵です。
- 「WAF=HTTPS を暗号化する装置」と誤解し、オを選択してしまうミスが頻発します。WAF は暗号化ではなくアプリケーション層の検査が本質です。
- ア(暗号化)やカ(ウイルスチェック)は、ネットワーク型 IDS/IPS/WAF の機能と混同しやすいため選択肢に惑わされがちです。
FAQ
Q: IDS と FW を併用すると役割が重複しませんか?
A: FW は主に「IPアドレスやポート番号」を基にしたアクセス制御を行い、IDS は「IPパケットの中身」を解析して不正を検知するので守備範囲が異なります。併用することでレイヤの異なる防御が実現できます。
A: FW は主に「IPアドレスやポート番号」を基にしたアクセス制御を行い、IDS は「IPパケットの中身」を解析して不正を検知するので守備範囲が異なります。併用することでレイヤの異なる防御が実現できます。
Q: IPS を導入すれば WAF は不要ですか?
A: IPS はネットワーク層~トランスポート層が中心で、Web アプリケーション固有の脆弱性(SQL インジェクションなど)まではカバーしきれません。アプリ層の防御が必要なら WAF も検討すべきです。
A: IPS はネットワーク層~トランスポート層が中心で、Web アプリケーション固有の脆弱性(SQL インジェクションなど)まではカバーしきれません。アプリ層の防御が必要なら WAF も検討すべきです。
Q: WAF のホワイトリスト運用とは具体的に何を許可するのですか?
A: 典型的には「正常な HTTP メソッド・パラメータ形式・URL パターン」などを事前に登録し、それに合致しないリクエストを遮断します。問題文の「2.3 Webアプリケーションプログラムの脆弱性を悪用した攻撃を防ぐ」要件を満たすための実装例です。
A: 典型的には「正常な HTTP メソッド・パラメータ形式・URL パターン」などを事前に登録し、それに合致しないリクエストを遮断します。問題文の「2.3 Webアプリケーションプログラムの脆弱性を悪用した攻撃を防ぐ」要件を満たすための実装例です。
関連キーワード: IDS, IPS, WAF, パケットフィルタリング、ホワイトリスト
設問3:
本文中のd、eに入れる最も適切な字句を解答群の中から選び、記号で答えよ。
解答群
ア:PCに対するウイルス感染チェック
イ:WebサーバのWebアプリケーションプログラムの脆弱性を悪用した攻撃の検出や防御
ウ:外部からの不正アクセス攻撃の検出や防御をX社の社内ネットワーク全体に対して行うこと
エ:内部からの不正アクセス攻撃の検出や防御をX社の社内ネットワーク全体に対して行うこと
オ:内部メールサーバに対する不正アクセス攻撃の検出や防御
模範解答
d:ウ
e:イ
解説
解答の論理構成
-
【問題文】には
「案1:社内ネットワークのルータとFWの間にネットワーク型のIPSを導入する。」
「今回、dを目的とする場合には案1を…」
とあります。ネットワーク型IPSはネットワークの“入口”に置き、通過する全通信を検査します。したがって X社全体を対象に「外部からの不正アクセス攻撃」を検出・遮断するのが主目的です。解答群でこれに該当するのは
「ウ:外部からの不正アクセス攻撃の検出や防御をX社の社内ネットワーク全体に対して行うこと」。
よって d=「ウ」です。 -
同じく【問題文】には
「案2:セキュリティ強化の対象とするサーバにWAFを導入する。」
「eを目的とする場合には案2を選択…」
とあります。さらに前段で
「WAFは、cことができる」
と述べ、図2の要件「2.3 Webアプリケーションプログラムの脆弱性を悪用した攻撃を防ぐために…」に対応させています。WAFはHTTPレイヤでWebアプリケーションの脆弱性攻撃を検出・防御する製品なので、解答群では
「イ:WebサーバのWebアプリケーションプログラムの脆弱性を悪用した攻撃の検出や防御」
が適切です。したがって e=「イ」です。 -
よって最終解答は
d:ウ
e:イ
誤りやすいポイント
- 「ア:PCに対するウイルス感染チェック」はアンチウイルス製品の領域であり、IPS/WAFとは保護対象も層も異なる点を見落としやすいです。
- WAFを“ネットワーク全体”の防御と誤認し「ウ」を選んでしまうケースがありますが、WAFはHTTPトラフィックに特化したサーバ直前配置の製品です。
- 「エ:内部からの不正アクセス攻撃…」に引っ張られ、IPSを内部犯行対策と考えてしまう例があります。今回の設置位置は「社内ネットワークのルータとFWの間」であり外部→内部の通信を対象としています。
FAQ
Q: IPS と IDS の違いは何ですか。
A: IDS は【問題文】中で「X社の外部からのaことができ」とあるように“検知”専門、IPS は「bことができ」とあるように“検知+遮断”が可能です。
A: IDS は【問題文】中で「X社の外部からのaことができ」とあるように“検知”専門、IPS は「bことができ」とあるように“検知+遮断”が可能です。
Q: WAF を置けばネットワーク型IPSは不要でしょうか。
A: 役割が異なります。WAF はHTTPレイヤのアプリケーション攻撃を防ぎますが、他プロトコルやネットワーク層の攻撃は対象外です。広範な防御にはIPSも併用します。
A: 役割が異なります。WAF はHTTPレイヤのアプリケーション攻撃を防ぎますが、他プロトコルやネットワーク層の攻撃は対象外です。広範な防御にはIPSも併用します。
Q: ブラックリストとホワイトリストの使い分けは。
A: 【問題文】にある「②ホワイトリストの情報」を活用すると、許可された正常な通信手順のみを通す方式になり、図2「2.3」のような“手続限定”要件を確実に満たせます。
A: 【問題文】にある「②ホワイトリストの情報」を活用すると、許可された正常な通信手順のみを通す方式になり、図2「2.3」のような“手続限定”要件を確実に満たせます。
関連キーワード: IPS, WAF, パケットフィルタリング、ホワイトリスト、不正アクセス
設問4:
本文中の下線②のホワイトリストに、どのような通信パターンを登録する必要があるか。図2中の字句を用いて30字以内で述べよ。
模範解答
あらかじめ定められた一連の手続のHTTP通信
解説
解答の論理構成
- 本文では、WAFがホワイトリストを活用して要件を満たす場面が示されています。
引用:- 「特に案2のWAFは、ブラックリストや②ホワイトリストの情報を有効に活用することで、社内ネットワークのセキュリティ要件2.3を満たすことができる。」
- セキュリティ要件2.3の内容を確認します。
引用:- 「Webアプリケーションプログラムの脆弱性を悪用した攻撃を防ぐために、インターネットからWebサーバにアクセスする通信は、あらかじめ定められた一連の手続のHTTP通信だけを許可すること。」
- ホワイトリストは「許可する通信パターン」を登録するリストであり、要件2.3が求める“許可対象”は上記の一文に示された通信です。
- したがって、ホワイトリストに登録すべき通信パターンは「あらかじめ定められた一連の手続のHTTP通信」となります。
誤りやすいポイント
- 「HTTP通信」とだけ答えてしまい、“一連の手続”を落としてしまう。
- 「インターネットからWebサーバへのHTTP通信」など要件2.2を引用し、2.3と取り違える。
- ブラックリストとホワイトリストの役割を混同し、遮断対象(攻撃パターン)を書いてしまう。
FAQ
Q: ホワイトリストとブラックリストの使い分けは何が違いますか?
A: ホワイトリストは「許可する通信・入力」を列挙し、それ以外を拒否します。ブラックリストは「拒否すべき通信・入力」を列挙し、それ以外を許可します。WAFで脆弱性対策を厳格に行う場合はホワイトリストが有効です。
A: ホワイトリストは「許可する通信・入力」を列挙し、それ以外を拒否します。ブラックリストは「拒否すべき通信・入力」を列挙し、それ以外を許可します。WAFで脆弱性対策を厳格に行う場合はホワイトリストが有効です。
Q: なぜIPSではなくWAFが選ばれたのですか?
A: IPSはネットワーク層・トランスポート層のパターン検知が中心で、Webアプリケーション固有の処理フローまで把握できません。一方WAFはHTTPレベルでリクエスト内容やパラメータの妥当性を確認できるため、要件2.3の「一連の手続」を強制できます。
A: IPSはネットワーク層・トランスポート層のパターン検知が中心で、Webアプリケーション固有の処理フローまで把握できません。一方WAFはHTTPレベルでリクエスト内容やパラメータの妥当性を確認できるため、要件2.3の「一連の手続」を強制できます。
Q: 「一連の手続」とは具体的にどのようなものですか?
A: 例えば認証→商品検索→発注といった業務フローを指します。想定外のメソッドや順序・パラメータを含むリクエストをWAFで遮断し、SQLインジェクションやクロスサイトスクリプティングなどの攻撃を防ぎます。
A: 例えば認証→商品検索→発注といった業務フローを指します。想定外のメソッドや順序・パラメータを含むリクエストをWAFで遮断し、SQLインジェクションやクロスサイトスクリプティングなどの攻撃を防ぎます。
関連キーワード: ホワイトリスト、WAF, HTTP, 脆弱性対策、アクセス制御
