情報処理安全確保支援士試験 2012年 春期 午後1 問03
保守作業の証跡確保のための対策検討に関する次の記述を読んで、設問1~4に答えよ。
M社は、従業員数900名の保険会社である。M社は損害保険業務を支援する保険システムを稼働させている。保険システムの利用者は、M社の従業員である。M社は、保険システムの開発をソフトウェア開発会社の2社に委託している。また、保険システムはM社のグループ会社が運営するデータセンタ(以下、DCという)に設置し、主にM社が運用と保守を行っているが、一部の保守作業については2社に委託している。保険システムは、20台のサーバ(以下、保険サーバという)から構成されており、保険システムのサービス(以下、保険サービスという)を提供するための様々なソフトウェアが稼働している。保険システムの構成を図1に示す。
Z社が請け負っている保守作業は、機能追加などに基づく保険システムのプログラムモジュールの更新、保険システムに障害が発生した場合の原因調査、本番システムへの設定変更などの作業が主である。2社はM社から作業依頼書を受け取ると、保険システムを担当する5名の保守チームの中から当該作業担当者を1名選び、作業担当者氏名や作業期間などを記載した作業計画書をM社に提出する。作業計画が承認されると、作業で使用するために、OSの特権IDが使用可能な状態に有効化され、通知される。特権IDとは、OSに対する全てのシステム管理特権を付与された利用者IDのことである。作業担当者は通知された特権IDを使い、2社PCから保険サーバにリモートアクセスを行って作業を実施する。2社内のM社保険システム保守用LAN,M社LAN及びDC内のDCLANはIP-VPNで接続されている。
なお、DC内の保険サーバのコンソールからの操作や電源の操作は、M社が実施している。また、保険サーバやネットワーク機器の時刻は全て同期している。
〔対策の検討と対策方針の策定〕
M社の同業のC社で情報漏えい事件が起きた。C社の保守作業委託先の従業員が、保険加入者のデータを不正に持ち出して名簿業者に売却したと報じられた。事件は、C社が事態をすぐに把握できなかった管理上の不備に対する指摘とともに、連日報道された。M社の経営幹部は、C社の事件をきっかけに、自社の保険システムにおいても同様の問題が起きる可能性はないか早急に調査するよう、情報システム部長に指示を出した。調査の結果、保険システムについても、Z社の保守作業において、保険加入者の情報が保存されたファイル(以下、機密ファイルという)が、作業依頼書に指定した範囲を超えてアクセスされるおそれがあることが指摘された。そこで、情報システム部のL主任がリーダとなり、対策を検討することになった。
検討を開始した当初は、Z社の保守作業において機密ファイルへのアクセス制御を実施する案も出たが、M社保守担当者から、特権IDの運用が複雑になる上、保守作業には緊急性が求められる場合もあり、現実的な対策ではないといった意見があった。そこで、①L主任はZ社の作業担当者の保守作業の作業証跡を取得し、作業内容とは無関係な機密ファイルの操作(以下、機密ファイル操作違反という)を検知する仕組みを備えるという対策方針を立てた。本対策方針は経営幹部に報告された後、M社役員会議で承認された。
L主任は、Z社が行う作業の操作ログを取得し、操作ログからZ社の機密ファイル操作違反の可能性を自動検知する対策がよいと考えた。検知後に、作業者の機密ファイル操作違反前後の一連の操作を追跡することを想定した対策である。
〔対策実現に向けた要件と実現方式の検討〕
L主任は部下のN君に次の三つの要件を示した上で、実現方式の検討を指示した。
要件1:保険サーバでZ社の作業担当者が行うファイル操作を、ログサーバに記録できること
要件2:特定のファイルのアクセスや、特定のプロセスの起動と停止などの検知ルールをあらかじめ定義でき、操作ログ上で検知ルールに一致したファイル操作ログが見つかったときに、管理者に通知できること
要件3:操作ログの取得を実現する上で、保険サービスの可用性に影響を与えないこと
N君は、操作ログが取得可能な製品の中でシェアの高い二つの市販ソフトウェアパッケージ製品PP1、PP2を候補とし、それぞれのパッケージ製品を利用した対策実現方式案(以下、それぞれ案1、案2という)を表1のとおり取りまとめて、L主任に報告した。
〔実現方式案の要件の確認〕
L主任は最初に、案1、案2が要件を満たしているかどうかを確認した。L主任は、案1は、ログサーバがダウンしている場合、及び②作業担当者が保険サーバのネットワーク設定を不正に変更して操作ログの転送を妨害した場合において、③その後、作業担当者がある操作を実行すると、その前後のファイル操作について要件1及び要件2が満たされなくなると指摘した。
要件3については、L主任は、特に案1について、保険サーバ内の[ a ]と既存ソフトウェアとの間で相互に悪影響を及ぼさないか、十分なテストを実施する必要があると考えた。
〔要件以外の比較検討〕
次に、L主任は要件以外の点についても検討を進めた。案1は導入に特に大きな支障はないと考えられた。
一方で案2は、中継サーバが導入されることから、Z社の作業担当者の作業手順や、保険サーバなどのアクセス制御を見直す必要がある。例えば、案2を実現するには、[ c ]から保険サーバへのアクセスは禁止するが、[ d ]やM社PCからのアクセスは許可する必要がある。
また、案2の場合は、中継サーバを利用するための利用者IDの付与と、保守作業ごとの各保険サーバの特権IDの通知の2点の実施方法を考慮する必要がある。
しかし、L主任は、案2の場合、中継サーバの利用者IDをZ社の保守チームの担当者ごとに作成するので、保守作業を作業計画書に記載された作業担当者だけに限定するという、より安全な仕組みが実現できると考えた。
〔対策の実施〕
L主任は、以上の確認と比較検討の結果、Z社の作業担当者の作業手順が変わる点などの不都合があるものの、要件を実現する上で案2の方が優れていると判断し、案2を選択することにした。その上で、保守作業の証跡を取得するためのシステム化計画を取りまとめ、経営幹部に報告し、M社役員会議で承認を受けた。その後、システム化作業を行い、対策を実施した。
保守作業の証跡確保のための対策検討に関する次の記述を読んで、設問1~4に答えよ。
設問1:ログサーバ上の操作ログの安全な保管について(1),(2)に答えよ。
(1)表1中の[ b ]に入れる適切な字句を答えよ。
模範解答
b:改ざん検知
解説
解答の論理構成
-
表1の記述
「ログサーバ上の操作ログについては、機密ファイル操作違反の隠蔽防止のために、④メッセージダイジェストを使用した[ b ]機能をもつ。」 -
キーワードの把握
・「④メッセージダイジェスト」はハッシュ関数を用いてデータの完全性を確認する技術です。
・目的は「機密ファイル操作違反の隠蔽防止」、すなわちログが書き換えられていないことを検証することです。 -
技術と目的から導ける機能名
メッセージダイジェストを付与し、後で計算し直して一致を確認する一連の仕組みは、情報セキュリティ分野で「改ざん検知」と呼ばれます。 -
結論
よって [ b ] に入る字句は「改ざん検知」となります。
誤りやすいポイント
- 「暗号化」「認証」などと混同する
暗号化は内容を読めなくする技術、認証は利用者を確認する技術です。本問は「隠蔽防止」が目的であり、完全性を確保する「改ざん検知」が正解です。 - 「ハッシュ化」そのものを機能名だと誤解する
メッセージダイジェストは手段であり、機能名として求められているのは「改ざん検知」です。
FAQ
Q: メッセージダイジェストと改ざん検知の関係は?
A: メッセージダイジェスト(ハッシュ値)を保存し、後から再計算して突き合わせることで改ざんの有無を検出します。これが改ざん検知機能です。
A: メッセージダイジェスト(ハッシュ値)を保存し、後から再計算して突き合わせることで改ざんの有無を検出します。これが改ざん検知機能です。
Q: なぜ完全性確認ではなく改ざん検知が答えになるの?
A: 完全性確認でも意味は近いですが、ログの「隠蔽防止」を目的とする運用機能としては「改ざん検知」が一般的に使われる用語だからです。
A: 完全性確認でも意味は近いですが、ログの「隠蔽防止」を目的とする運用機能としては「改ざん検知」が一般的に使われる用語だからです。
Q: 改ざん検知機能を導入すると運用コストは増える?
A: ハッシュ演算は軽量なので性能負荷は小さいですが、検査自動化や定期監査の体制整備が必要になるため、運用プロセスの整備が求められます。
A: ハッシュ演算は軽量なので性能負荷は小さいですが、検査自動化や定期監査の体制整備が必要になるため、運用プロセスの整備が求められます。
関連キーワード: メッセージダイジェスト, 完全性, ハッシュ関数, ログ保全, インシデント対応
設問1:ログサーバ上の操作ログの安全な保管について(1),(2)に答えよ。
(2)表1中の下線④について,最も適切と考えられるアルゴリズムはどれか。解答群の中から選び,記号で答えよ。
解答群
ア:AES
イ:SHA-1
ウ:SHA-256
エ:TripleDES
模範解答
ウ
解説
解答の論理構成
- 【問題文】では「ログサーバ上の操作ログについては、機密ファイル操作違反の隠蔽防止のために、④メッセージダイジェストを使用した[ b ]機能をもつ。」と明記しています。ここで必要なのは改ざん検知=“整合性確認”機能です。
- 整合性確認に用いる「④メッセージダイジェスト」は、入力データから一定長のハッシュ値を生成し、同一入力でなければ同一ハッシュにならない“衝突耐性”が重要となります。
- 解答群を機能別に整理すると次のとおりです。
- 「ア:AES」「エ:TripleDES」:どちらも共通鍵暗号方式であり、暗号化・復号を目的とします。メッセージダイジェストではないため不適切です。
- 「イ:SHA-1」「ウ:SHA-256」:どちらもハッシュ関数(メッセージダイジェスト)です。
- 「イ:SHA-1」は衝突攻撃が現実化しており、長期運用するログの改ざん検知には強度不足と判断できます。
- 「ウ:SHA-256」は「SHA-2」ファミリに属し、現在も実用上十分な衝突耐性が認められます。よって最も適切といえるため、解答は「ウ」となります。
誤りやすいポイント
- 「暗号化=改ざん防止」と短絡的に考え、「ア:AES」や「エ:TripleDES」を選んでしまう。暗号は秘匿性、ハッシュは整合性という観点整理が必要です。
- 「SHA-1 もハッシュだから十分」と判断してしまう。実務では既に衝突報告がある SHA-1 は避けるのが通例です。
- “メッセージダイジェスト”を「電子署名」と同義と誤解し署名アルゴリズムを探してしまう。問題はハッシュ関数のみを問うています。
FAQ
Q: なぜ「イ:SHA-1」ではだめなのですか?
A: SHA-1 は 2005 年以降徐々に衝突攻撃が進展し、2017 年には実証例が公開されています。長期保存する操作ログの改ざん検知にはリスクが高いため、より強度の高い SHA-256 が推奨されます。
A: SHA-1 は 2005 年以降徐々に衝突攻撃が進展し、2017 年には実証例が公開されています。長期保存する操作ログの改ざん検知にはリスクが高いため、より強度の高い SHA-256 が推奨されます。
Q: 暗号化アルゴリズムでは改ざん検知できませんか?
A: 共通鍵暗号だけでは「内容が読めない」状態は作れますが、「改ざんされていない」ことは保証できません。ハッシュ値や電子署名と組み合わせることで初めて改ざん検知が可能になります。
A: 共通鍵暗号だけでは「内容が読めない」状態は作れますが、「改ざんされていない」ことは保証できません。ハッシュ値や電子署名と組み合わせることで初めて改ざん検知が可能になります。
Q: メッセージダイジェストとハッシュ関数は同じ意味ですか?
A: はい、一般に同義語として使われます。入力データの「要約(ダイジェスト)」を固定長で出力し、改ざん検知や電子署名の土台となるアルゴリズムです。
A: はい、一般に同義語として使われます。入力データの「要約(ダイジェスト)」を固定長で出力し、改ざん検知や電子署名の土台となるアルゴリズムです。
関連キーワード: メッセージダイジェスト, ハッシュ関数, 衝突耐性, 改ざん検知, 暗号化
設問2:案1及び案2の実現方式について,(1),(2)に答えよ。
(1)本文中の[ a ]に入れる適切な字句を、表1中の用語を用いて答えよ。
模範解答
a:エージェントモジュール
解説
解答の論理構成
- 問題文には「L主任は、特に案1について、保険サーバ内の[ a ]と既存ソフトウェアとの間で相互に悪影響を及ぼさないか、十分なテストを実施する必要がある」とあります。
- 同じく案1の説明には「操作ログを取得する各保険サーバにPP1のエージェントモジュールをインストールする。」と記載されています。
- 「保険サーバ内」に導入される新規コンポーネントは、引用②の「エージェントモジュール」だけです。
- したがって [ a ] に入る語は「エージェントモジュール」と判定できます。
誤りやすいポイント
- 「メインモジュール」と誤解するケース
– メインモジュールは「ログサーバ」にインストールすると明示されています。 - 「PP1」や「PP2」と製品名そのものを書いてしまうミス
– 文脈は“保険サーバ内の○○”という部品名を尋ねています。 - 案2の説明を読み混ぜて「中継サーバ」関連を連想してしまうミス
FAQ
Q: “エージェントモジュール”と“メインモジュール”の違いは?
A: エージェントモジュールは各保険サーバに常駐しログを取得する小型プログラム、メインモジュールはログサーバで集中管理・保存を行う機能です。
A: エージェントモジュールは各保険サーバに常駐しログを取得する小型プログラム、メインモジュールはログサーバで集中管理・保存を行う機能です。
Q: なぜテストが必要と書かれているのですか?
A: エージェントモジュールが既存サービスに干渉しパフォーマンス低下や障害を起こさないかを事前に確認するためです。
A: エージェントモジュールが既存サービスに干渉しパフォーマンス低下や障害を起こさないかを事前に確認するためです。
Q: 案2でもエージェントは不要なのですか?
A: はい。案2は「中継サーバで取得する」方式なので保険サーバへのエージェント導入は不要です。
A: はい。案2は「中継サーバで取得する」方式なので保険サーバへのエージェント導入は不要です。
関連キーワード: 特権ID, ログ管理, エージェント方式, 動作検証
設問2:案1及び案2の実現方式について,(1),(2)に答えよ。
(2)本文中の[ c ],[ d ]に入れる適切な機器名を,それぞれ図1中又は表中の用語で答えよ。
模範解答
c:Z社PC
d:中継サーバ
解説
解答の論理構成
- 原文には次の記述があります。
――「案2を実現するには、[ c ]から保険サーバへのアクセスは禁止するが、[ d ]やM社PCからのアクセスは許可する必要がある。」
ここで “[ c ] から保険サーバへのアクセスは禁止” とあるため、[ c ] は“今まで直接アクセスしていた端末”を指します。 - 案2のリモートアクセス手順は以下のとおりです。
――「Z社の保守作業におけるリモートアクセス手順は、リモートデスクトップ接続を行い中継サーバに一旦ログインして、さらにリモートアクセスを行い、各保険サーバにログインするように変更する。」
つまり、Z社の担当者は“直接保険サーバへは行かず、中継サーバ経由”となります。 - したがって「直接アクセスを禁止される端末」は “Z社の担当者が持つ端末” であり、図1中の名称は「Z社PC」です。
- 一方 “[ d ] や M社PC からのアクセスは許可” と書かれている “[ d ]” は、案2で新たに導入して“許可ルート”となる機器、すなわち「中継サーバ」です。
- よって
・[ c ] = 「Z社PC」
・[ d ] = 「中継サーバ」
になります。
誤りやすいポイント
- 「M社PC」もアクセス許可対象に含まれるため、“禁止側”の[ c ] を誤って「M社PC」と書いてしまう。
- 中継サーバは案2で新設される機器なので、図1を見ただけでは名称が浮かばず[ d ]を他の装置(例:FW3)と混同しやすい。
- “許可/禁止”の主語が「保険サーバ」側なのか「クライアント」側なのかを読み違え、正反対の答えを選択してしまう。
FAQ
Q: なぜ Z社PC からの直接アクセスを禁止する必要があるのですか?
A: 案2では「操作ログは中継サーバで取得する」と定義されています。Z社PCが直接保険サーバへ入るとログ取得経路を迂回できるため、証跡が欠落するおそれがあります。
A: 案2では「操作ログは中継サーバで取得する」と定義されています。Z社PCが直接保険サーバへ入るとログ取得経路を迂回できるため、証跡が欠落するおそれがあります。
Q: 中継サーバの障害時は保守作業ができなくなりませんか?
A: 代替経路を用意するか、中継サーバを冗長構成にすることで可用性を確保します。ログ取得とセキュリティを両立させるための一般的な設計方針です。
A: 代替経路を用意するか、中継サーバを冗長構成にすることで可用性を確保します。ログ取得とセキュリティを両立させるための一般的な設計方針です。
Q: M社PC は引き続き保険サーバへ直接アクセスできるのですか?
A: 原文に「M社PCからのアクセスは許可」と明記されています。M社内部の運用担当者は中継サーバ経由に変更せずとも、既存手順でアクセスできます。
A: 原文に「M社PCからのアクセスは許可」と明記されています。M社内部の運用担当者は中継サーバ経由に変更せずとも、既存手順でアクセスできます。
関連キーワード: リモートアクセス制御, エージェント方式, ジャンプサーバ, ログ監査, ファイアウォール
設問3:操作ログのセキュリティについて,(1)〜(3)に答えよ。
(1)本文中の下線③のある操作とは,どのような操作か。30字以内で述べよ。
模範解答
保険サーバに一時保管された操作ログを削除する操作
解説
解答の論理構成
-
事故想定
原文では、案1に関して「ログサーバがダウンしている場合、及び『②作業担当者が保険サーバのネットワーク設定を不正に変更して操作ログの転送を妨害した場合』」とあります。つまりログサーバへ転送できない事態が想定されています。 -
ログの一時保管
表1には「何らかの理由でログサーバに転送できない場合は、暗号化して、保険サーバ又は中継サーバのローカルディスクに一時保管し、定期的にログサーバへの転送をリトライする」と記載されています。 -
要件が満たされなくなる条件
L主任は「③その後、作業担当者がある操作を実行すると、その前後のファイル操作について要件1及び要件2が満たされなくなる」と指摘しています。要件1は「操作ログを記録できること」、要件2は「検知ルールに一致したときに通知できること」です。
一時保管されたログが消えると、 ・ログそのものが存在しないため「記録できること」が失われる
・検知対象となるログが無くなるため「通知できること」も失われる
という形で両要件を同時に満たせなくなります。 -
考え得る利用者操作
ネットワーク遮断後に要件を失わせる最短の方法は「保険サーバに一時保管された操作ログを削除する」ことです。エージェント停止も候補ですが、表1には「PP1、エージェントモジュール、PP2を停止させた場合、停止操作の操作ログがログサーバに転送された後に停止動作が実行される」とあり、停止自体はログに残ります。したがって要件を同時に破壊する操作は削除行為となります。 -
以上より、下線③の操作は
「保険サーバに一時保管された操作ログを削除する操作」
であると導けます。
誤りやすいポイント
- 「エージェントモジュール停止」と混同する
停止はログ転送後に実行されるため、証跡は残ります。 - 「ネットワーク設定変更」だけで③まで満たすと誤解する
これは②で既に行われた前提操作であり、③はその後に追加で行う操作です。 - 「ログサーバ側のデータ改ざん」を想像する
ログサーバ上のログには「④メッセージダイジェスト」が適用され改ざん耐性があります。
FAQ
Q: エージェント停止でも要件1・2は満たされなくなるのでは?
A: 表1の仕様により「停止操作の操作ログがログサーバに転送された後に停止動作が実行」されるため、証跡は残ります。削除操作の方が証跡を完全に消し去る点で要件を破壊します。
A: 表1の仕様により「停止操作の操作ログがログサーバに転送された後に停止動作が実行」されるため、証跡は残ります。削除操作の方が証跡を完全に消し去る点で要件を破壊します。
Q: ログ削除を防ぐ方法はありますか?
A: ローカル保管領域のアクセス権を限定し、特権IDでも消去できないようWORMストレージ等を使用する、あるいはネットワーク二重化でローカル保管に依存しない設計にする方法があります。
A: ローカル保管領域のアクセス権を限定し、特権IDでも消去できないようWORMストレージ等を使用する、あるいはネットワーク二重化でローカル保管に依存しない設計にする方法があります。
Q: 案2では同じ問題は起こりませんか?
A: 案2は中継サーバでログを取得し、保険サーバ上にログを残さないため利用者が直接削除できません。さらに利用者ID単位でアクセス制御できるため証跡の完全性は高まります。
A: 案2は中継サーバでログを取得し、保険サーバ上にログを残さないため利用者が直接削除できません。さらに利用者ID単位でアクセス制御できるため証跡の完全性は高まります。
関連キーワード: ログ管理, 証跡保全, アクセス制御, メッセージダイジェスト, WORMストレージ
設問3:操作ログのセキュリティについて,(1)〜(3)に答えよ。
(2)案1について,本文中の下線②のような操作ログの転送を妨害した上で行う方法以外に,Z社の作業担当者が保険サーバで,どのような操作を行うことによって,要件1の実現を妨害できるか。25字以内で述べよ。
模範解答
エージェントモジュールを停止させる操作
解説
解答の論理構成
- 要件1は「保険サーバでZ社の作業担当者が行うファイル操作を、ログサーバに記録できること」と定義されています。
- 【表1】案1の仕様には、
・「操作ログを取得する各保険サーバにPP1のエージェントモジュールをインストールする。」
・「エージェントモジュールが取得するログ項目は…」
とあり、ログ取得はエージェントモジュールに全面的に依存しています。 - 同じく【表1】には、
「『PP1(メインモジュールとエージェントモジュール)の起動と停止には、インストールされているサーバの特権IDが必要である。』」
と明記されています。Z社作業担当者は特権IDを「通知」される運用なので、エージェントモジュールの停止操作も実行可能です。 - エージェントモジュールが停止すれば、そもそもログ採取自体が行われず、要件1は成立しません。
- したがって、ネットワーク設定を変更してログを転送させない以外に、作業担当者が「エージェントモジュールを停止させる操作」を行うことでも要件1の実現を妨害できます。
誤りやすいポイント
- 「PP1 の起動・停止には特権IDが必要=安全」と早合点し、特権IDを委託先が扱える前提を見落とす。
- エージェントモジュール停止後も、後で再起動すればログが復旧すると誤解する(停止中の操作は永久に欠落)。
- ログサーバ側だけを守れば十分と考え、保険サーバ内の取得プロセスを無防備にする。
FAQ
Q: エージェントモジュールを停止させても停止操作自体のログは残りませんか?
A: 【表1】に「停止操作の操作ログがログサーバに転送された後に停止動作が実行される」とあります。しかし転送経路を遮断した上で停止すれば、そのログも届きません。
A: 【表1】に「停止操作の操作ログがログサーバに転送された後に停止動作が実行される」とあります。しかし転送経路を遮断した上で停止すれば、そのログも届きません。
Q: エージェントモジュールをサービス自動再起動に設定すれば防げますか?
A: 再起動設定は有効ですが、特権IDを持つ作業者が設定自体を変更・無効化する恐れがあるため、追加の保護策が必要です。
A: 再起動設定は有効ですが、特権IDを持つ作業者が設定自体を変更・無効化する恐れがあるため、追加の保護策が必要です。
Q: 案2でも同様の停止リスクはありますか?
A: 案2ではログ取得主体が「中継サーバ」であり、保険サーバ上のモジュール停止だけで証跡が消える構造ではありません。ログ取得点をサーバ外に置くことでリスクを低減しています。
A: 案2ではログ取得主体が「中継サーバ」であり、保険サーバ上のモジュール停止だけで証跡が消える構造ではありません。ログ取得点をサーバ外に置くことでリスクを低減しています。
関連キーワード: 特権ID, ログ取得, エージェント, 停止操作, 証跡管理
設問3:操作ログのセキュリティについて,(1)〜(3)に答えよ。
(3)上記(2)の操作をM社が検知するための、案1の機能を用いた有効な手段を35字以内で述べよ。
模範解答
エージェントモジュールを停止させる操作を検知ルールに設定する。
解説
解答の論理構成
- 本問は「②作業担当者が保険サーバのネットワーク設定を不正に変更して操作ログの転送を妨害した場合」においても不正操作を検知する方法を問うています。
- 表1の案1では「エージェントモジュールが取得するログ項目は…(c) アプリケーションの起動と終了(エージェントモジュールの起動と停止も含む)」と明記されており、エージェントモジュール自身の停止操作までログ対象であることが読み取れます。
- さらに「PP1、エージェントモジュール、PP2を停止させた場合、停止操作の操作ログがログサーバに転送された後に停止動作が実行される。」とあるため、停止ログは確実にログサーバへ到達します。
- よって、転送妨害を行う前段階として不可欠な「エージェントモジュール停止」を検知ルールに登録しておけば、管理者は転送妨害行為を即時に把握できます。
- 以上から、案1の機能を使った有効策は「エージェントモジュールを停止させる操作を検知ルールに設定する」と導かれます。
誤りやすいポイント
- ネットワーク設定変更そのものを検知しようとしてしまう
→ 案1のログ取得対象にネットワーク設定変更は含まれていません。 - ログサーバの死活監視を答えてしまう
→ ②は作業者側の妨害行為が焦点であり、ログサーバ障害は別条件です。 - 検知ルールを「コマンド単位」で設定すると記述
→ 停止操作はアプリケーション終了イベントとして捕捉されるため、コマンド名より「エージェントモジュール停止」を明示する方が適切です。
FAQ
Q: エージェントモジュールが強制終了された場合もログは残りますか?
A: 「停止操作の操作ログがログサーバに転送された後に停止動作が実行される」とあるため、通常の停止手順であれば必ず残ります。強制終了など想定外の手段は別途OSログ監査で補完する必要があります。
A: 「停止操作の操作ログがログサーバに転送された後に停止動作が実行される」とあるため、通常の停止手順であれば必ず残ります。強制終了など想定外の手段は別途OSログ監査で補完する必要があります。
Q: 検知ルールを設定すると性能へ影響しませんか?
A: 要件3「保険サービスの可用性に影響を与えないこと」があるため、PP1はルール追加による顕著な性能劣化がない設計になっています。
A: 要件3「保険サービスの可用性に影響を与えないこと」があるため、PP1はルール追加による顕著な性能劣化がない設計になっています。
Q: なぜ案2では同じ対策をとらないのですか?
A: 案2は中継サーバでログ取得を行い、エージェントモジュール停止という概念が存在しません。中継サーバ自体のサービス停止を監視する別手段が必要になります。
A: 案2は中継サーバでログ取得を行い、エージェントモジュール停止という概念が存在しません。中継サーバ自体のサービス停止を監視する別手段が必要になります。
関連キーワード: 操作ログ監査, アプリケーション停止検知, 監査証跡, ログ改ざん防止, 検知ルール設定
設問4:M社のセキュリティについて,(1),(2)に答えよ。
(1)本文中の下線①の対策方針を実現することによって,Z社の作業担当者の機密ファイル操作違反を検知することができる。さらに機密ファイル操作違反を抑止することを効果的に行うためには,M社は何を実施すべきか。40字以内で述べよ。
模範解答
Z社の保守チームに、操作ログを取得し、監視していることを伝える。
解説
解答の論理構成
-
下線部①では、 「L主任は『Z社の作業担当者の保守作業の作業証跡を取得し、作業内容とは無関係な機密ファイルの操作(以下、機密ファイル操作違反という)を検知する仕組みを備える』」
と明記されています。
つまり〈取得〉と〈検知〉で「不正操作を把握できる」ことが前提です。 -
しかし“検知”だけでは、違反を未然に防ぐ抑止(ディター)効果が弱いままです。抑止を高める一般的なセキュリティ対策は、 • 「操作が記録されている」
• 「その記録を責任部門が監視している」
ことを関係者に周知し、違反行為の心理的ハードルを上げることです。 -
本問は「機密ファイル操作違反を抑止することを効果的に行う」追加施策を問うているため、検知機構の存在をZ社の作業者へ通知するという答えに帰結します。
-
そこで解答は
「Z社の保守チームに、操作ログを取得し、監視していることを伝える。」
となります。ログ取得と監視の事実を伝達することで、行動抑制の効果が発揮されるためです。
誤りやすいポイント
- 「アクセス権を厳格化する」「特権IDを細分化する」など技術的制限だけに目を向け、抑止という心理的側面を見落とす。
- 「Z社への罰則規定を追加する」など契約面に寄せ過ぎ、設問が求める“効果的な抑止策”の即時性と実務性を外す。
- 「ログを定期的にレビューする」と回答し、“Z社に知らせる”要件を欠落させる。
FAQ
Q: 検知機構を知らせると逆に回避されませんか?
A: 回避を完全に防ぐことは困難ですが、記録と監視を明言することで多くの不正は心理的に抑止できます。また、技術的検知と組み合わせることで抑止と検出の両面を担保できます。
A: 回避を完全に防ぐことは困難ですが、記録と監視を明言することで多くの不正は心理的に抑止できます。また、技術的検知と組み合わせることで抑止と検出の両面を担保できます。
Q: 具体的にはどのように伝えるのが望ましいですか?
A: 契約書・就業規則への明記、保守作業開始前の説明会、ログ取得開始の告知メールなど複数チャネルで周知すると効果的です。
A: 契約書・就業規則への明記、保守作業開始前の説明会、ログ取得開始の告知メールなど複数チャネルで周知すると効果的です。
Q: 周知しないと法的問題になりますか?
A: 個人情報保護や不正アクセス禁止法に抵触しない範囲で監視を行うためには、目的・範囲を事前に通知し同意を得ることが望ましいとされています。
A: 個人情報保護や不正アクセス禁止法に抵触しない範囲で監視を行うためには、目的・範囲を事前に通知し同意を得ることが望ましいとされています。
関連キーワード: 操作ログ, 抑止効果, 周知, 特権ID, 証跡管理
設問4:M社のセキュリティについて,(1),(2)に答えよ。
(2)案2について,作業計画書に記載された作業担当者だけが特権IDを利用できるようにするために作業計画ごとに設定する制御を,60字以内で述べよ。
模範解答
作業計画書に記載された作業担当者と一致する利用者IDにだけ、中継サーバから保険サーバへのアクセスを許可する。
解説
解答の論理構成
- 【問題文】には案2の特徴として
「中継サーバの利用者IDごとに、保険サーバへのリモートアクセスの許可と拒否の制御ができる。」
と記載されています。 - 同じく案2の評価箇所で
「中継サーバの利用者IDをZ社の保守チームの担当者ごとに作成するので、保守作業を作業計画書に記載された作業担当者だけに限定するという、より安全な仕組みが実現できる」
と述べられています。 - したがって、作業計画書が承認されたタイミングで
・対象となる保守担当者の利用者IDを中継サーバ側で有効化
・その他の利用者IDでは当該保険サーバへの経路を拒否
というアクセス制御を都度設定すれば、特権IDを実質的に該当者だけに限定できます。 - 以上から導かれる具体的な制御内容は「作業計画書の担当者の利用者IDに対してのみ中継サーバ経由で保険サーバへのアクセスを許可する」と整理できます。
誤りやすいポイント
- 特権ID自体に個人名を付け直すと思い込む。実際は「中継サーバの利用者ID」で特権ID利用を間接的に絞り込む方式です。
- アクセス許可/拒否の設定先を保険サーバと誤解し、保守のたびに20台すべてを個別設定すると考えるケース。制御は「中継サーバ」で一元化できます。
- 作業計画書の承認前にIDを有効化したり、作業終了後に無効化を忘れる運用漏れ。試験では「計画ごとに設定する制御」が求められています。
FAQ
Q: 特権IDのパスワードは毎回変更する必要がありますか?
A: 本問はパスワード運用ではなく「中継サーバのアクセス可否」で担当者を限定する方式なので、必須要件ではありません。
A: 本問はパスワード運用ではなく「中継サーバのアクセス可否」で担当者を限定する方式なので、必須要件ではありません。
Q: 保守作業が緊急の場合、アクセス許可設定は間に合いますか?
A: 中継サーバ側で利用者IDをワンクリックで許可状態にできる運用設計を行えば、緊急対応でも遅延は最小化できます。
A: 中継サーバ側で利用者IDをワンクリックで許可状態にできる運用設計を行えば、緊急対応でも遅延は最小化できます。
Q: ログ取得とアクセス制御は別の設定ですか?
A: いいえ。案2の「PP2」は中継サーバで操作ログ取得とアクセス許可/拒否制御の両方を担います。
A: いいえ。案2の「PP2」は中継サーバで操作ログ取得とアクセス許可/拒否制御の両方を担います。
関連キーワード: アクセス制御, 特権ID管理, リモートアクセス, 証跡管理