【2021年秋期】情報処理安全確保支援士 午後I試験【問3】
【出題趣旨】
組織内のサーバは、インターネットから直接攻撃できないという理由から、DMZのサーバと比較し、情報セキュリティ対策が不十分なままになっていることがあるが、そのことによってセキュリティインシデントの被害が拡大することも少なくない。
本問では、組織内のPCのマルウェア感染をきっかけとした、情報漏えいの有無の調査並びにファイアウォール及びサーバ設定の見直しを題材に、調査能力及びサーバの設計能力を問う。
問1(1)
マルウェア感染が疑われる場合の初動についてです。
最優先事項は感染を拡げないためにネットワークから切り離すことです。
模範回答は以下となります。
・「LANから切り離す。」
・「ネットワークから切り離す。」
問1(2)
デジタルフォレンジックスによる調査と記載があるので、証拠保全に努めることが優先です。イメージバックアップを
模範回答は以下となります。
・「ディスクイメージ」
・「イメージファイル」・「揮発性の高い情報」
問1(3)
bはフルスキャンを実施する前に実施することを回答する問題です。
aとcはその手法が問われています。
a = "最新のマルウェア定義ファイルを保存したDVD-Rの使用"
b = "マルウェア定義ファイルの更新"
c = "マルウェア対策ソフトの画面の操作"
問1(4)
アクセスログの調査の概要を確認するとアクセス元がPC-Gしか確認していないことが分かります。
よって、模範回答は以下となります。
「Q社内の全てのPC及びサーバからのアクセス」
#サーバを含めることを忘れずに
問2(1)
模範解答は以下です。
・項番3
総務部LAN、営業部LAN
・項番4
技術部LAN
問2(2)
Fサーバ1及びFサーバ2がインターネットと通信するのは、マルウェア定義ファイルの更新時だけである。と記載あるため、許可リストにはマルウェア定義ファイルの配布サイトが該当します。
d = "V社配布サイトのURL"
e = "全て"
問3(1)(2)
⑤ソフトウェアの変更がないにもかかわらずファイルのハッシュ値が変わるのはバージョンアップやセキュリティパッチの適用が考えられます。シンプルにバージョンアップと記載する方がよいでしょう。
⑥許可済みの実行ファイルのマクロやプログラムとして動作するものはYソフトでは検知できません。例えば、excelのマクロはexcel.exeが許可されている企業が多く、実行を禁止できません。
模範解答は以下です。
(1)登録した実行ファイルがバージョンアップされた場合
(2)登録した実行ファイルのマクロとして実行されるマルウェア