FW・プロキシサーバ【情報処理安全確保支援士 H31春 午後2 問1 No.1】

問1 マルウェア感染と対策に関する次の記述を読んで、設問1〜6に答えよ。

 N社は、従業員数5,000名の化学メーカであり、総務部、営業部、製造部及び情報システム部(以下、情シスという)がある。また、国内に工場がある。N社のLAN構成を図1に示す。

 
 N社では、全従業員に一つずつ利用者IDが割り当てられ、その利用者IDとパスワードが認証サーバに登録される。
タブレットPC、問合せ用PC及びD-PC(以下この三つを併せて、社内PCという)へのログオン時並びに内部メールサーバ及びファイルサーバへのアクセス時には、認証サーバを使用して認証が実施される。
イントラポータルサーバは、認証サーバと連携して、ベーシック認証を使用している。



 総務部では、無線LAN接続型のタブレットPCを導入している。無線LANの暗号化では、WPA2を使用している。W-APでは、不正な端末の接続を防ぐための対策として、次の機能を使用している。

  • 登録済みMACアドレスをもつ端末だけを接続可能とする接続制御
  • 総務部に所属する従業員の利用者IDだけに接続を許可するIEEE 802.1X認証

 IEEE 802.1X認証では、認証サーバと連携して、利用者IDとパスワードを使用している(EAP-PEAP)。
 プロキシサーバでは、各機器からの全てのアクセスについて、アクセスログを取得している。
 N社では、クラウドサービスを利用して、会社情報や製品情報を公開するWebサイトを運用している。Webサイトには、訪問者からの問合せを受け付けるためのフォームが用意されており、訪問者が問い合わせ内容を入力すると、その内容が電子メール(以下、メールという)でN社の特定のメールアドレス宛てに送信される。フォームにはファイルを添付する機能はないので、問合せメールにファイルが添付されることはない。万一、このフォーム以外から、この特定のメールアドレス宛てにメールが届いた場合は、そのメールは破棄される。問合せ用PCは、問合せメールを受信するための専用のD-PCで、他の用途には使用していない。また、問合せメールを他の社内PCで受信することはない。問合せ用PCから回答メールを返信する場合、回答メールの送信元メールアドレスには送信専用のメールアドレスを使用している。
 FW1のルールを表1に、FW2のルールを表2に示す。

 FW1とFW2は、ステートフルパケットインスペクション型である。FW1には、ペイロードの内容に基づきアプリケーション層での通信の挙動を分析し、マルウェアの動作に伴う不正な通信を検出して遮断できる機能(以下、L7FW機能という)がある。

【インシデント発生】
 4月12日 13:00頃、セキュリティ情報共有団体から、”あるC&C(Command and Control)サーバを調査していたところ、そのサーバに対するN社からの通信記録を発見した。”との連絡が届き、その通信に関して、表3の情報が提供された。


 情報提供を受けて、N社のCSIRTメンバが召集された。N社のCSIRTのリーダであるR課長は、メンバのP君に対して、情報処理安全確保支援士(登録セキスペ)であるW主任の支援を受けながら、直ちに状況を確認するよう指示した。P君は、表3の情報の真偽を確かめるために、まず(a)のログを確認してN社から当該情報が発信されていたとの確証を得た後、通信を開始した端末を特定するために(b)のログを確認した。その結果、問合せ用PCからC&Cサーバに向けてHTTPSと思われるセッションが確立していたことが確認できた。




設問1 本文(a),(b)に入れる最も適切な機器名を、図1の中から選び答えよ。

ログを取得できる機器を洗い出します。

まず、「プロキシサーバでは、各機器からの全てのアクセスについて、アクセスログを取得している。
」と問題文に記載されているため、プロキシサーバは全てのアクセスログを取得することがわかります。

次に表1,2に「ログ取得」の列があることから、FWもログを取得することがわかります。

a,bはこのどちらかが入ることが推測できますね。


a前後の文章を確認すると、aのログを確認することでN社から当該情報が発信されたことの確証を得られることがわかります。
つまり、表3の送信元IPアドレス(プロキシサーバのIPアドレス)から、外部に存在する(=インターネットへの通信が必要である)C&Cサーバとの通信ログを確認する必要があります。

これは、インターネットとの接点になっているFWのログを確認することでわかります。

FW1,2が該当しますが、

・送信元がプロキシサーバ

・宛先がインターネット

のログを取得しているのはFW1なので、aの答えはFW1です。

b前後の文章を確認すると、bのログを確認することで通信を開始した端末の特定ができることがわかります。
各機器からのアクセスログであるプロキシサーバのログを確認すれば、端末の特定ができます。

よって、bの答えはプロキシサーバです