やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

情報処理安全確保支援士【H31春午後Ⅱ問2設問5】No.2

この問題のテーマは「情報セキュリティ対策の強化」

自社及び取引先を含めた情報セキュリティ対策の設計能力

設問5(4)

f:id:aolaniengineer:20191013164126p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問2設問5に関連する問題文その4

f:id:aolaniengineer:20191013163727p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問2設問5(4)

 該当箇所は、「6月8日10時、Fさんは、マルウェア対策ソフトで圧縮ファイルをフルスキャンの対象とするように一時的に設定を変更した後、最新のマルウェア定義ファイルに更新し、フルスキャンを行うように全ての従業員に指示した。」です。

 まず、マルウェア対策ソフトの運用はどのようになっていたのでしょうか。

 〔A社の情報システム〕の最後に以下のように説明されています。

DPC及びサーバ上のマルウェア対策ソフトは、起動時及び起動後2時間おきにプロキシサーバ経由でマルウェア対策ソフトベンダのサイトからマルウェア定義ファイルをダウンロードし、更新している。マルウェア対策ソフトでは、ファイルを読み書きするときにマルウェアスキャンする機能(以下、リアルタイムスキャンという)を有効にするとともに、全てのファイルをマルウェアスキャンする機能(以下、フルスキャンという)を、毎週火曜日12時に実行している。フルスキャン実行時、CPUの負荷を減らすために、圧縮ファイルは対象外としている。

 このように、フルスキャンは毎週実行されますが、圧縮ファイルは対象外としています。

 ここでFさんが、圧縮ファイルを一時的に対象にしてフルスキャン実行の指示をしているのはなぜでしょう。

 改めて図3の説明を時系列で整理すると以下のようになります。

5月21日9時 KさんがZIP形式のファイルをダウンロードし展開。展開したPDFは削除するも、ZIPファイル自体は削除せず。
5月28日10時 マルウェアXに対応したマルウェア定義ファイルがリリース
6月5日9時 KさんがZIP形式のファイルを再び展開。展開したPDFファイルがリアルタイムスキャンによって検知、削除される
6月5日10時 マルウェアYに対応したマルウェア定義ファイルがリリース
6月5日13時 フルスキャンによって別のファイルがマルウェアYとして検知、削除される

 6月5日のフルスキャンによってマルウェアYは検知されましたが、マルウェアXは検知されていません。

 また、フルスキャンは毎週実施されるので、その前は5月30日です。

 5月28日にマルウェアXに対応した定義ファイルがリリースされているので、本来であれば検知されるべきです。

 これはフルスキャンが圧縮ファイルを対象外にしているためであり、その存在を確認するため一時的に圧縮ファイルを対象にすることが分かります。

 正解は以下の通りです。

マルウェアXを含む圧縮ファイルを保存しているDPCの有無を確認するため

設問5(5)

f:id:aolaniengineer:20191013164618p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問2設問5に関連する問題文その5

f:id:aolaniengineer:20191013164311p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問2設問5(5)

 該当箇所は、「G氏は、平常時の運用では、圧縮ファイルをフルスキャンの対象にしなくてもDPCがマルウェアに感染するリスクは変わらないと答え、⑤その理由をFさんに説明した。」です。 

 前問の時系列の事象にあるように、マルウェアXに対応するマルウェア定義ファイルがリリースされた後は、圧縮ファイルの展開時にリアルタイムスキャンによりPDFファイルが検知、削除されています。

 したがって、DPCがマルウェアに感染するリスクは、フルスキャンでの検知とリアルタイムスキャンでの検知で変わりません。

 ただ、理屈では分かっても、マルウェアを含む圧縮ファイルを保存しているのは精神的にはよくないですよね。(試験と割り切って回答します)

 正解は以下の通りです。

圧縮ファイルを展開すると、展開したファイルに対してリアルタイムスキャンが実行されるから