応用情報技術者の過去問・解答解説平成24年春・午後問9 （セキュリティインシデントへの対応）

応用情報・平成２４年春・午後問９の問題および解答解説。

設問１

設問２

設問３

設問４

全体の考え方

この問題に類似した例題

勉強用の資料

この問題の，正式な問題と公式の解答：

設問１

設問１：どういう字句が入るか？

（a）インシデント発生時の状況を把握するために，サーバの稼働状況に関する（　）をコピー。

（b）ファイアウォールとＩＤＳのログを解析する際に，ログが（　）されていないか注意

（c）ＩＤＳではアノマリー検知における（　）がありうる

（d）サーバが（　）に利用されたおそれが低いので，ネット上の他サイトには連絡せず

↓

それぞれ，ログ，改ざん，誤検知，踏み台。

間違えようのないほど簡単すぎる問題だが，用語の意味を知っておこう。

まず，IDSとIPSについて。

CPUのクロック数を計測する時に「MIPS」（Million Instructions Per Second）という単位を使うが，IPSとは関係ない。

また，生物学・医学で有名なIPS細胞とも違う。

セキュリティにおけるIPSとは「不正侵入予防システム」，IDSは「不正侵入検知システム」のこと。

ファイアウォールは，単なるパケットフィルタリングを使ったネットワーク上の通信制限。公開しているサービス以外のパケットをカットする。

IDSは，侵入を検知する。

IPSは，侵入から守る。

WAF（Web Application Firewall）は，アプリケーションのコンテンツのレベルで, 不正な侵入行為を検知して防御する。レイヤが高い。

これらの違いを記憶しておこう。

IDSには，設置方法で分けるとネットワーク型とホスト型がある。

経路を見るか，サーバを見るかの監視対象の違いだ。

また，検知の手段で分けるとやはり２通りあり，シグネチャ型とアノマリー型がある。

登録済みのパケットのパターンとマッチングするのがシグネチャ型で，

いっぽう学習機能としきい値設定により異常を検知するのがアノマリー型。

シグネチャとは，攻撃パターンのこと。

今回の問では，IDSはアノマリー型の検知機能を利用しており，

完璧なしきい値は作れないので誤検知が発生してしまうのは不可避，という内容になっている。

設問２

設問２：インシデント発生時の連絡体制の整備について，インシデントの内容や発生場所に応じて（　　）し、連絡先とともに文書化する。

↓

「連絡を通知する要員をあらかじめ選定し」。

問題文中では，誰に連絡したらよいのか決まっておらず

担当者が誰なのかわからない状況で，要員の選定に手間取った。

なので，この作業をあらかじめ終わらせておけばよいのだ。

ITILのインシデント管理でも出てくるけど，一次対応はとにかくスピード命。

前もって行動パターンをよく決めておく必要がある。

この設問は正答率が低かったらしいが，ITILを知っていることが武器になる。

設問３

設問３：インシデント対応の際に勝手にネットワークセグメントを切断してしまった件についての改善。インシデント対応手順の実施の際には，インシデント範囲を拡大させないように，業務を停止させず記録も消さないという二次的影響に配慮した実施が必要だ。さらに必要なことは？

↓

「実施により影響を受ける部署への事前連絡」。

問題文中の該当する箇所は「特段の連絡をせず」という改善すべき点があるので，それを改めればよい。

設問４

設問４：ログの解析時に，ログの前後関係がはっきりせず解析に手間取った。対処策は？

↓

NTPサーバ導入による各機器の時刻の同期。

ログ解析ツールを導入しても，時刻がばらばらでは解析のしようがない。

もっとも効果があるのは，ログの前後関係をはっきりさせること，つまり時刻を正確に，精密に保持することだ。

問題文をよく読めば正答できる。

なお，SNMPは機器の障害をクライアントからサーバに通知するための仕組みであり，構成管理に役立つ。

障害を通知する（トラップする）だけでは，セキュリティ上の問題の中身を解析することはできない。

時刻がそろっていないと，SNMPトラップの内容すらも時刻情報が不正確になってしまう。

なのでSNMPはここでは不適格となる。

全体の考え方

インシデント対応をよりよく改善するにはどうしたらよいか，という発想法を持っていれば回答できる。

セキュリティを勉強していると，インシデントを前もって未然に防ぐことばかりを考えがちだ。

それだけでは，「万が一」が実際に発生した時に弱い。

万が一が発生した時の対応フローをブラッシュアップしてゆくにはどうしたらよいか，を念頭に置こう。

この問題に類似した例題

IDSにまつわる関連問題：

問73 IDSの特徴平成18年春期｜応用情報技術者試験.com
http://www.ap-siken.com/kakomon/18_haru/q73.html

必ず受かる情報処理技術者試験-平成21年度秋季-情報セキュリティスペシャリスト-問題・解答6
http://kanauka.com/kakomon/sc/h21a/006.html

なぜファイアウォールではだめで、IPSが必要なのか : 情報セキュリティスペシャリスト - SE娘の剣 -
http://sc.seeeko.com/archives/3825500.html

H23AP秋

問80 情報漏えいを防止するための対策平成25年春期｜ITパスポート試験.com
http://www.itpassportsiken.com/kakomon/25_haru/q80.html

問40 RADIUS 平成21年秋期｜基本情報技術者試験.com
http://www.fe-siken.com/kakomon/21_aki/q40.html

システム監査平成9年問64：情報セキュリティアドミニストレータ試験対策
http://www.sstokkun.net/archives/2005/06/auh964.html

SNMPにまつわる類似問題：

問39 SNMP 平成23年特別｜応用情報技術者試験.com
http://www.ap-siken.com/kakomon/23_toku/q39.html

問52 SNMPと同じ階層に属するもの平成18年秋期｜応用情報技術者試験.com
http://www.ap-siken.com/kakomon/18_aki/q52.html

問35 監視用サーバの検査項目平成24年春期｜応用情報技術者試験.com
http://www.ap-siken.com/kakomon/24_haru/q35.html

勉強用の資料

IDSについて：

「6.IDSとUTM」のintroduction : 情報セキュリティスペシャリスト - SE娘の剣 -
http://sc.seeeko.com/archives/4209156.html

社外からの不正アクセスが無いかを常時監視するのがIDS

IDSの種類（NIDSとHIDS） : 情報セキュリティスペシャリスト - SE娘の剣 -
http://sc.seeeko.com/archives/4559455.html

IDSにはネットワーク型とホスト型がある

９．セキュリティ - kashmir / 応用情報技術者試験　受験ノート
http://d.hatena.ne.jp/kashmir-ap/20100204/1265255501

ＩＤＳ（侵入検知システム）：アノマリー型: 通常状態を学習し、逸脱すると通知. 未知の攻撃に対応できるが, 誤検知多め

アノマリーとは，異常のこと。アノマリー検知は異常検知。

アノマリ（anomaly） | iseeit.jp 情報通信技術
http://www.iseeit.jp/ict/2009/08/anomaly.php

RFC に準拠していない通信の検知、通常よりあきらかに多いトラフィックの検知、通常は使用しないポートへの接続の検知など

異常検知 - Wikipedia
http://ja.wikipedia.org/wiki/%E7%95%B0%E5%B8%B8%E6%A4%9C%E7%9F%A5

（データマイニングにおいて）期待されるパターンまたはデータセット中の他のアイテムと一致しないアイテム、イベント、または観測を識別すること

アノーマリ検出【Anomaly Detection】の意味 - 情報セキュリティ用語辞書 - goo辞書
http://dictionary.goo.ne.jp/leaf/infsec/%E3%82%A2%E3%83%8E%E3%83%BC%E3%83%9E%E3%83%AA%E6%A4%9C%E5%87%BA%E3%80%90Anomaly+Detection%E3%80%91/m0u/

異常（正常からのずれ）

アノマリーってなに？
http://1kabu.net/25/205/002399.php

株では，理論からは外れていて説明できないものの，よく当たる経験則のことをアノマリー

重力異常 - Wikipedia
http://ja.wikipedia.org/wiki/%E9%87%8D%E5%8A%9B%E7%95%B0%E5%B8%B8

（物理学において）モデルから予測される値との差

FW/IDS/IPS/WAFの違いについて：

情報セキュリティ入門 - IDSとIPS：ITpro
http://itpro.nikkeibp.co.jp/article/COLUMN/20060830/246798/

IDSの設置方法により，ネットワーク型とホスト型という分け方がある

不正侵入や攻撃を見つける手法によってIDSを分類することもできます。

多くのIDSが採用している発見方法が，シグニチャ型と呼ばれるものです。これは，不正侵入・攻撃パケットを見つける際の手がかりにシグニチャあるいはシグネチャと呼ばれるルール・パターンを使う方法です。IDSはシグニチャと一致したパケットを見つけると，不正侵入（攻撃）あるいは攻撃の予兆とみなします。　

もう一つの発見方法はアノマリ型（異常検出型）

今さら聞けない「ロードバランサの基本」 (4) WAF再発見：「IDSとの違い」と「リスト型アカウントハッキング対策」 | マイナビニュース
http://news.mynavi.jp/series/load_balancer/004/

IDS/IPSでWebアプリケーションのセキュリティ対策ができると誤解されていることがあるので注意

IDS/IPS、WAFともにシグネチャマッチング技術を使って不正アクセスを検知・防御する

しかしWAFはIDS/IPSとはまったく異なる技術。Webアプリに特化している

IDS/IPSは, ミドルウェアへの多様なプロトコルを用いた不正アクセスについて，シグネチャのパターンマッチングに基づき検知・防御する

WAFはIDS/IPSと同様にシグネチャのパターンマッチングに基づきながらも、Webアプリケーションに特化しており、「HTTPリクエスト/レスポンスが正常か」「ペイロードに不正なデータがないか」「本来流出しないはずのデータがレスポンスとして含まれていないか」までをチェックする

クラウド型WAF：WAF、IPS/IDS、F/Wとの違い｜シマンテック
http://www.symantec.com/ja/jp/page.jsp?id=waf-ips-ids

一般的なF/Wでは、「SQLインジェクション」や「クロスサイトスクリプティング」、「パラメータ改ざん」等は防げません。また、IPS/IDSにおいては難読化されている攻撃に対する検知精度は低いと言われています。

実際、WAFで検知したサイバー攻撃のうち、IDS/IPSはその半数以上を検知できなかった

IPSとWAF - 関口正人blog
http://blog.livedoor.jp/cestquigucci/archives/51336400.html

Web Applicaction Firewall (WAF)をご存じだろうか？ WAFは、Webアプリケーションの脅威を守るために作られたファイアウォール製品