ファイナンス、情報通信技術のスキル・アグリゲーション・サイト
【平成27年度秋期 SC 午後Ⅱ 問1】~情報セキュリティスペシャリスト試験(SC)の過去の出題より~
情報処理推進機構(IPA)が実施する情報処理技術者試験の「情報セキュリティスペシャリスト試験」(SC)午後Ⅰ試験・午後Ⅱ試験の過去の出題から、情報セキュリティへの考えを深めていきます。
過去の試験問題の全文と解答例、講評が、 https://www.jitec.ipa.go.jp
試験対策以外にも、情報セキュリティ学習をさらに進めるためのきっかけとなれば、と思います。
問1 シンクライアント技術を利用したマルウェア対策に関する次の記述を読んで,設問1~5に答えよ。
現在の PC,サーバ及びネットワーク(以下,OA システムという)の構成を図1に示す。
図1 現在の OA システムの構成
A 社は,情報システムのセキュリティ管理の強化及びコストの削減のために,本店及び全支店の PC をシンクライアント (以下,TC という) 端末に段階的に移行し,A 社データセンタ(東京)内にサーバを集約することにした。
〔マルウェア対策の要件〕
TC 端末ヘの移行及びサーパの集約に当たり,情報セキュリティ管理部は,情報システム部に対して,近年重大な脅威となっているマルウェア感染による情報漏えいについて対策を求めた。情報セキュリティ管理部が想定した,マルウェアによる情報漏えいのシナリオは次のとおりである。
(1) 計画立案段階
- ・ 攻撃者が,A 社従業員のメールアドレス,職場関連の情報を収集する。
(2) 攻撃準備段階
- ・ 攻撃者が,収集した情報を差出人やメール件名に使って,従業員がだまされやすい文面のメールを作成する。
- ・ 攻撃者が,C&C(Commmd and Control)サーバを準備する。
(3) 初期潜入段階
- ・ 攻撃者が,メールを従業員に送信する。
- ・ メールの添付ファイル又は本文中の URL を従業員に開かせることによって,マルウェアを実行させる。
(4) 基盤構築段階
- ・ マルウェアが,C&C サーバの IP アドレスを用いて,C&C サーバとの通信を開始する。
(5) 目的遂行段階
- ・ マルウェアが,ファイルサーパ又はグループウェアサーパから機密情報を含んだファイル(以下,機密ファイルという)を盗み出す。
- ・ マルウェアが,盗み出した機密ファイルを C&C サーパから指示されたインターネット上のサーパに送信する。
情報セキュリティ管理部は,マルウェアによってファイルサ一パとグループウェアサーパ上の機密ファイルが,インターネット上のサーパに送信されることを防ぐために,情報漏えいのシナリオを踏まえた次の対策を新しい OA システムの要件とした。
(1) マルウェア感染対策(初期潜入段階に対する対策)
- 要件1. PC 及び各サーバにおいてウイルス対策ソフトを利用する。
- 要件2. ウイルスフィルタリングサーバによって,受信メールの添付ファイル及び Web サイトからダウンロードしたファイルに対するウイルススキャンを行う。
(2) マルウェア感染後の情報漏えい対策(基盤構築段階及び目的遂行段階に対する対策)
- 要件3. 認証プロキシサーパを新設し,利用者 ID とパスワードによる利用者認証及びアクセスログの取得を行う。インターネット上の Web サイトへのアクセスは,必ず認証プロキシサ一バを経由させる。
- 要件4.基構築段階及び目的遂行段階で利用される通信を禁止する。
情報システム部の Z 部長は、部下の Y さんに,要件1~4 を考慮した OA システムの設計を行い,情報セキュリティ管理部のレビューを受けるよう指示した。
〔新しい OA システムの設計〕
図2 設計案1の構成
表1 設計案1における通信
項番 送信元 宛先 プロトコル 1 PC 又は TC 端末 TC サーバ TC サーバ製品の独自プロトコル 2 TC サーバ ファイルサーバ Windows ファイル共有プロトコル 3 TC サーバ グループウェアサーバ グループウェア独自プロトコル 4 グループウェアサーバ メールゲートウェイ B SMTP 5 メールゲートウェイ B メールゲートウェイ A SMTP 6 メールゲートウェイ A インターネット上のメールサーバ SMTP 7 インターネット上のメールサーバ メールゲートウェイ A SMTP 8 メールゲートウェイ A メールゲートウェイ B SMTP 9 メールゲートウェイ B グループウェアサーバ SMTP 10 TC サーバ 認証プロキシサーバ HTTP 及び HTTP over TlS(以下,HTTPS という) 11 認証プロキシサーバ インターネット上の Web サーバ HTTP 及び HTTPS
- 注記1 DNS 及ぴ Windows のディレクトリサービスの通信は,省略している。
- 注記2 表及び注記1に記載のない通信は FW によって禁止されている。
- 注記3 FW,ルータなど TCP コネクションを終端しない機器は送信元及び宛先として記載していない。
設計案1の概要は,次のとおりである。
- ・ ネットワークを複数のネットワークに分け,FW でネットワーク間の通信を制限する。
- ・ TC には,OS 及びクライアントアプリケーションを複数の利用者で共有する,画面転送型又はサーパべース方式と呼ばれる方式を採用する。
- ・ TC サーパの OS 上で,クライアントアプリケーションが稼働する。
- ・ PC にはビュ一ア( TC 端末の機能を提供するソフトウェア)を導入するが,その後,本店及ぴ支店ごとに段階的に PC から TC 端末ヘ移行する。
- ・ TC 端末及ぴビューアから TC サーパまでの間は,TC サーパ製品独自のプロトコルで通信し,次のデータを送受信する。
- - デスクトップ及び TC サーバ上で動作するクライアントアプリケーションの画面
- - キーボ一ド,マウスの操作情報
- ・ 認証プロキシサーバは,利用者 ID とパスワードによる利用者認証を行う。次のいずれかの利用者認証の方式を選択できるが,方式2を選択する。
方式1. 利用者が Web ブラウザを起動するたびに認証する。 方式2. 認証が成功すると,設定された時間が経過するまでは,クライアントの IP アドレスによって認証済みの利用者とみなす。
〔マルウェア対策を考慮した修正〕
Y さんが設計案1について情報セキュリティ管理部のレピューを受けたところ,次の3点が指摘された。
- 指摘1. 要件2のウイルススキャンが行われない場合がある。要件2を満たすように対策を強化する必要がある。
- 指摘2. 要件3の認証プロキシサーパの方式選択について,方式2では要件3を満たせない。方式1を選択すベきである。
- 指摘3. FW 及び IPS による通信の制限だけでは要件4を満たしていない。 対策を追加する必要がある。
Y さんは,情報セキュリティ管理部の指摘を反映した修正案(以下,設計案2という)を作成し,情報セキュリティ管理部と Z 部長の承認を得た。設計案2では,TC サーバを,用途によってオフィス環境用 TC サーバ(以下,OA 用 TC サーパという)とインターネットアクセス用 TC サーパ(以下,IA 用 TC サーバという)に分けている。また,本店及び全支店でのメールによるファイル送信及びインターネット上の Web サイトヘのファイルアップロードを,情報漏えい防止サーバ(以下,DLP サーパという)を使って制限する対策を追加している。DLP サーバの仕組みは次のとおリである。
- ・ HTTP 通信及び SMTP 通信でインターネットに送信されるファイルに,住所,氏名,電話番号又は機密,個人情報などの区分を示す文字列が含まれていないかを検査する。
- ・ 機密や個人情報に該当すると判断した場合は,通信を遮断し,ファイル送信を行った従業員と情報システム部の管理者に警告メッセージを送る。
設計案2の構成を図3に,設計案2における通信を表2に,それぞれ示す。
図3 設計案2の構成
表2 設計案2における通信
項番 送信元 宛先 プロトコル 1 PC 又は TC 端末 OA 用 TC サーバ TC サーバ製品の独自プロトコル 2 OA 用 TC サーバ ファイルサーバ Windows ファイル共有プロトコル 3 OA 用 TC サーバ グループウェアサーバ グループウェア独自プロトコル 4 グループウェアサーバ メールゲートウェイ B SMTP 5 メールゲートウェイ B メールゲートウェイ A SMTP 6 メールゲートウェイ A インターネット上のメールサーバ SMTP 7 インターネット上のメールサーバ メールゲートウェイ A SMTP 8 メールゲートウェイ A メールゲートウェイ B SMTP 9 メールゲートウェイ B グループウェアサーバ SMTP 10 PC 又は TC 端末 IA 用 TC サーバ TC サーバ製品の独自プロトコル 11 IA 用 TC サーバ 認証プロキシサーバ HTTP 及び HTTPS 12 認証プロキシサーバ SSL プロキシサーバ HTTP 及び HTTPS 13 SSL プロキシサーバ インターネット上の Web サーバ HTTP 及び HTTPS
- 注記1 DNS 及ぴ Windows のディレクトリサービスの通信は,省略している。
- 注記2 表及び注記1に記載のない通信は FW によって禁止されている。
- 注記3 FW,ルータなど TCP コネクションを終端しない機器は送信元及び宛先として記載していない。
〔業務要件を踏まえた再修正〕
(1) 共同融資業務
- a. 融資案件の幹事の金融機関から,融資案件に対する融資依頼のメールが送られてくる。オンラインストレージ上には当該融資案件に関するファイル(以下,案件ファイルという)が置かれており,メールにそれら案件ファイルのリストを含むページの URL が含まれている。
- b. 融資依頼のメール中の URL をクリックしてリストにアクセスする。
- c. リストから案件ファイルを選択し,ファイルサーパにダウンロードする。
- d. 融資案件に融資する場合,幹事の金融機関に対して,返信メールで,参加表明と融資額を連絡する。
(2) 幹事業務
- e. オフイスソフトウェアを使って案件ファイルを作成し,ファイルサーバに保存する。
- f. ファイルサーパからオンラインストレージに案件ファイルをアップロードする。
- g. 他の金融機関宛ての融資依頼のメールを作成し,オンラインストレージ上の案件ファイルのリストを含むページの URL を,Web ブラウザの画面からメール中にコビーして貼り付ける。
- h. 融資依頼のメールを送信する。
1融資案件当たリの案件ファイルの合計サイズは,最大 500M バイトである。海外支店 X では,業務の最繁時間帯の 9:00~10:00 の間,100 名の従業員が,1 名当たり最大 3 件の共同融資業務を行っており,この業務スピードを維持する必要がある。融資案件ヘの融資会社募集は,必要な資金が集まった時点で打ち切られ,幹事の金融機関によって融資先及ぴ融資元との間の契約手続が開始されることから,利益率,リスクが好条件の案件ほど参加表明と融資額を早く連絡する必要がある。幹事業務は,9:00~10:00 の間は行われない。
Y さんは,マルウェア対策に加えて海外支店 x において他の金融機関との共同融資業務及び幹事業務を可能にする修正案(以下,設計案3という)を作成した。設計案3では,海外支店 X 専用に,ファイルサーパ及び TC サーパが追加されている。
設計案3の構成を図4に,設計案3における通信を表3に,それぞれ示す。
図4 設計案3の構成
表3 設計案3における通信
〔バフォーマンス検証〕
Y さんは,設計案3について,情報セキュリティ管理部と Z 部長の承認を得た後,海外支店 X に対して説明会を開いた。海外支店 X は,設計案3が共同融資業務での業務スピード維持に必要なパフォーマンス要件を満たせるのかどうかについて検証を求めた。
Y さんが試算したところ,パフォーマンス要件を満たすには,インターネット接続回線の帯域幅を確保するために大きなコストが必要になることが判明した。Y さんは,海外支店 X については例外的に,TC 端末に移行せずに,システム運用とセキュリティ管理も含めて PC 及び支店固有のインターネット接続回線を図1の現状のまま継続利用せざるを得ないと結論付けた。Y さんは,設計案3を更に修正した設計案(以下,設計案4という)を作成し,その内容と修正理由を情報セキュリティ管理部と Z 部長に説明した。設計案4の構成を図5に示す。
図5 設計案4の構成
情報セキュリティ管理部と Z 部長は,海外支店 X のインターネット接続におけるセキュリティ対策について,次の二つを条件として,設計案4を承認した。
-
・ ①他の支店と同等の技術的対策を行うこと
-
・ 新しい OA システムは,国内,海外ともに情報システム部が構築,運用及びセキュリティ管理を行い,情報セキュリティ管理部がセキュリティ管理状況を定期的に監査すること
A 社は,条件を満たすように見直した設計案4に基づき,新しい OA システムの本格運用を開始した。
Y さんは,設計案3について,情報セキュリティ管理部と Z 部長の承認を得た後,海外支店 X に対して説明会を開いた。海外支店 X は,設計案3が共同融資業務での業務スピード維持に必要なパフォーマンス要件を満たせるのかどうかについて検証を求めた。
Y さんが試算したところ,パフォーマンス要件を満たすには,インターネット接続回線の帯域幅を確保するために大きなコストが必要になることが判明した。Y さんは,海外支店 X については例外的に,TC 端末に移行せずに,システム運用とセキュリティ管理も含めて PC 及び支店固有のインターネット接続回線を図1の現状のまま継続利用せざるを得ないと結論付けた。Y さんは,設計案3を更に修正した設計案(以下,設計案4という)を作成し,その内容と修正理由を情報セキュリティ管理部と Z 部長に説明した。設計案4の構成を図5に示す。
図5 設計案4の構成
情報セキュリティ管理部と Z 部長は,海外支店 X のインターネット接続におけるセキュリティ対策について,次の二つを条件として,設計案4を承認した。
- ・ ①他の支店と同等の技術的対策を行うこと
- ・ 新しい OA システムは,国内,海外ともに情報システム部が構築,運用及びセキュリティ管理を行い,情報セキュリティ管理部がセキュリティ管理状況を定期的に監査すること
A 社は,条件を満たすように見直した設計案4に基づき,新しい OA システムの本格運用を開始した。
設問1 〔新しい OA システムの設計〕 について,(1),(2) に答えよ。
(1) 設計案1 について,次の(a)~(c)の場面で利用される全ての通信を, それぞれ表1 中の項番で答えよ。
- (a) 本店の TC 端末を利用して, グル一プウェアサーパ上のファイルをファイルサ一パに転送する。
- (b) インターネットトから A 社にメールが届き, そのメ一ルを国内支店の TC 端末を利用して閲覧する。
- (c) 海外支店の PC を利用して,インターネット上の Web サイトにアクセスする。
設問 解答例・解答の要点 設問1 (1) (a) 1,2,3 (b) 1,3,7,8,9 (c) 1,10,11
(2) 設計案1 において,受信メールの添付ファイルを海外支店の TC 端末から開いてマルウェアに感染した場合, マルウェアはどの構成要素上で動作するか。図2中の用語で答えよ。また,その後,マルウェアがファイルサーパ上のファイル及びグループウェアサーバ上のファイルを盗み出してインターネット上の Web サーバに送信するのに利用する全ての通信を,表1 中の項番で答えよ。
設問 解答例・解答の要点 設問1 (2) 構成要素 TC サーバ 通信 2,3,10,11
設問2 〔マルウェア対策を考慮した修正〕 について,(1)~(5) に答えよ。
(1) 指摘1について, ウイルススキャンが行われないのはどのような場合か。二つ挙げ,それぞれ 25 字以内で述ベよ。
設問 解答例・解答の要点 設問2 (1) ① ・ 通信が暗号化されている場合 ② ・ ファイルが暗号化されている場合
(2) 指摘2について,方式2が要件を満たせない理由を,技術的要因を含めて 75 字以内で述べよ。
設問 解答例・解答の要点 設問2 (2) クライアントアプリケーションのプロセスが起動される度に,IP アドレスが変わるので,認証済みのほかの利用者として認証されてしまう可能性があるから。
(3) 設計案2 において,利用者がインターネット上の Web サイトのファイルを閲覧してマルウェア感染が起きた場合,マルウェアはどの構成要素上で動作するか。 図3中の用語で答えよ。
設問 解答例・解答の要点 設問2 (3) IA 用 TC サーバ
(4) 設計案2 において,利用者が受信メールの添付ファイルを開いてマルウェア感染が起きた場合,マルウェアはどの構成要素上で動作するか。図3中の用語で答えよ。
設問 解答例・解答の要点 設問2 (4) OA 用 TC サーバ
(5) 設計案2 におけるマルウェア対策について,目的遂行段階でマルウェアが利用する二つの通信のうち,FW によって禁止されているのはどの通信か。マルウェアの実行がインターネット上の Web サイトのファイルを閲覧して起きた場合,及び受信メールの添付ファイルを開いて起きた場合のそれぞれについて,送信元,宛先及びプロトコルを答えよ。
設問 解答例・解答の要点 備考 設問2 (5) \ a 群 b 群 同じ群中の組合せとする Web サイトのファイルを閲覧した場合 送信元 IA 用 TC サーバ IA 用 TC サーバ 宛先 ファイルサーバ グループウェアサーバ プロトコル Windows ファイル共有プロトコル グループウェア独自プロトコル 受信メールの添付ファイルを閲覧した場合 送信元 OA 用 TC サーバ 宛先 インターネット上の Web サーバ プロトコル HTTP 及び HTTPS
設問3 〔業務要件を踏まえた再修正〕 について,(1),(2) に答えよ。
(1) 海外支店 X の共同融資業務及び幹事業務のうち,設計案2 では実現できない項目を全て挙げ, 本文中の a ~ h の記号で答えよ。
設問 解答例・解答の要点 設問3 (1) b,c,f,g
(2) 設計案3 において, 海外支店 X の PC からインタ一ネット上の Web サイトのファイルを閲覧してマルウェアに感染した場合,及び受信メールの添付ファイルを開いてマルウェアに感染した場合,それぞれマルウェアはどの構成要素上で動作するか。図4中の用語で答えよ。
設問 解答例・解答の要点 設問3 (2) Web サイトのファイルを閲覧した場合 海外支店 X 用 TC サーバ 受信メールの添付ファイルを閲覧した場合 海外支店 X 用 TC サーバ
設問4 〔パフォーマンス検証〕 について,(1),(2) に答えよ。
(1) パフォーマンス要件を満たすために必要な回線速度は何 M ビット/秒か。小数第1位を四捨五入して整数で答えよ。ここで,回線使用率は 70 %とする。また,1M バイト = 106 パイト,1M ビット/秒 = 106 ピット/秒とし,制御デ一タ及びエラーによる再送については,回線使用率の前提条件で考慮されているものとする。
設問 解答例・解答の要点 設問4 (1) 476
500 M バイト × 100 人 × 3 件 × 8 ビット ÷ 3600 秒 ÷ 70 % ≒ 476.19 M ビット/秒
(2) 本文中の 下線① を実現するために,図5中の海外支店 X の DMZ に追加すべき構成要素を解答群の中から全て選び, 記号で答えよ。解答群
- ア DLP サーバ
- イ IA 用 TC サーバ
- ウ IPS
- エ OA 用 TC サーバ
- オ SSL プロキシサーバ
- カ TC サーバ
- キ ウイルスフィルタリングサーバ
- ク 認証プロキシサーバ
設問 解答例・解答の要点 設問4 (2) ア,ウ,オ,キ,ク
設問5 設計案4 において,監査とセキュリティ管理の役割をーつの組にもたせた場合,どのような不都合が起こるか。30 字以内で述ぺよ。
設問 解答例・解答の要点 設問5 セキュリティ管理の状況を客観的に監査できないという不具合
【平成27年度秋期 SC 午後Ⅱ 問1】を公開しました。
情報セキュリティスペシャリスト試験(SC)の過去の出題より
情報セキュリティ・キーワード 2016
ファイナンシャル・プランニング
6つの係数
終価係数 : 元本を一定期間一定利率で複利運用したとき、将来いくら になるかを計算するときに利用します。
現価係数 : 将来の一定期間後に目標のお金を得るために、現在いくら の元本で複利運用を開始すればよいかを計算するときに利用します。
年金終価係数 : 一定期間一定利率で毎年一定金額を複利運用で 積み立て たとき、将来いくら になるかを計算するときに利用します。
年金現価係数 : 元本を一定利率で複利運用しながら、毎年一定金額を一定期間 取り崩し ていくとき、現在いくら の元本で複利運用を開始すればよいかを計算するときに利用します。
減債基金係数 : 将来の一定期間後に目標のお金を得るために、一定利率で一定金額を複利運用で 積み立て るとき、毎年いくら ずつ積み立てればよいかを計算するときに利用します。
資本回収係数 : 元本を一定利率で複利運用しながら、毎年一定金額を一定期間 取り崩し ていくとき、毎年いくら ずつ受け取りができるかを計算するときに利用します。
積み立て&取り崩しモデルプラン
積立金額→年金額の計算 : 年金終価係数、終価係数、資本回収係数を利用して、複利運用で積み立てた資金から、将来取り崩すことのできる年金額を計算します。
年金額→積立金額の計算 : 年金現価係数、現価係数、減債基金係数を利用して、複利運用で将来の年金プランに必要な資金の積立金額を計算します。
