目次
不正アクセス攻撃防止のセキュリティ対策
ネットワークやWebアプリケーションプログラムを攻撃対象とした不正アクセスに対するセキュリティ手段について応用情報技術者試験の過去問題を例に取り上げて解説します。
応用情報技術者試験 平成26年秋期 問1
(問題文の一部を抜粋)
X社は,中堅の機械部品メーカである。X社では,部品製造に関わる特許情報や顧客情報を取り扱うので,社内のネットワークセキュリティを強化している。社内のネットワークの内部セグメントには,内部メールサーバ,内部Webサーバ,ファイルサーバなど社内業務を支援する各種サーバが配置されている。また,DMZには,インターネット向けのメール転送サーバ,DNSサーバ,Webサーバ,プロキシサーバが配置されている。Webサーバでは,製品情報や特定顧客向けの部品情報の検索システムを社外に提供しており,内部Webサーバやファイルサーバでは,特許情報や顧客情報の検索システムを社内に提供している。X社のネットワーク構成を図1に示す。
先日,同業他社の社外向けWebサイトが外部からの攻撃を受けるというセキュリティインシデントが発生したことを聞いた情報システム部のY部長は,特にFWに関するネットワークセキュリティの強化を検討するように部下のZさんに指示した。
X社の社内ネットワークのセキュリティ要件を図2に示す。
Zさんは,①FWによるIPアドレスやポート番号を用いたパケットフィルタリングだけでは外部からの攻撃を十分に防くことができないと考えた。そこで,より高度なセキュリティ製品の追加導入を検討するために,IDS,IPSやWAFの基本的な機能について調査した。調査の結果,IDSは,X社の外部からの【空欄 a】ことができ,IPSは,X社の外部からの【空欄 b】ことができ,一方,WAFは,【空欄 c】ことができるということが分かった。
この結果から,Zさんは,次の二つの案を考えた。
案1: 社内ネットワークのルータとFWの間にネットワーク型のIPSを導入する。
案2: セキュリティ強化の対象とするサーバにWAFを導入する。今回,【空欄 d】を目的とする場合には案1を,【空欄 e】を目的とする場合には案2を選択することがそれぞれ有効であると分かった。
設問1
本文中の下線①において,FWでは防げない攻撃を解答群の中から全て選び,記号で答えよ。
解答群
ア: DNSサーバを狙った,外部からの不正アクセス攻撃
イ: WebサーバのWebアプリケーションプログラムの脆弱性を悪用した攻撃
ウ: 内部Webサーバを狙った,外部からの不正アクセス攻撃
エ: ファイルサーバを狙った,外部からの不正アクセス攻撃
オ: プロキシサーバを狙った,外部からのポートスキャンを悪用した攻撃
設問1 解答・解説
設問に書かれている問題文の「下線①」を確認すると、
①FWによるIPアドレスやポート番号を用いたパケットフィルタリングだけでは外部からの攻撃を十分に防くことができない
と記載があります。
ここでは解答群に記載されているサーバ名、
(ア)DNSサーバ
(イ)Webサーバ
(ウ)内部Webサーバ
(エ)ファイルサーバ
(オ)プロキシサーバ
の中から下線①の記述のとおり、FW(ファイアウォール)によるIPアドレスとポート番号の制御を適用できないものを解答として選択すればよいことになります。
(図1再掲)
問題文中図1のネットワーク構成図から解答群の各サーバの配置を確認すると、DMZに配置されるものと内部セグメントに配置されるものに分けることができます。
DMZに配置
(ア)DNSサーバ
(イ)Webサーバ
(オ)プロキシサーバ
内部セグメントに配置
(ウ)内部Webサーバ
(エ)ファイルサーバ
また、問題文中の以下
社内のネットワークの内部セグメントには,内部メールサーバ,内部Webサーバ,ファイルサーバなど社内業務を支援する各種サーバが配置されている。また,DMZには,インターネット向けのメール転送サーバ,DNSサーバ,Webサーバ,プロキシサーバが配置されている。
こちらより、内部セグメントの各種サーバは社内業務での利用のみでインターネットの外から利用できるサービスを提供しておらず、FWによってインターネットからのアクセスを拒否することができるため、これに該当する選択肢ウ、エは正解から除外することができます。
残った前者の、DMZに配置した各サーバに該当する選択肢ですが、これらの各サーバは上記の記述にあるとおり、インターネット向けのサービスを提供する役割を持つため、FWではインターネットからの宛先である各サービスを提供するサーバのIPアドレス、ポート番号に対してはアクセスを許可する必要があります。
そのため、アクセス許可された宛先IPアドレス、ポート番号に則った不正なアクセスがFWで完全に防ぐことができないものということになります。
残りの選択肢より、
(ア)DNSサーバ
DNSへのリクエストをFWで拒否すると、本来の役割であるIPアドレスとドメインの名前解決もできなくなりますので、こちらの不正アクセス攻撃はFWでは防げないものとなります。
(イ)Webサーバ
「Webアプリケーションプログラムの脆弱性を悪用した攻撃」に該当するSQLインジェクションやクロスサイトスクリプティング等は通常のWebサイト閲覧と同様、正規のHTTPリクエストを通じて仕掛けられるため、これらの攻撃もFWでは防ぐことができません。
(オ)プロキシサーバ
「外部からのポートスキャンを悪用した攻撃」とありますが、こちらはFWの機能でサービスと一致しない宛先ポート番号は拒否することが可能となります。
また、問題文中図2のセキュリティ要件にも
「社内のPCから社外 Webサイトへの HTTP通信(HTTPS を含む。 以下同じ)は, プロキシサーバ経由で行うこと。」
とあるように、送信元が社内のHTTP(S)通信に限り許可ができるため、ポートスキャンの他、不正なリクエストをFWで防ぐことができるものとなります。
設問1の解答はア, イということになります。
設問2
本文中の【空欄 a~c】に入れる最も適切な字句を解答群の中から選び,記号で答えよ。
解答群
ア: IPパケットの中身を暗号化して盗聴や改ざんを防止する
イ: IPパケットの中身を調べて不正な挙動を検出し遮断する
ウ: IPパケットの中身を調べて不正な挙動を検出する
エ: Webアプリケーションプログラムとのやり取りに特化した監視や防御をする
オ: Webアプリケーションプログラムとのやり取りを暗号化して盗聴や改ざんを防止する
カ: 電子メールに対してウイルスチェックを行う
設問2 解答・解説
(問題文中の記述)
そこで,より高度なセキュリティ製品の追加導入を検討するために,IDS,IPSやWAFの基本的な機能について調査した。調査の結果,IDSは,X社の外部からの【空欄 a】ことができ,IPSは,X社の外部からの【空欄 b】ことができ,一方,WAFは,【空欄 c】ことができるということが分かった。
空欄の各箇所、セキュリティ強化のために導入するソフトウェアに対して、それぞれの目的に合致するものを解答群の中から適切なものを選択する。
IDS (Intrusion Detection System)
【空欄 a】 の IDS (Intrusion Detection System) は侵入検知システムのことですので、
ウの選択肢 「IPパケットの中身を調べて不正な挙動を検出する」が該当します。
IPS (Intrusion Prevention System)
【空欄 b】 の IPS (Intrusion Prevention System) はIDSと異なり、ウィルス等の検出だけでなく、防御(遮断)も行うため、
こちらはイの選択肢 「IPパケットの中身を調べて不正な挙動を検出し遮断する」が該当します。
(Prevention は 防止 という意味)
WAF (Web Application Firewall)
【空欄 c】の WAF (Web Application Firewall) ですが名称からもわかるとおり、SQLインジェクションやクロスサイトスクリプティング等のWebアプリケーションの脆弱性を狙った不正アクセスを防ぐための仕組みですので、エの選択肢 「Webアプリケーションプログラムとのやり取りに特化した監視や防御をする」が該当します。
設問2の解答は 【空欄 a】ウ, 【空欄 b】イ, 【空欄 c】エ となります。
設問3
本文中の【空欄 d~e】に入れる最も適切な字句を解答群の中から選び,記号で答えよ。
解答群
ア: PCに対するウイルス感染チェック
イ: WebサーバのWebアプリケーションプログラムの脆弱性を悪用した攻撃の検出や防御
ウ: 外部からの不正アクセス攻撃の検出や防御をX社の社内ネットワーク全体に対して行うこと
エ: 内部からの不正アクセス攻撃の検出や防御をX社の社内ネットワーク全体に対して行うこと
オ: 内部メールサーバに対する不正アクセス攻撃の検出や防御
設問3 解答・解説
(問題文中の記述)
案1: 社内ネットワークのルータとFWの間にネットワーク型のIPSを導入する。
案2: セキュリティ強化の対象とするサーバにWAFを導入する。今回,【空欄 d】を目的とする場合には案1を,【空欄 e】を目的とする場合には案2を選択することがそれぞれ有効であると分かった。
案1, 案2それぞれの目的に合致するものを解答群の中から選択します。
案1は、問題文より、IPSを導入する位置 「社内ネットワークのルータとFWの間」 を問題文中のネットワーク校正図から確認すると、
FWの手前ですので、外部からの社内ネットワーク宛のパケットが全て通る位置であることがわかります。
この位置をIPSで侵入検知する目的を考えると、選択肢 ウの「外部からの不正アクセス攻撃の検出や防御をX社の社内ネットワーク全体に対して行うこと」が適切です。
案2のWAFは前の設問2で解説したとおり、Webアプリケーションの脆弱性を防ぐために導入するものですので、選択肢 イの「WebサーバのWebアプリケーションプログラムの脆弱性を悪用した攻撃の検出や防御」となります。
設問3の解答は 【空欄 d】ウ, 【空欄 e】イとなります。