2018年 秋期 応用情報技術者試験 問1
インターネットサービス向けサーバのセキュリティ対策
食品販売業を営む L 社では、社内外の電子メール(以下,メールという)を扱うメールサーバ,商品を紹介する Web サーバ及び自社ドメイン名を管理する DNS サーバを運用している。L 社情報システム部の M 部長は,インターネット経由の外部からのサイバー攻撃への対策が重要だと考え,当該サイバー攻撃にさらされるおそれのあるサーバの脆弱性診断を行うように,情報システム部の N さんに指示した。L 社のサーバなどを配置した DMZ を含むネットワーク構成を図 1 に,各サーバで使用している主なソフトウェアを表 1 に示す。
なお,L 社のセキュリティポリシでは,各サーバで稼働するサービスへのアクセス制限は,ファイアウォール(以下,FW という)及び各サーバの OS がもつ FW 機能の両方で実施することになっている。
| サーバ名 | ソフトウェア |
|---|---|
| メールサーバ | OS-A,メールサーバソフトウェア |
| Webサーバ | OS-B,Web サーバソフトウェア,DBMS,商品検索ソフトウェア(社外に委託して開発した自社ソフトウェア) |
| DNSサーバ | OS-A,DNS サーバソフトウェア |
[脆弱性診断の実施]
N さんは,社外のセキュリティベンダである Q 社に,メールサーバ,Web サーバ及び DNS サーバの脆弱性診断を実施してもらい,脆弱性診断の内容とその結果を受け取った。Q 社が実施した脆弱性診断の内容の抜粋を表 2 に,Q 社から受け取った脆弱性診断結果の抜粋を表 3 に示す。
| 項番 | 項目 | 実施内容 |
|---|---|---|
| 診1 | ポートスキャン | インターネット側から対象サーバに TCP スキャン及びaスキャンを実施し,稼働しているサービスに関する情報を収集する。 |
| 診2 | 既知の脆弱性に対する診断 | 使用しているソフトウェアのバージョンなどから既知の脆弱性がないことを確認する。 |
| 診3 | ソフトウェア設定診断 | OS,ミドルウェア,アプリケーションの設定の不備などがないことを確認する。 |
| 診4 | Web アプリケーション診断 | Web アプリケーションについて,bの不備,Web ページの出力処理の不備などがないことを確認する。 |
| 項番 | 対象サーバ | 脆弱性診断の項番 | 対象ソフトウェア | 脆弱性の内容 |
|---|---|---|---|---|
| 脆1 | メールサーバ | c | メールサーバソフトウェア | 送信ドメイン認証機能が未設定なので,インターネットから届く送信元メールアドレスを偽装したスパムメールを受信してしまう状態であった。 |
| 脆2 | 診1 | OS-B | DBMS に接続するための TCP ポートにインターネットからアクセス可能であった。 | |
| 脆3 | Webサーバ | 診3 | Web サーバソフトウェア | 脆弱な暗号化通信方式が使用できてしまう設定であり,情報漏えいのおそれがあった。 |
| 脆4 | 診4 | 商品検索ソフトウェア | 入力値チェックの不備によって,データベースに蓄積された非公開情報が閲覧されるおそれがあった。 | |
| 脆5 | DNSサーバ | 診2 | DNS サーバソフトウェア | DNS サーバソフトウェアの脆弱性によって,ゾーン情報がリモートから操作可能であった。 |
[発見された脆弱性への対策の検討]
N さんは,表 3 の脆弱性診断結果の内容を確認し,発見された脆弱性に対して実施すべき対策の案を検討した。検討結果を表 4 に示す。
| 脆弱性診断結果の項番 | 実施すべき対策 |
|---|---|
| 脆1 | メールサーバソフトウェアに送信ドメイン認証機能としてd認証の設定を行う。送信元メールアドレスのドメイン名から DNS に問合せを行い,dレコードから正規の IP アドレスを調べる。受信したメールのe IP アドレスと照合して,なりすましの受信メールをフィルタリングする。 |
| 脆2 | fと,gの OS がもつ FW 機能で,DBMS に接続するための TCP ポートを閉塞して,インターネットから DBMS にアクセスできないようにする。 |
| 脆3 | Web サーバソフトウェアの設定を変更して,脆弱な暗号化通信方式を使用禁止にする。 |
| 脆4 | SQL 文を組み立てる際に害のあるコードが入力値に含まれていないか十分にチェックしてhを防止する。 |
| 脆5 | DNS サーバソフトウェアの脆弱性に対応する修正ソフトウェアがリリースされているので,これを適用する。 |
N さんは,脆弱性診断結果(表 3)と,実施すべき対策の案(表 4)を M 部長に報告した。報告を受けた M 部長は,N さんが検討した表 4 の脆弱性対策を速やかに実施することと,中長期的な脆弱性対策を検討することを指示した。
[中長期的な脆弱性対策]
N さんは,OS やミドルウェアなどの市販ソフトウェアと社外に委託して開発する自社ソフトウェアについて,L 社が中長期的に取り組むべき脆弱性対策の案を検討した。検討結果を表 5 に示す。
| 市販ソフトウェア | 社外に委託して開発する自社ソフトウェア |
|---|---|
| ・サーバで使用しているソフトウェアの製造元・提供元から更新情報を入手する。 | ・ソフトウェア開発の委託先企業との契約に,セキュアコーディングの実施を盛り込む。 |
| ・①社外の関連する組織から脆弱性情報を入手して活用する。 | ・②ソフトウェア開発の委託先企業のセキュリティ対策の実施状況を確認する。 |
| ・運用・保守要員に対するセキュリティ教育を実施し,脆弱性対策への意識を高める。 | ・③ソフトウェアの企画・設計段階からセキュリティ機能を組み込むようにセキュリティの専門家を参加させる。 |
N さんは,表 5 の脆弱性対策の案を盛り込んだ改善計画を策定し,その結果を M 部長に報告した。改善計画を確認した M 部長は,この改善計画を基に具体的な取組みを検討するように N さんに指示した。