情報処理技術者試験、情報処理安全確保支援士試験の午後問題を通じて、情報セキュリティの知識を体系的に蓄積していきましょう。

　キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習できるいい機会です。

　今回は、「情報セキュリティ対策の強化」を取り上げた「情報処理安全確保支援士試験 平成30年度 春期 午後1 問2」の設問2です。

　問題文中、設問に該当する部分ですぐに解答を説明しています。

　ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

情報処理安全確保支援士試験 平成30年度 春期 午後1 問2 設問2

問2　情報セキュリティ対策の強化に関する次の記述を読んで、設問1〜3に答えよ。

（略）

（略）

（略）

（略）

〔サーバの設定の点検及び見直し〕

　KさんはW氏の支援を受けて、表4に示すサーバの設定のチェックリストを作成した。

e：インターネット上のドメイン名についての名前解決

　オープンリゾルバ（Open Resolver）とは、DNSサーバがインターネットからの問合せに応答するよう設定されている状態のことで、DNSリフレクション攻撃など、DNSサーバが攻撃者の踏み台として悪用される可能性があるため、好ましくない状態とされています。

　表2にあるDNSサーバの機能概要に以下の記述があります。

1. インターネット向けのT社ドメイン名を管理する機能がある。
2. インターネット上のドメイン名の名前解決を行う機能がある。
3. オープンリゾルバ防止機能がある。

　3項のとおり、オープンリゾルバ防止機能は有効になっているものの、2項にあるようにT社内（DMZ上のサーバ）からのインターネット上のドメイン名の名前解決は可能にする必要があります。

　これを可能にするには、2項で、DMZ上のサーバからのみインターネット上のドメイン名の名前解決を行えるとすることです。

　表4に基づいて点検していたところ、プロキシサーバのポート制限機能に問題があることが分かった。次は、プロキシサーバのポート制限機能の利用方法に関するW氏とKさんの会話である。

W氏：プロキシサーバの設定をみると、CONNECTメソッドの悪用を防ぐ制限がなされていませんね。

Kさん：CONNECTメソッドを悪用すると、どういう問題が生じるのでしょうか。

W氏：図3に示すようにCONNECTメソッドを悪用してトンネルを確立させることで、Webメールサーバの機能を回避できます。そして、①この回避によっていくつかの問題が生じます。

Kさん：ポート制限機能に関する設計の見直しと設定変更案を作成します。

①について、回避によって生じる問題を二つ挙げ、それぞれ40字以内で具体的に述べよ。：インターネットへのメールの送信を許可されていない従業員が、送信できるという問題/送信者メールアドレスを詐称したメールを送信できるという問題/マルウェアのスキャンを行わずにメールを送信できるという問題

　CONNECTメソッドは、プロキシサーバ経由でHTTPS通信を中継する際に利用されるものです。コネクション確立時に接続先のドメイン名またはIPアドレスを指定して、TCPトンネルを確立した後、そのTCPトンネル内で通信することが可能となります。

　図3では「x1.y1.z1.4:25」とあり、外部メールサーバのSMTPのポートにトンネル接続をリクエストするものです。これにより、HTTPS通信で直接外部メールサーバとSMTP通信が可能となります。

　本来、社内からのSMTP通信はWebメールサーバを介して外部メールサーバとやり取りされますので、外部メールサーバと直接SMTP通信が可能となるとWebメールサーバの機能が回避されてしまいます。

　表1にあるWebメールサーバの機能で、SMTP通信に関して回避される機能は以下のとおりです。

• SMTP通信及びHTTP通信のマルウェアスキャンを行うマルウェアスキャン機能がある。
• 送信メールについて、送信者メールアドレスをメールアカウントに対応付ける送信者メールアドレス詐称防止機能がある。
• インターネットへの送信メールについて、送信者メールアドレスごとにインターネットへの送信の可否を設定できるインターネットメール送信制限機能がある。

　KさんとW氏は、サーバの点検を続け、他に問題がないことを確認した。

【出典：情報処理安全確保支援士試験 平成30年度 春期 午後1問2（一部、加工あり）】