【解説】ログ設定と監視( セキュアド 平成16年 午後T問2)
→問題を見る
この設問では、どこでどのようなログを取得すれば問題を発見できるかが問われています。社内事情に応じた適切なログの記録と管理、そしてログ自体の安全確保に関する知識が必要になります。
設問1
答え:[a-B、b-C、c-H、d-E、e-F]
【空欄a】
ワームによる攻撃は、ネットワーク経由で大量のアクセスが発生するのが一般的です。これはワームがネットワーク経由で感染を広げるためで、ネットワークアクセス記録をかんししていれば、早期発見につながる。
【空欄b,c】
情報漏洩の原因となる外部からの通信要求が発生する項目を選択することで正解が導けます。
【空欄d,e】
メール送信の記録に該当するものを選択することで正解を導けます。
設問2
答え:[すべてのサーバの時刻を同期させる]
ログから原因を追究する場合、各サーバで時刻が同期されていないと、ログからの感染経路の追及が行えません。
設問3
(1)答え:[改ざん]
不正侵入の痕跡を消すためにログの書き換えや消去が行われる可能性があるので留意が必要です。
(2)答え:[ログのバックアップをとることで、ログを比較し改ざんを検知することができる]
不正侵入が発生した場合に、その証拠となるログが削除されてしまうと原因追究が困難になります。そのためsyslogプロトコルを使用したログのバックアップ機能が存在します。
設問4
(1)答え:[ログの記録項目だけでは誰がそのアカウントを使用したのか識別が難しい]
ユーザIDからそれを使用している人物が本人なのか他人なのか判断できない。
(2)答え:
[平常時のログイン時刻やIPアドレスパターンと比較して異常検知ができるように、平常時のパターンを把握しておく]
平常時にどのような状況が発生しているのかが分からなければ、どのような状況が発生すれば、「不審な挙動」なのかを判断することができません。
→問題を見る
|
|
スポンサードリンク
|