やさしいネットワークとセキュリティ

情報処理安全確保支援士、ネットワークスペシャリスト、技術士として、資格取得を目指す方に有益な情報を発信します。

オープンリゾルバ対策・NTP・AES・CRYPTREC【情報処理安全確保支援士試験 平成31年度 春期 午後2 問2 設問3】

 情報処理技術者試験、情報処理安全確保支援士試験の午後問題を通じて、情報セキュリティの知識を体系的に蓄積していきましょう。

 キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習できるいい機会です。

 今回は、「オープンリゾルバ対策・NTP・AES・CRYPTREC」を取り上げた「情報処理安全確保支援士試験 平成31年度 春期 午後2問2設問3」です。

 問題文中、設問に該当する部分ですぐに解答を説明しています。

 ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

情報処理安全確保支援士試験 平成31年度 春期 午後2 問2 設問3

問2 情報瀬セキュリティ対策の強化に関する次の記述を読んで、設問1〜7に答えよ。

(略)

f:id:aolaniengineer:20200524044117p:plain

f:id:aolaniengineer:20200524045409p:plain

(略)

【A社の情報システム】

 DMZ上のサーバには、グルーバルIPアドレスを割り当てている。DMZ上のサーバの概要を表4に示す。

f:id:aolaniengineer:20200522085637p:plain

e:x1.y1.z1.18

 まずは、該当する表4をしっかり見ましょう。

 A社キャッシュDNSサーバがDNSキャッシュ機能の一つとして、オープンリゾルバ対策の仕組みが挙げられています。

 DNSは任意のドメイン名の名前解決を行う仕組みです。

 利用者からのリクエストに代理となって動作するのがキャッシュDNSサーバで、各ドメインを管理する権威DNSサーバに再帰的に問い合わせ、結果を利用者に返答します。

 したがって、キャッシュDNSサーバは、利用者から見るとDNSサーバですが、権威DNSサーバに対してはDNSクライアントとして働きます。

 DNSクライアントのことをリゾルバと言い、利用者側をスタブリゾルバ、キャッシュDNSサーバ側をフルサービスリゾルバと言います。

 キャッシュDNSサーバは、通常、社内の利用者からのリクエストにのみ応答するよう設定されるべきですが、設定ミスなどでインターネットの誰からでもリクエストに応答するようになっている場合があります。

 このような状態のキャッシュDNSサーバをオープンリゾルバと言い、DDoS攻撃の踏み台として悪用されることで攻撃の加害者側になる危険性があります。

 さて、問われているのはオープンリゾルバ対策として、利用者をどのIPアドレスで指定するかということです。

 名前解決のリクエストはインターネットにアクセスする利用者が行います。

 A社のインターネットアクセスは、設問2でもあったように図1の注記4で説明されています。

「注記4 内部システムLAN上のサーバ及びDPCからのインターネットアクセスは、プロキシサーバ経由で行われる。」

 したがって、プロキシサーバのIPアドレスで指定すればいいことが分かります。

 プロキシサーバのIPアドレスは、同じ表4に記載されています。

f:NTP

 時刻同期を行うためのプロトコルということで、NTP(Network Time Protocol)になります。

 インターネット上で現在時刻の配信を行うNTPサーバが、問題文のような研究機関や通信事業者によって公開されていて、誰でも自由に利用することができます。 

 内部システムLAN上のサーバの概要を表5に示す。

f:id:aolaniengineer:20200522085716p:plain

 A社では、全ての従業員に個別のメールアドレスを割り当てており、従業員は、メールサービスを用いてメールを送受信している。

 従業員のメールアドレス以外に同報用のメールアドレスがあり、このアドレスに届いたメールは、登録された従業員のメールアドレスに同報される。

 従業員は、第三者に秘匿したい電子ファイルをメールに添付し、金型加工の発注元との間で送受信する場合には、ZIP形式で圧縮している。メール添付する際の圧縮ファイルの取り扱いについては、次のルールを定めている。

・発注元ごとの打合せで取り決めた、12字以上の英数字及び記号で構成されるランダムな文字列から成るパスワードから生成した鍵を用いて暗号化する。

・暗号化アルゴリズムは、(g:AES)を用いる。(g:AES)は、(h:CRYPTREC)が選定した、電子政府における調達のために参照すべき暗号リスト(平成30年3月29日版)でも利用が推奨されている共通鍵暗号である。(h:CRYPTRECは、暗号技術の適切な実装法や運用法の調査及び検討を行う国内のプロジェクトである。

g:AESh:CRYPTREC

 暗号化アルゴリズムとは暗号化の手順のことで、公開鍵暗号ではRSA、共通鍵暗号ではAESなどがあります。

 「電子政府における調達のために参照すべき暗号リスト」について学習しましょう。

  • 日本政府が目指す世界最先端のIT国家となるために、基盤となる電子政府のセキュリティを確保する必要があり、そのためには、安全性に優れた暗号技術を利用する必要がある。
  • そこで、安全性と実装性に優れた暗号技術を客観的に評価してリスト化するプロジェクトが2000年に発足した。それがCRYPTREC(Cryptography Research and Evaluation Committees)である。
  • CRYPTRECが選定した暗号技術は、総務省と経済産業省が「電子政府における調達のために参照すべき暗号リスト」(CRYPTREC暗号リスト)として公開されている。https://www.cryptrec.go.jp/list/cryptrec-ls-0001-2012r4.pdf

 情報システムで暗号技術を利用する際には、政府機関はもちろんですが、一般企業や組織でも、このCRYPTRECリストの暗号技術を用いるようにすることが推奨されています。

 設計情報管理サーバの利用者は、設計部員及び製造部員である。利用者IDは、利用者のメールアドレスである。初期パスワードには、メールアドレスと同じ文字列を登録し、利用者に通知する。利用者は、自身でパスワードを変更することができる。

 FW、プロキシサーバ、内部システムLAN上のサーバ、及び全てのDPCは、A社キャッシュDNSサーバとの間で(f:NTP)を用いて時刻同期を行なっている。

 DPCのIPアドレスは、DHCPサーバのDHCP機能及びL3SWのDHCPリレーエージェント機能によって、動的に割り当てられる。

 A社では、DMZ上及び内部システムLAN上にあるサーバの名称とIPアドレスの対応をDPCのhostsファイルに設定している。

 DPC、DMZ上のサーバ及び内部システムLAN上のサーバは、導入時に、OS、アプリケーションソフトウェア及びマルウェア対策ソフト(以下、これらを併せてA社標準ソフトという)に脆弱性修正プログラムを適用し、マルウェア対策ソフトはマルウェア定義ファイルを導入時点での最新版に更新している。

 導入後は、プロキシサーバ経由でA社標準ソフトの各ベンダのサイトに毎月末に自動で接続し、それぞれの脆弱性修正プログラムを適用している。

 DPC及びサーバ上のマルウェア対策ソフトは、起動時及び起動後2時間おきにプロキシサーバ経由でマルウェア対策ソフトベンダのサイトからマルウェア定義ファイルをダウンロードし、更新している。マルウェア対策ソフトでは、ファイルを読み書きするときにマルウェアスキャンする機能(以下、リアルタイムスキャンという)を有効にするとともに、全てのファイルをマルウェアスキャンする機能(以下、フルスキャンという)を、毎週火曜日12時に実行している。フルスキャン実行時、CPUの負荷を減らすために、圧縮ファイルは対象外としている。

【出典:情報処理安全確保支援士試験 平成31年度 春期 午後2問2(一部、加工あり)】