やさしいネットワークとセキュリティ

情報処理安全確保支援士、ネットワークスペシャリスト、技術士として、資格取得を目指す方に有益な情報を発信します。

【境界防御ーネットワークやWebアプリケーションプログラムのセキュリティ】平成26年秋 応用情報技術者試験 午後 問1

 情報処理技術者試験、情報処理安全確保支援士試験の午後問題を通じて、情報セキュリティの知識を体系的に蓄積していきましょう。

 キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習できるいい機会です。

 今回は、「境界防御」の「ネットワークやWebアプリケーションプログラムのセキュリティ」を取り上げた「平成26年秋 応用情報技術者試験 午後 問1」です。

 問題文中、設問に該当する部分ですぐに解答を説明しています。

 ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

平成26年秋 応用情報技術者試験 午後 問1

問1 ネットワークやWebアプリケーションプログラムのセキュリティに関する次の記述を読んで、設問1〜4に答えよ。

 X社は、中堅の機械部品メーカである。X社では、部品製造に関わる特許情報や顧客情報を取り扱うので、社内のネットワークセキュリティを強化している。社内のネットワークの内部セグメントには、内部メールサーバ、内部Webサーバ、ファイルサーバなど社内業務を支援する各種サーバが配置されている。また、DMZには、インターネット向けのメール転送サーバ、DNSサーバ、Webサーバ、プロキシサーバが配置されている。Webサーバでは、製品情報や特定顧客向けの部品情報の検索システムを社外に提供しており、内部Webサーバやファイルサーバでは、特許情報や顧客情報の検索システムを社内に提供している。X社のネットワーク構成を図1に示す。

f:id:aolaniengineer:20200129071901p:plain

 先日、同業他社の社外向けWebサイトが外部からの攻撃を受けるというセキュリティインシデントが発生したことを聞いた情報システム部のY部長は、特にFWに関するネットワークセキュリティの強化を検討するように部下のZさんに指示した。

 X社の社内ネットワークのセキュリティ要件を図2に示す。

f:id:aolaniengineer:20200129071930p:plain

 Zさんは、①FWによるIPアドレスやポート番号を用いたパケットフィルタリングだけでは外部からの攻撃を十分に防ぐことができないと考えた。

FWでは防げない攻撃は?(5択) →

DNSサーバを狙った、外部からの不正アクセス攻撃:正解

 DMZに設置され外部向けのサービスを提供するDNSサーバは、外部からのアクセスを許可させる必要があります。不正アクセス攻撃の種類にもよりますが、通常のDNSの仕組みで、IPアドレスやポート番号は通常なものであれば、FWでは防げません。

WebサーバのWebアプリケーションプログラムの脆弱性を悪用した攻撃:正解

 同様に、Webサーバは外部からのアクセスを許可させる必要があります。Webアプリケーションプログラムの脆弱性を悪用した攻撃では、通常のHTTPの仕組みで攻撃してくるためFWでは防ぐことができません。

 例としては、SQLインジェクション攻撃、XSS(クロスサイトスクリプティング)、ディレクトリトラバーサル攻撃などがあります。

内部Webサーバを狙った、外部からの不正アクセス攻撃:不正解

 外部から内部セグメントへの直接の通信は許可しないため、FWで遮断することができます。

ファイルサーバを狙った、外部からの不正アクセス攻撃:不正解

  同様に、外部から内部セグメントへの通信であり、FWで遮断することができます。

プロキシサーバを狙った、外部からのポートスキャンを悪用した攻撃:不正解

 プロキシサーバ への通信は、内部セグメントからのHTTP通信に限定できるため、FWで遮断することができます。

そこで、より高度なセキュリティ製品の追加導入を検討するために、IDS、IPSやWAFの基本的な機能について調査した。調査の結果、IDSはX社の外部からの(a:IPパケットの中身を調べて不正な挙動を検出する)ことができ、IPSはX社の外部からの(b:IPパケットの中身を調べて不正な挙動を検出し遮断する)ことができ、一方、WAFは、(c:Webアプリケーションプログラムとのやり取りに特化した監視や防御をする)ことができるということが分かった。

a:IPパケットの中身を調べて不正な挙動を検出する

 IDS(Intrusion Detection System:侵入検知システム)は、不正な挙動を検出し管理者などに通知する機能を有するものです。 

b:IPパケットの中身を調べて不正な挙動を検出し遮断する

 IPS(Intrusion Prevention System:侵入防止システム)は、IDSの機能に加えて、不正な通信を遮断する機能を有するものです。

c:Webアプリケーションプログラムとのやり取りに特化した監視や防御をする

 WAF(Web Application Firewall)は、ファイアウォールのIPアドレスやポート番号でのチェックに加え、ペイロード部(データ部)をチェックすることで、Webアプリケーションプログラムに対する攻撃を検知、遮断する機能を有するものです。

 この結果から、Zさんは、次の二つの案を考えた。

 案1:社内ネットワークのルータとFWの間にネットワーク型のIPSを導入する。

 案2:セキュリティ強化の対象とするサーバにWAFを導入する。

 今回、(d:外部からの不正アクセス攻撃の検出や防御をX社の社内ネットワーク全体に対して行うこと)を目的とする場合には案1を、(e:WebサーバのWebアプリケーションプログラムの脆弱性を悪用した攻撃の検出や防御)を目的とする場合には案2を選択することがそれぞれ有効であることが分かった。

d:外部からの不正アクセス攻撃の検出や防御をX社の社内ネットワーク全体に対して行うこと

 案1のルータとFWの間にIPSを導入するということは、X社の社内ネットワーク全体に関する通信を対象とするものです。なお、ネットワーク型のIPSの処理能力が全体の通信に影響する場合があるので、留意する必要があります。

e:WebサーバのWebアプリケーションプログラムの脆弱性を悪用した攻撃の検出や防御

 WAFにより、Webサーバを個別にセキュリティ強化することが可能となります。 

 特に案2のWAFは、ブラックリストや②ホワイトリストの情報を有効に活用することで、社内ネットワークのセキュリティ要件2,3を満たすことができる。

ホワイトリストにどのような通信パターンを登録する必要があるか? →あらかじめ定められた一連の手続のHTTP通信

 図2のセキュリティ要件に、「Webアプリケーションプログラムの脆弱性を悪用した攻撃を防ぐために、インターネットからWebサーバにアクセスする通信は、あらかじめ定められた一連の手続きのHTTP通信だけを許可すること」とあります。

 ホワイトリストはWAFを通過させるのを許可するリストですので、登録する通信パータンは上記の記載のまま、「あらかじめ定められた一連の手続きのHTTP通信」となります。

 Zさんは、それぞれの案について、費用面や運用面での課題の比較検討を行い、結果を取りまとめてY部長に報告した。これを受けてY部長は、案2を採用することを決め、具体的な実施策を検討するようにZさんに指示した。

【出典:応用情報技術者試験 平成26年度秋期午後問1(一部、加工あり)】