勉強会の動画を編集して、YouTubeにアップロードすることにしました。よろしければ「チャンネルの登録」をお願いしたいです。動画数も増やして、登録ユーザも増えてほしいなと思っています。今年は、基本情報処理、応用情報処理、ネットワークスペシャリスト、情報セキュリティスペシャリスト、ITパスポートあたりをアップしていこうと思います。

YouTubeチャンネルのリンク

情報処理技術者の勉強部屋 (YouTubeチャンネルのページ)

チャンネル登録 (チャンネル登録へのリンク)

社内からインターネットにアクセスする時に、プロキシサーバを利用していて、そこでウィルスチェックとかログの取得をすることで、社外への情報流出を出来ないようにしようとしているが、httpsの通信の場合は暗号化されてるから、従業員が本気だせばファイルとか社外におくれちゃってヤバいから対策しとこうぜって話。

>> 続きを読む

, , ,

概要

社内のソフトウェアライセンスを管理しようという話。管理をすることで、ライセンスの不適切な利用を防いだり、余計なライセンスの購入を防ぐことができる。この問題では、ソフトウェア資産管理ツールを導入することで、ライセンス管理を効率よく行う際の課題を聞いている。後半では、導入したソフトウェア資産管理ツールがソフトウェアのセキュリティパッチが適用されているかを確認するツールとしても利用できると考える。

概要

R社は健康食品のECを運営している。データセンターのネットワーク図が登場。DBの前にFW2を設置している。気になる。図2の販売システムの概要の内容は普通。

脆弱性発見の情報

セキュリティ専門会社から、セッションIDが推測できる脆弱性の報告を受ける。下線部1登場。FWでセッションIDの偽造を判別できない理由を聞いている。おそらく、FWはパケットフィルタリング型なのでセッションIDまで見れないからと回答する。読み進めると、販売システムの注文受付を停止するという決断。さすがS主任。もし下線部1の理由が間違っていたら大変なことになると思った。

WAFによる対策の検討

セキュリティ会社のQ氏が提案する。下線部2登場。クッキーにセッションIDを保存するので、クッキーを暗号化するとセッションIDが推測されやすいという問題が解決される。楽勝。

下線部3登場。属性の効果を維持できると言っているので、セッションID以外の属性が暗号化されていないアとウを選択。
下線部4登場。クッキーの利用方法によっては問題が出る可能性があるとのこと。クッキーってユーザの認証にしか利用しなしのでは??ネットワーク図を再度確認するが、やはり分からない。

(a)の登場。(a)が十分に減少すればよい。これはフォールスネガティブ。フォールスネガティブは最悪と覚えてる。下線部5登場。シグネチャを無効化しても良い条件を聞いている。なんかすっきりしないが、シグネチャがどの脆弱性と対応しているかを確認し、無効化を検討すると回答した。

WAFの導入

下線部6登場。なぜSSLをWAFで終わらせるかと聞いている。これはかなりよく出るパターン。暗号化のされている経路ではフィルタリングできないから。楽勝!

概要

インターネットの応答が遅いとの苦情。そこで、J主任とK君の登場。

原因調査と対処

(a)登場。図1でDNSの問題につながるのは、名前解決をしている(r)しかない。楽勝。そして、パケット解析が始まる。ややこしいが、図3をしっかり確認。「DNSクエリを伴わないDNSクエリレスポンス」とあり、確かに図3の詳細のところにQuery responseがある。(b),(c)が登場し、読み進めると「不正なDNSクエリ」というところで、これはDNSキャッシュポイゾニングの攻撃を受けていると気づいた。なので、DNSキャッシュポイゾニングは内部からの問い合わせであると偽装しているので、(b)はアとなり(c)は偽装にしておいた。(d)はもちろん、アとなる。

(e)(f)と下線部1登場。DNSが踏み台にされる可能性に対応せよとの指示がでる。踏み台ってことは、外部からきて外部へ出て行くということで、図3をみると宛先が外部でレスポンス内容も外部だと割と証拠になると判断。なのでⅡとⅤを選択する。下線部1については、この場合コンテンツサーバとキャッシュサーバが同じサーバで機能しているので、外部からの再帰問い合わせを無効にすればよい。この辺りは、よくでる論点なので問題の意図が読みやすい。

異常PCの特定

下線部2登場。Ⅵに異常な通信があるとのこと。図3を見るとMXレコードを引いているのでメールに関係することが分かる。なので(g)迷惑メールを選択。また、何が異常か聞いている。おそらくメールを送信するときは、DMZ上のメールサーバがDNSに問い合わせをすると思われる。そう考えると、社内から外部に直接メールを送ろうとしているのは怪しい。

下線部3登場。Ⅶも怪しいとのこと。SYNが連続しているのでSYNフラッド攻撃が思い浮かんだ。そして該当するものを2つ選べとの指示。1つはコネクションの接続の低下で、もうひとつは、この場合図4をみると内部ネットワークからの接続なのでDNSへの問い合わせなしに直接攻撃していると思われる。

異常PCの対処と今後の対策

怪しい1台のPCを特定する。下線部4登場。不審な通信プロセスとは何かと聞いている。何やろ。何を答えさせたいか、いまいちピンとこない。ウィルスが行う通信って何やろ。監視している項目は、通信プロセス名、実行ファイル名、通信の宛先IPアドレスとポート番号なので、このなかから選べばよいのか??とりあえず、今までのパケット解析から得られた宛先IPアドレスとサービスポートの番号にマッチするプロセスを特定すべきという内容をかいておく。

下線部5登場。TCP/UDPが自動的に発信されるとのこと。DNSの問い合わせやDHCPとかはUDPだったような記憶もあるが、hostsファイルの改ざんでひらめいたことにつながらない。とりあえずhostsファイルはすべてローカルホストに向いてるが回答は思い浮かばない。ログインしていれば、自動的に出るTCP/UDPパケットって・・・思い浮かばない。

概要

雑貨やアイデア商品の企画・販売会社の話。従業員は100名。

情報漏えい事故の発生と対策の指示

E者の従業員がUSBを持ち帰って紛失するという事故が発生する。そこで、Y課長の登場。

業務情報の持ち出しに関する現状調査

ヒアリングの結果、業務情報を持ち出すケースは「顧客との打ち合わせ」か「自宅での資料作成」のパターンであることを突き詰める。そして「自宅での資料作成」についてはバッサリと禁止。さすがY課長。

Mにおける情報漏えい対策の検討

「顧客との打ち合わせに」についてのリスクの洗い出しをする。ここで(a)の登場。3文字以内で答えろとの指示。暗号化しか浮かばない。下線部2登場。日常業務に利用していると被害が拡大する理由を答えろ。わざわざ「日常業務で利用すると」と聞いている。日常業務で利用する場合としない場合の違いは、自社の情報や他の顧客情報を扱うこと以外に浮かばない。このての問題は専門的な内容ではないので逆に自信をもって回答できないので困る。

ここでZ君が2つの提案をする。1つはシンクライアントの利用でもう1つはWebサーバのディスク領域を利用する案。下線部3登場。Webサーバが不正アクセスされても、業務情報が漏えいするリスクを減らす方法はと聞かれている。ディスクやファイルの暗号化が思い浮かぶ。情報自体が漏えいしても復号できないと意味がない。

(b) (c) が登場。PCを利用しないので盗難、紛失やマルウェアに感染することもない。よって(b)は回避。不正開示のリスクは残るのでリスクを下げる必要がある。よって(c)は低減。

下線部4登場。間違って別の顧客のディスクにアップする可能性があるので、間違ってないか上司に確認してもらえばよい。そして案2に決定。

対策案の見直し

ところが、いきなり部長から在宅勤務も将来的にやるからといわれるY課長。よくある話だが、もっと先に言ってくれと思った。再度リスクの分析をする。下線部5登場。案2ではマルウェアの感染リスクに対応できないとのこと。案1と案2を確認すると専用端末か私有PCの利用の違いがあるので、会社からは私有PCまで管理することが保証できないからという感じで回答した。

概要

従業員40名のおもちゃの会員制オークションサイトのWebシステムの話。一瞬どんなおもちゃを売ってるのか気になった。とりあえずR社のシステム構成図を確認する。よく見るDMZのネットワーク。DMZのWebサーバが内部LANにあるDBサーバにアクセスしているので、FWのフィルタリングルールについての出題と予想する。

以下、何やらややこしいことが書いてあるので大事そうな部分に線を引く
・保守には、WebサーバにあるDB接続用クライアントツールを利用している。
・コンテンツはFTPでアップロードしている。
・RアプリはDB接続ツールとは異なるPerl用DB処理モジュールを利用している。
・会員データは暗号化されていない。
・メールアドレスを会員IDとして利用している。

ペネトレーションテストによる現状確認

侵入テストのこと。他社で会員情報の流出事件があったので、うちは大丈夫なのかと。K課長に丸投げで、K課長はW社に投げる。テスト結果をみると、怖いけどよくある話。V3についてはどんな脆弱性?と思った。

セキュリティの検討

移行はテスト結果について個別に検討。
V-2については、ログアウトできない現象。セッションを破棄できてないのが原因。

下線部1登場。FWのフィルタリングログを見たら解決。

鍵認証にすればより安全。

V7に関する問題。
下線部2登場。会員データを閲覧される可能性があるとのこと。暗号化にAESを利用している。暗号鍵はスクリプトファイルに記述されているので、それがわかれば複合可能。また、DBのアクセス情報もファイルから読み取ればデータの取得も可能。

下線部3登場。暫定対策としては、ファイルの読み取り権限をなくせばよい。

下線部4登場。他社のWebサイトで情報が流出した際に、こちらのサイトにもログインされるのではないかという問題。こちらは単純に単位時間あたりのログインの変化率やログインユーザの数をモニタリングするしかないのかな。

[概要]

従業員1000人の通信販売会社の話。カタログ販売とネット販売を行っている。

■図1 Y社のネットワーク構成
おなじみのDMZのパターン。

>> 続きを読む

, ,

[概要]

火災でデータが損失し、今後はデータが消失しないようにしたいという話。また、付け足したかのように従業員のPC持ち帰りによる情報漏洩を防ぎたいという話。そしてバックアップまたは機密保護が必要なデータの洗い出し。実務ではこの作業が結構めんどくさかったりする。

>> 続きを読む

, , ,

[概要]

採用成立時に払う料金って年収の2〜3割と聞いたことを思い出した。

>> 続きを読む

, ,