セキュリティスペシャリストに合格したら、きっと次の分野を受けるモチベーションが上がってるはず。セキュリティスペシャリスト試験に関連度が高い試験としては、「ネットワークスペシャリスト」と「システム監査技術者」がある。

ネットワークスペシャリスト

ネットワークスペシャリストについては、セキュリティスペシャリスト試験の技術分野をより広く深くしたものある。過去問を見てみると、ネットワークとセキュリティで似たような問題が出題されているケースもある。これはセキュリティを語る上では、ネットワークセキュリティの分野も欠かせないためであると思われる。具体的には、暗号化やファイヤウォール、SSL,VPN,DNSなどは定番となっている。

システム監査技術者

システム監査技術者については、セキュリティのマネージメント分野と重なるところがある。23年度特別試験の午後2の後半ではシステム監査の分野が出題されている。ただ、システム監査の試験は、午後2が論文試験となり論文を書くための対策や実務経験が乏しい場合は論文の題材を過去の試験から読み込む必要があり、その点で難易度は高い。

概要

社内のソフトウェアライセンスを管理しようという話。管理をすることで、ライセンスの不適切な利用を防いだり、余計なライセンスの購入を防ぐことができる。この問題では、ソフトウェア資産管理ツールを導入することで、ライセンス管理を効率よく行う際の課題を聞いている。後半では、導入したソフトウェア資産管理ツールがソフトウェアのセキュリティパッチが適用されているかを確認するツールとしても利用できると考える。

DNSの役割

DNSはDomain Name Systemの略で、あるドメインがどのIPアドレスなのかを管理する仕組み。DNSを管理するサーバをDNSサーバや単にネームサーバと呼ぶ。DNSはインターネットを利用すると必ず利用する。例えば、http://www.yahoo.co.jp/にアクセスする際は、PCはネームサーバに問い合わせてサーバのIPアドレスを取得する。Yahooの場合は203.216.243.240が返ってくるので、ブラウザに直接入力しても確認できる。IPアドレスは覚えられないが、ドメインなら覚えられるという点でとても便利。

ドメインベース IPアドレスベース
http://www.yahoo.co.jp http://203.216.243.240/

DNSサーバが管理している情報

DNSサーバはドメインとIPアドレスを関連づけるゾーン情報をもっている。ゾーン情報はドメインベースで管理され、Aレコード、MXレコードなどのレコードと呼ばれる項目でWebサーバやメールサーバを管理している。

$TTL 86400 ← キャッシュさせておく時間
@ IN SOA example.com. root.example.com.(
2004031901 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
IN NS exapmle.com.
IN MX 10 example.com.  ← メールサーバーのプライベートIPアドレス
@ IN A XXX.XXX.XXX.XXX ← サーバーのプライベートIPアドレス
sample IN A XXX.XXX.XXX.XXX ← サーバーのプライベートIPアドレス

上記の例ではsample.example.comはXXX.XXXX.XXXX.XXXのIPアドレスと対応づけられている。

概要

R社は健康食品のECを運営している。データセンターのネットワーク図が登場。DBの前にFW2を設置している。気になる。図2の販売システムの概要の内容は普通。

脆弱性発見の情報

セキュリティ専門会社から、セッションIDが推測できる脆弱性の報告を受ける。下線部1登場。FWでセッションIDの偽造を判別できない理由を聞いている。おそらく、FWはパケットフィルタリング型なのでセッションIDまで見れないからと回答する。読み進めると、販売システムの注文受付を停止するという決断。さすがS主任。もし下線部1の理由が間違っていたら大変なことになると思った。

WAFによる対策の検討

セキュリティ会社のQ氏が提案する。下線部2登場。クッキーにセッションIDを保存するので、クッキーを暗号化するとセッションIDが推測されやすいという問題が解決される。楽勝。

下線部3登場。属性の効果を維持できると言っているので、セッションID以外の属性が暗号化されていないアとウを選択。
下線部4登場。クッキーの利用方法によっては問題が出る可能性があるとのこと。クッキーってユーザの認証にしか利用しなしのでは??ネットワーク図を再度確認するが、やはり分からない。

(a)の登場。(a)が十分に減少すればよい。これはフォールスネガティブ。フォールスネガティブは最悪と覚えてる。下線部5登場。シグネチャを無効化しても良い条件を聞いている。なんかすっきりしないが、シグネチャがどの脆弱性と対応しているかを確認し、無効化を検討すると回答した。

WAFの導入

下線部6登場。なぜSSLをWAFで終わらせるかと聞いている。これはかなりよく出るパターン。暗号化のされている経路ではフィルタリングできないから。楽勝!

概要

インターネットの応答が遅いとの苦情。そこで、J主任とK君の登場。

原因調査と対処

(a)登場。図1でDNSの問題につながるのは、名前解決をしている(r)しかない。楽勝。そして、パケット解析が始まる。ややこしいが、図3をしっかり確認。「DNSクエリを伴わないDNSクエリレスポンス」とあり、確かに図3の詳細のところにQuery responseがある。(b),(c)が登場し、読み進めると「不正なDNSクエリ」というところで、これはDNSキャッシュポイゾニングの攻撃を受けていると気づいた。なので、DNSキャッシュポイゾニングは内部からの問い合わせであると偽装しているので、(b)はアとなり(c)は偽装にしておいた。(d)はもちろん、アとなる。

(e)(f)と下線部1登場。DNSが踏み台にされる可能性に対応せよとの指示がでる。踏み台ってことは、外部からきて外部へ出て行くということで、図3をみると宛先が外部でレスポンス内容も外部だと割と証拠になると判断。なのでⅡとⅤを選択する。下線部1については、この場合コンテンツサーバとキャッシュサーバが同じサーバで機能しているので、外部からの再帰問い合わせを無効にすればよい。この辺りは、よくでる論点なので問題の意図が読みやすい。

異常PCの特定

下線部2登場。Ⅵに異常な通信があるとのこと。図3を見るとMXレコードを引いているのでメールに関係することが分かる。なので(g)迷惑メールを選択。また、何が異常か聞いている。おそらくメールを送信するときは、DMZ上のメールサーバがDNSに問い合わせをすると思われる。そう考えると、社内から外部に直接メールを送ろうとしているのは怪しい。

下線部3登場。Ⅶも怪しいとのこと。SYNが連続しているのでSYNフラッド攻撃が思い浮かんだ。そして該当するものを2つ選べとの指示。1つはコネクションの接続の低下で、もうひとつは、この場合図4をみると内部ネットワークからの接続なのでDNSへの問い合わせなしに直接攻撃していると思われる。

異常PCの対処と今後の対策

怪しい1台のPCを特定する。下線部4登場。不審な通信プロセスとは何かと聞いている。何やろ。何を答えさせたいか、いまいちピンとこない。ウィルスが行う通信って何やろ。監視している項目は、通信プロセス名、実行ファイル名、通信の宛先IPアドレスとポート番号なので、このなかから選べばよいのか??とりあえず、今までのパケット解析から得られた宛先IPアドレスとサービスポートの番号にマッチするプロセスを特定すべきという内容をかいておく。

下線部5登場。TCP/UDPが自動的に発信されるとのこと。DNSの問い合わせやDHCPとかはUDPだったような記憶もあるが、hostsファイルの改ざんでひらめいたことにつながらない。とりあえずhostsファイルはすべてローカルホストに向いてるが回答は思い浮かばない。ログインしていれば、自動的に出るTCP/UDPパケットって・・・思い浮かばない。

概要

雑貨やアイデア商品の企画・販売会社の話。従業員は100名。

情報漏えい事故の発生と対策の指示

E者の従業員がUSBを持ち帰って紛失するという事故が発生する。そこで、Y課長の登場。

業務情報の持ち出しに関する現状調査

ヒアリングの結果、業務情報を持ち出すケースは「顧客との打ち合わせ」か「自宅での資料作成」のパターンであることを突き詰める。そして「自宅での資料作成」についてはバッサリと禁止。さすがY課長。

Mにおける情報漏えい対策の検討

「顧客との打ち合わせに」についてのリスクの洗い出しをする。ここで(a)の登場。3文字以内で答えろとの指示。暗号化しか浮かばない。下線部2登場。日常業務に利用していると被害が拡大する理由を答えろ。わざわざ「日常業務で利用すると」と聞いている。日常業務で利用する場合としない場合の違いは、自社の情報や他の顧客情報を扱うこと以外に浮かばない。このての問題は専門的な内容ではないので逆に自信をもって回答できないので困る。

ここでZ君が2つの提案をする。1つはシンクライアントの利用でもう1つはWebサーバのディスク領域を利用する案。下線部3登場。Webサーバが不正アクセスされても、業務情報が漏えいするリスクを減らす方法はと聞かれている。ディスクやファイルの暗号化が思い浮かぶ。情報自体が漏えいしても復号できないと意味がない。

(b) (c) が登場。PCを利用しないので盗難、紛失やマルウェアに感染することもない。よって(b)は回避。不正開示のリスクは残るのでリスクを下げる必要がある。よって(c)は低減。

下線部4登場。間違って別の顧客のディスクにアップする可能性があるので、間違ってないか上司に確認してもらえばよい。そして案2に決定。

対策案の見直し

ところが、いきなり部長から在宅勤務も将来的にやるからといわれるY課長。よくある話だが、もっと先に言ってくれと思った。再度リスクの分析をする。下線部5登場。案2ではマルウェアの感染リスクに対応できないとのこと。案1と案2を確認すると専用端末か私有PCの利用の違いがあるので、会社からは私有PCまで管理することが保証できないからという感じで回答した。

概要

従業員40名のおもちゃの会員制オークションサイトのWebシステムの話。一瞬どんなおもちゃを売ってるのか気になった。とりあえずR社のシステム構成図を確認する。よく見るDMZのネットワーク。DMZのWebサーバが内部LANにあるDBサーバにアクセスしているので、FWのフィルタリングルールについての出題と予想する。

以下、何やらややこしいことが書いてあるので大事そうな部分に線を引く
・保守には、WebサーバにあるDB接続用クライアントツールを利用している。
・コンテンツはFTPでアップロードしている。
・RアプリはDB接続ツールとは異なるPerl用DB処理モジュールを利用している。
・会員データは暗号化されていない。
・メールアドレスを会員IDとして利用している。

ペネトレーションテストによる現状確認

侵入テストのこと。他社で会員情報の流出事件があったので、うちは大丈夫なのかと。K課長に丸投げで、K課長はW社に投げる。テスト結果をみると、怖いけどよくある話。V3についてはどんな脆弱性?と思った。

セキュリティの検討

移行はテスト結果について個別に検討。
V-2については、ログアウトできない現象。セッションを破棄できてないのが原因。

下線部1登場。FWのフィルタリングログを見たら解決。

鍵認証にすればより安全。

V7に関する問題。
下線部2登場。会員データを閲覧される可能性があるとのこと。暗号化にAESを利用している。暗号鍵はスクリプトファイルに記述されているので、それがわかれば複合可能。また、DBのアクセス情報もファイルから読み取ればデータの取得も可能。

下線部3登場。暫定対策としては、ファイルの読み取り権限をなくせばよい。

下線部4登場。他社のWebサイトで情報が流出した際に、こちらのサイトにもログインされるのではないかという問題。こちらは単純に単位時間あたりのログインの変化率やログインユーザの数をモニタリングするしかないのかな。

VLANとはVIrtual LANのことで、仮想的なLANのこと。VLANを利用する理由は、ブロードキャストによって通信の効率が下がらないようにするためです。

>> 続きを読む

Linuxで外部のサーバにpingが飛ばないとか、webページがみれないときに確認する手順です。

>> 続きを読む

SYN Flood攻撃は業界では、ピンポンダッシュと呼ばれている。玄関のベルをならし、相手が応答してもベルをならしたやつは反応しない。SYN Flood攻撃を理解するには、TCPのコネクション確立の手続きを理解しなければいけない。

>> 続きを読む