設問3 [セキュリティインシデントの再発防止]について, (1)~(4)に答えよ。
(1) 図5中の下線③について,パスフレーズを設定する目的を 30 字以内で具体的に述べよ。
解答:保守員以外が不正に秘密鍵を利用できないようにするため/秘密鍵が盗まれても悪用できないようにするため
図4には「op1に設定されているパスワードが、推測の容易な文字列であることが分かった」と記載されています。
図2の「識別・認証・認可方法 」>「a,保守用中継サーバ」より、保守用中継サーバの接続時はパスワード認証を行いますが、op1のパスワードは推測可能であったため、攻撃者が認証を突破できてしまいました。
パスワード認証ではなく、公開鍵認証に変更すると、公開鍵認証に使う鍵ペアを作り、PC側に秘密鍵、サーバ側に公開鍵を配置しておくことになります。
秘密鍵にはパスフレーズをかけておくことで、攻撃者が不正に秘密鍵を利用したり、盗まれても悪用できないようにします。
(2) 図5中のdに入れる適切な字句を 10 字以内で答えよ。
解答:パスワード認証
認証方式が変更になったので、パスワード認証を無効にする必要があります。
(3) 本文中のeに入れる適切な字句を5字以内で答えよ。
解答:秘密鍵
(4) 本文中のfに入れる適切な字句を 20 字以内で答えよ
解答:送信元IPアドレスを固定にする
SSHの接続元制限の対応として、保守PC-B,CをM社ネットワークに接続させた後、インターネット経由で保守用中継サーバにアクセスするとあります。
VPN等であらかじめ閉域網を作るのであれば、固有のグローバルIPアドレスを割り当てる必要があります。
PCに固有のグローバルIPアドレスが割り当てられれば、FWルール4の送信元を「インターネット」から「保守PC-B,C」に絞り込むことができるので、SSH接続元の制御が可能です。
