サーバのマルウェア感染防止策【平成29年度 春期 情報処理安全確保支援士試験 午後2 問2 設問5】

平成29年度 春期 情報処理安全確保支援士試験 午後2 問2 設問5

(略)

f:id:aolaniengineer:20200225041529p:plain

(略)

 業務LANのサーバ間では、日次でデータの転送がある。業務LANのサーバのうちコンテンツ管理Webサーバは、システム部が運用している。各部のサーバはそれぞれの部で運用している。

 内部LANのサーバ及び業務LANのサーバでは、OS及びソフトウェアの脆弱性修正プログラムの適用を年1回実施している。直近では、2か月前の3月に実施した。しかし、コンテンツ管理Webサーバ及び営業部サーバでは、ソフトウェアの動作検証が間に合わず、OS及びソフトウェアの脆弱性修正プログラムの適用を8月に延期した

(略)

〔ウィルス対策の強化の検討〕

 FさんとP氏は、図2を基にし、ウィルス対策の強化について検討することにした。P氏は、問題点として、次の5点を挙げた。

(あ)SMTPウィルススキャンでは、暗号化されたファイルについてウィルス検出ができないこと

(い)PC利用者からのマルウェア感染の申告をきっかけにして、調査及び対処に着手しているが、マルウェア感染の影響を最小限にするためには、遅すぎること

(う)図2中の(6)にあるようなメール送信を防止するための対策が不十分であること

(え)業務LANのサーバからC&Cサーバへの通信を遮断するための対策が不十分であること

(お)業務LANのサーバ間のマルウェア感染を防止するための対策が不十分であること

(略)

〔業務LANのサーバに関する見直し〕

 問題点(え)について、FさんとP氏は、検討の結果、業務LANのサーバからインターネットへの通信として、OS及びソフトウェアの脆弱性修正プログラムのダウンロード、並びにウィルス定義ファイルのダウンロードだけを許可するように、プロキシサーバの設定変更を提案することにした。

 問題点(お)に起因するマルウェア感染によって、万が一、業務LANのサーバが1台でも停止すると、A社の業務に著しい支障が発生する。しかし、脆弱性修正プログラムがリリースされたとしても、業務LANのサーバでは、動作検証に時間を要し、すぐに適用できないこともある。そこで、P氏は、④業務LANのサーバ間の必要な通信を維持しながら業務LANのサーバ間のマルウェア感染を防止するセキュリティ強化案を提案した。

 FさんとP氏がまとめた提案内容は、D部長の承認を得た。一部の対策は即時実施され、ウィルス対策管理サーバ及びデータ交換サーバの導入、並びにセキュリティ強化案については、今年度末に予定されている内部LANのサーバ及び業務LANのサーバのリプレース計画に反映され、実施されることになった。

【出典:情報処理安全確保支援士試験 平成29年度春期午後2問2(一部、加工あり)】

④について、P氏が提案したセキュリティ強化案は?:業務LANの全てのサーバにホスト型IPSソフトウェアを導入する。

業務LANのサーバ間の必要な通信とは、「日次でデータの転送がある」とあるものの具体的な通信内容の説明はありません。ただ、このサーバ間通信を維持しながら実現できる対策を問われています。

マルウェア感染への対策としては、基本的にはOS及びソフトウェアの脆弱性修正プログラムなどによる最新化が必要ですが、問題文にあるように、業務LANのサーバではそれらをすぐに適用できないため、別の手段で対策する必要があります。

マルウェア感染など不正な通信を検知するものとして、IDS(Intrusion Detection System:侵入検知システム)やIPS(Intrusion Prevention System:侵入防止システム)があります。

IDS/IPSの不正な通信を検知する手法としては、既知の攻撃手法について特徴的なパターンと比較するシグネチャ検知というものと、普段と異なる通信を異常とするアノマリ検知というものがあります。

また、IDS/IPSはネットワーク型(Network-based IDS/IPS)とホスト型(Host-based IDS/IPS)があり、ネットワーク境界などの配置されるものと、サーバに常駐するものがあります。

今回のセキュリティ強化案としては、サーバ間通信を維持しマルウェア感染を防止するという要件からすると、サーバにホスト型IPSを導入すれば良さそうです。