情報処理安全確保支援士試験 過去問 2020年(令和2年) 秋期 午後Ⅰ 問3
Webシステムのセキュリティ診断
L社は、ECサイトを運営している従業員数800名の企業である。L社のモールの会員は、モールで買物をすると、購入金額に応じてL社が独自に発行するポイントが得られる。L社のポイントサービス部が管理するポイントシステム(以下、Pシステムという)のネットワーク構成を図1に示す。
Pシステムが受信する1日の時間帯別の通信量の比率は、0時~8時が2%、8時~16時が55%、16時~24時が43%である。Pシステムの機器は全て固定IPアドレスで運用している。
Pシステムの機器の概要を表1に示す。
| 機器名 | 概要 |
|---|---|
| N-IPS | インターネットから本番Webサーバへの通信、本番WebサーバからDB-LANへの通信を制御している。遮断モードと検知モードの2種類のモードがあり、通信を脅威と判定したとき、遮断モードでは通信を拒否する。通信が脅威かどうかの判定では、通信ごとに、次の番号の小さい順に、最初に合致したルールが適用される。 1. ホワイトリスト判定:ホワイトリストに登録したIPアドレスからの通信は、脅威ではないと判定する。 2. 脅威通信判定:通信の内容を解析し、脅威レベルが高いと定義しているものは、脅威と判定する。 現在は、遮断モードに設定されており、ホワイトリスト判定と脅威通信判定が有効になっている。ホワイトリストには、現在、IPアドレスは一つも登録されていない。 |
| 本番Webサーバ | 会員が利用するポイント照会などの機能をもつWebサーバである。本番DBサーバにアクセスする。 |
| 本番DBサーバ | 会員のポイント情報や購入履歴などの情報をもつDBサーバである。ホスト型IPSが導入されている。本番DBサーバで利用されているホスト型IPSの概要を図2に示す。 |
| FW1 | ステートフルパケットインスペクション型のFWである。インターネットから本番Webサーバ、本番Webサーバから本番DBサーバへの通信のうち必要なもの だけを許可している。また、インターネットからステージングWebサーバへの通信は、普段は拒否しているが、ステージング環境利用時だけ必要なものを許可している。DB-LANからDMZ及びインターネットへの通信、並びに本番環境とステージング環境の間の通信を拒否している。 |
| FW2 | ステートフルパケットインスペクション型のFWである。管理PCセグメントから、本番Webサーバ、本番DBサーバ、ステージングWebサーバ及びステージングDBサーバへの通信を許可し、それ以外の通信は全て拒否している。 |
Pシステムの診断計画
ECサイトへの情報セキュリティ上の脅威の高まりを受け、L社は、Pシステムの脆弱性診断を実施することを決定した。L社のリスク管理部のT主任と部下のUさんが、診断計画を策定する担当に任命された。T主任は、図3に示す診断要件を基に診断計画を策定するようUさんに指示した。
- 本番環境への影響を最小化すること
- 診断に当たってネットワーク構成、システム構成、設定及びデータを変更した場合は、診断終了後、診断前の状態に戻し、システムの正常な動作を確認すること
Uさんは、専門業者の診断サービスについて調査し、図4に示す調査結果を得た。
診断サービスでは、診断PCで診断対象機器と通信し、レスポンスの内容を評価して脆弱性の有無を確認する。診断PCは、既存の機器とは別のIPアドレスを設定し、インターネット又は内部のネットワークに接続する。次の2種類の診断方法がある。
- プラットフォーム診断(以下、PF診断という):サーバやネットワーク機器に対して、全てのポートをスキャンする。開いているポートを発見すると、そのポートを使って検査する。主にOSやミドルウェアの脆弱性を検出できる。
- Webアプリケーション診断(以下、Web診断という):Webアプリケーションプログラムを検査することによって、その脆弱性を検出できる。
Uさんは、調査結果を基にL社で実施すべき脆弱性診断の検討に入った。Web診断については、次のように実施することにした。
- 診断用の利用者IDを作成する。その利用者に診断用のポイントを付与し、Pシステムにログインして診断する。
- ログイン無しでアクセスできるページも診断する。
- 診断前の状態に戻せないようなデータの更新が発生する診断は実施しない。
PF診断については、T主任から助言を得ることにした。次は、本番Webサーバがインターネットから攻撃される脅威を想定した時の、PF診断に関する、UさんとT主任の会話である。
UさんはT主任のアドバイスを踏まえ、更に検討を進め、診断計画を表2のとおりにまとめた。
| 項目 | 内容 |
|---|---|
| 日時 | ○月×日から○月△日(10営業日)9時~17時(うち、診断時間は1日当たり連続した5時間程度) |
| 診断対象 | Pシステムの本番環境 |
| 診断内容 | 次の診断を順に行う。 診断1:本番Webサーバの脆弱性診断 攻撃者がインターネットから本番Webサーバを攻撃し、本番DBサーバの秘密情報を窃取する脅威を想定し、次の二つの診断を行う。 ・インターネットから、本番WebサーバにPF診断、Web診断を行う。 ・図1中の接続点aから、本番WebサーバにPF診断、Web診断を行う。 診断2:本番DBサーバの脆弱性診断 攻撃者が何らかの方法で管理LANに侵入し、本番DBサーバの秘密情報を窃取する脅威を想定し、次の診断を行う。 ・図1中の接続点(エ)から、本番DBサーバにPF診断を行う。 |
| 検査項目 | 診断によってサービスダウンを引き起こす可能性がある項目を含め、使用する商用検査ツールに登録されている全ての検査項目の診断を行う。ただし、診断前の状態に戻せないようなデータの更新が発生する検査項目は除く。 |
Pシステムの診断計画レビュー
診断計画レビューにおいてT主任は、診断の検査項目の内容は妥当であるとした上で、次の指摘を行った。
指摘1:Web診断は本番環境ではなく、ステージング環境で行うべきである。ステージング環境で実施する際、全ての診断の終了後に、担当者が、FW1の設定を元に戻すこと、及びステージング環境のbを削除することを、明確に手順書に記載すること
指摘2:PF診断は本番環境で実施すべきだが、サーバが異常停止した場合の影響を最小化するために③計画の一部を変更すること
指摘3:診断2の実施に当たっては、警告灯が点灯することで社内に混乱が起きないよう、運用グループに④機器の設定の変更を依頼すること
その後、指摘3に従い、Uさんは運用グループに診断計画を説明して設定の変更を依頼した。運用グループから、設定の変更については承諾を得られたが、診断計画について、診断2の診断PCを接続するポイントを、図1の(エ)から(d)に変更する必要があるという提案があった。
この提案について、運用グループから説明があった。運用グループによれば、最近配属された担当者が、Web管理PCから本番DBサーバにログインを試みた。その結果、警告灯が点灯し、運用グループは緊急対応体制をとることになってしまった。
その再発防止策の一つとして、FW2のルールを修正し、c宛ての通信については、dからの通信だけをeすることにした。その影響で、接続ポイントの変更が必要になるとのことだった。
UさんはT主任の指摘及び運用グループからの提案を踏まえ、診断計画を確定し、診断実施に向けて準備を進めた。