平成16年度情報セキュリティアドミニストレータ午後Ⅰ問題（問2）

SEのための情報セキュリティ対策

情報セキュリティプロフェッショナル試験対策　過去問掲載

平成16年度情報セキュリティアドミニストレータ午後Ⅰ問題（問2）

→詳細な解説を見る

問2　ログの設定と監視に関する次の記述を読んで，設問1～4に答えよ。
　
　M社は，社員数200名の中堅商社である。M社では，会社からの社員への連絡や社員間の情報共有のために，Webベースのグループウェア（以下，GWという）を利用している。このGWには，Webメール，掲示板，予定管理，文書管理，電話帳（社員の氏名，所属，役職，内線番号，メールアドレスを調べられる）といった機能があり，それぞれの機能はソフトウェアモジュールで実現されている。GWは，社内LANに設置されたサーバ1上で稼働している（図1）。サーバ1上では，GWのほかにWebサーバとメールサーバが稼働している。
　M社では，営業社員が社外からサーバ1にアクセスできるようにするため，DMZに設置されたサーバ2上でVPNソフトを稼働させ，インターネットからサーバ1へのVPNによるアクセスを許可している。
　

　
〔ログ管理の見直し〕
　M社の社内LANに設置されたサーバ（以下，社内サーバという）のログの設定は，OSやアプリケーションをインストールしたときの初期設定のままであり，これまで監視や分析は行っていなかった。
　このような状況下で，ある日，社内サーバにワームがまん延するという事故が起きた。ワームそのものは，ウイルス定義ファイルを更新したウイルス対策ソフトによって比較的簡単に駆除できたが，感染経路を特定できなかった。それは，ほとんどの社内サーバが，いつ，どこから，どのようなアクセスがあったのかを検知できるだけのログを取得していなかったからである。
　
　情報システム部のL部長は，社内サーバのログ管理がほとんどできていない現状では，ワームの感染経路の特定だけでなく，社内情報が漏えいした場合の調査などにも支障が出る可能性を懸念した。また，ログを適切に監視していれば，ワームへの感染なども早期に検知できると考え，L部長は情報システム部のK係長に対して，社内サーバのログ管理について検討するよう指示した。そこでK係長は，手始めにサーバ1のログの設定を見直すことにした。
　
〔脅威の洗出し〕
　K係長は，サーバ1に関して想定される脅威と，それを検知し，調査するための情報を，表1のとおりに整理した。
　

**表1　脅威と，それを検知し，調査するための情報**
脅威	説明	検知し，調査するための情報
ウイルス，ワーム	ウイルス，ワームへの感染	ネットワークアクセス情報
なりすまし	他人のアカウントを利用したシステムへのログイン	ログインの成功／失敗の記録ログイン元マシンのIPアドレス
情報の漏えい	許可範囲を超えた情報の配付，又はアクセス権限のない者による情報へのアクセス	ファイルへのアクセス記録ファイルの転送記録電子メールの送信記録
情報の破壊や改ざん	情報の不正な変更，又は削除	ファイルへのアクセス記録ファイルの変更記録

　
〔取得すべきログ〕
　続いて，K係長は，サーバ1が取得できるログのうち，表1に挙げられた情報が記録できるものを調べた（表2）。その後，サーバ1の設定を変更し，表2のログを取得できるようにした。
　

表2　サーバ1のログ

構成要素

記録されるイベント

記録される項目

A：	ログイン／ログアウト

時刻，アカウント名，操作内容（ログイン／ログアウト），状態コード（成功／失敗）

B：	ネットワークアクセス

時刻，送信元IPアドレス，プロトコル（TCP／UDP／ICMP），送信元ポート番号，あて先ポート番号　

Web
サーバ

C：	ブラウザからのアクセス

時刻，送信元IPアドレス，HTTP要求，状態コード（成功／失敗），転送バイト数

メール
サーバ

D：

電子メールの受信

時刻，メッセージID，送信元IPアドレス，送信者メールアドレス，受信者メールアドレス，メールサイズ，状態コード（成功／失敗）

E：

送信キューヘの格納

時刻，メッセージID，送信者メールアドレス，受信者メールアドレス，メールサイズ，状態コード（成功／失敗）

F：	送信キューからの送信

時刻，メッセージID，あて先IPアドレス，送信者メールアドレス，受信者メールアドレス，メールサイズ，状態コード（成功／失敗）

G：	ログイン／ログアウト

時刻，アカウント名，操作内容（ログイン／ログアウト），状態コード（成功／失敗）

H：	各モジュールでのデータアクセス

時刻，アカウント名，モジュール名，アクセス内容（読出し／書込み／削除），アクセス対象データ，状態コード（成功／失敗）

　
　表3は，表1，2に基づいて，サーバ1において脅威を検知し，調査するために監視又は分析すべきログを示したものである。
　

**表3　監視又は分析すべきログ**
脅威	ログ（記録されるイベント）
ウイルス，ワーム	［　　a　　］
なりすまし	A，B，C，G
情報の漏えい	［　　b　　］，［　　c　　］，［　　d　　］，［　　e　　］
情報の破壊や改ざん	［　　b　　］，［　　c　　］

　
〔なりすましの監視〕
　サーバ1では，アカウントをもっている各社員の所属部署や役職に応じて，アクセス可能なデータを制限している。ところが最近，自分のアカウントではアクセスできないデータを参照するために，ほかの社員のアカウントを借りる例が散見されるようになってきた。ほかの社員のアカウントを利用したまま，うっかり掲示板に意見を書き込んでしまって物議を醸した事例が何件か発生し，問題になっていた。
　この問題に関しては，社員への啓発やデータのアクセス権限の見直しといった対策が取られてきているが，アカウントの貸し借りの監視などは行われていない。監視できれば，アカウントの貸し借り抑止にもなると考えたL部長は，今回設定したログによって監視できないか，K係長に相談した。
　アカウントの貸し借りが，表1に示したなりすましの脅威に当たると考えたK係長は，監視の可能性を検討した。その結果，〔1〕なりすましの発生をログの監視によって直接検知することは困難であると判断した。K係長は，ログでは不審な挙動を検知できるだけで，脅威の発生そのものの監視はできないことをL部長に報告した。ただし，不審な挙動の検知をきっかけとした調査によって，脅威の発生の予防又は早期発見につながる可能性があるので，監視することは有益である点も併せて報告した。
　K係長の報告を受けたL部長は，早速，ログの監視を実施するようK係長に指示した。K係長は，ログの監視によって，〔2〕ログイン／ログアウトのパターンが普段と異なっているアカウントを発見した場合に，そのパターンを不審な挙動とみなすことにした。
　
〔複数のログの取扱い〕
　K係長は，サーバ1以外の社内サーバについても，順次，ログの設定の見直しを進めた結果，各社内サーバで必要なログを取得できるようになった。K係長は，それらのログの相互参照を容易にし，〔3〕ログに対する脅威に対抗するために，社内サーバのログを収集するサーバ（以下，ログサーバという）を社内LANに設置し，ログを一元管理することにした。各社内サーバは，ログをローカルに保存するとともに，ログサーバにもログを送信するように設定された。
　さらに，K係長は，各社内サーバで取得されているログを相互に対照できるように，すべての社内サーバに関して，〔4〕ログの設定以外にもシステム的な設定を行った。この設定によって，例えば，ワームがどのように感染を広げていったかを，別々の社内サーバのログ情報を見比べることで把握できるようになる。このことが，感染経路の特定につながると期待された。
　

　
設問1　表1，2に基づいて作成された表3中の［　　a　　］～［　　e　　］に入れる適切な記号を，表2中のA～Hから選べ。
　

　
設問2　本文中の下線〔4〕のシステム的な設定内容を，20字以内で述べよ。
　

　
設問3　本文中の下線〔3〕に関する次の問いに答えよ。

(1)	脅威の内容を，5字以内で答えよ。
(2)	ログサーバの導入が(1)の脅威の対抗策となる理由を，35字以内で述べよ。

　
設問4　〔なりすましの監視〕に関する次の問いに答えよ。

(1)	K係長が本文中の下線〔1〕のように判断した理由を，表2，3を参考にして50字以内で述べよ。
(2)	ログの監視によって本文中の下線〔2〕を検知するために，表3に示したログA，B，C，Gを利用して，日常的に行っておくべきことがある。その内容を，60字以内で具体的に述べよ。

→詳細な解説を見る

【午前】情報セキュリティアドミニストレータ
【午後】情報セキュリティアドミニストレータ

【午前】テクニカルエンジニア情報セキュリティ
【午後】テクニカルエンジニア情報セキュリティ

【午前】情報セキュリティプロフェッショナル
【午後】情報セキュリティプロフェッショナル

スポンサードリンク

スポンサードリンク

スポンサードリンク

免責事項　／　サイトマップ　／　リンク　／　　問い合わせ

平成16年度情報セキュリティアドミニストレータ午後Ⅰ問題 （問2）