基本情報&応用情報 問題と解説

アクセスカウンタ

zoom RSS H24_haru_AP_PM Q09 Ans.

<<   作成日時 : 2012/10/11 12:13   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

平成24年 春期 応用情報技術者 午後 問 9
解答例・解答の要点
設問 1
a (ログ)
b (改ざん)
c (誤検知)
d (踏み台)
設問 2

招集すべき要員をあらかじめ選定
または
対応に必要な要員を選定
設問 3

影響を受けるおそれのある部署への事前連絡
設問 4
(NTPサーバをネットワーク内に設置して、各機器の時刻を同期させる。)

解説
設問 1

インシデント発生時の状況を示す記録として、各サーバへのログイン状況
外部とのネットワーク通信状況、各サーバのプロセスの稼働状況
このことから
a (ログ)


具体的には、サーバのシステムログからサーバへのログインや
サーバ内のファイルへのアクセス状況を調査した。
また、インシデントが検知されたネットワーク内の各サーバから
外部に異常な通信がないかどうか、
ファイヤウォールとIDSのログを調査
した。
このことから
b (改ざん)


特定作業の結果、アラートが発せられた原因は、
E社の取引先がE社のWebサーバとの通信における応答時間を 
ping コマンドを使って測定する際に、
ping コマンドのオプション項目を誤って指定したことによって、
ping が短時間に大量に発信
されたことであったと判明した。

アノマリ型
IDSの検知方法の一つ
通常時のプロファイルを設定しておき
これに違反した場合に異常とみなす検知方式です。
通常時のトラフィック量などしきい値を設定し、
そのしきい値を調整することで誤検知を減らす点が特徴です。
また、このアノマリ型ではシグネチャ型で防ぐことのできなかった
未知の攻撃にも対応できるという点で優れています。

しきい値を小さくすると、攻撃を攻撃として判断されなったり、
逆にしきい値を大きくすると、攻撃ではないものも攻撃として
通知されてしまうという誤検知が発生します。
これらのことから
c (誤検知)


インシデントの原因調査と並行して、
社外の関係機関への連絡を準備するよう要員に指示したが、
インターネット上の他サイトは連絡の対象外とした。
また
[インシデント対応の整理]の(1)
アラートの内容から、インターネット上の特定のサイトから
自社のWebサーバに対する ping の発生頻度が高く、
外部からの攻撃の疑いがあると判断した。

こららの記述から
ほかのサイトには有害な行為をしていないものと判断したので
d (踏み台)

踏み台攻撃
目的のコンピュータに直接侵入する前に、他のコンピュータに侵入し、
そのコンピュータから目的のコンピュータに侵入する手口である。

ア SQLインジェクション攻撃
Webアプリケーションに悪意のある入力データを与えて
データベースの問合せや操作を行う命令文を組み立てて,
データを改ざんしたり不正に情報取得したりする攻撃

エ シグネチャ
IDSの検知方法の一つ
過去に認識された攻撃パターンをデータベース(DB)化したものであり、
1つの攻撃パターンを1つのシグネチャとして登録されます。
攻撃パターンのDBが変われば、導入しているIDSに
即時に適用しなければならないため、
シグネチャの更新が最も重要な要素になります。
また、過去の実績をもとにDBに更新をかけるため、
未知の攻撃に弱いという特性があります。

シグネチャに合わない攻撃は、見逃してしまうという誤検知が発生します。

設問 2

[インシデントの発生]
情報システム部では、インシデント発生時に、どのような関係部署や
社外の関係機関に連絡すればよいかを文書化しておらず、
連絡に漏れと遅れが生じた。
アラートへの対応はG課長とF主任が中心になって実施し、
対応に必要な要員を確保するのに時間を要したが、
結果的に大きな問題は生じなかった。

[H部長の意見]
(1)
インシデント発生時の連絡体制の整備について
・今回関係者への連絡が遅れたという事実への反省から、
 インシデント発生時に連絡すべき
 社内各部署の責任者、及び外部の機関を一覧にして連絡先を記載し、
 それを関係者に配布する。
・インシデントの内容や発生場所に応じて、[ e ] し、
 連絡先とともに文書化する。

連絡先一覧を作成したので、あとは人員だけを選ぶことになる。
したがって

招集すべき要員をあらかじめ選定
または
対応に必要な要員を選定

設問 3

[インシデント対応の整理]
(5)
通常業務が終了した時間帯であったが、特段の連絡は行わず
外部ネットワーク及び社内LANの他のセグメントから切断した。
この点に関しては、残業をしていた部署からクレームがあった。


この記述から
設問 3

影響を受けるおそれのある部署への事前連絡

設問 4
[H部長の意見]
(2)
各ログ間の前後関係がすぐには特定できず、
作業に手間取るという事象が発生した。

NTP(Network Time Protocol)
コンピュータの時計をネットワークを通して
正しくセットするためのプロトコルです。

ネットワークに接続される機器が持つ時計を同期させるためのプロトコルです。
複数の装置で処理を行うシステムにおいて、装置毎の時間が合っていないと、
処理を行った記録(ログ)などの時刻にずれがあるため、
障害発生時に原因の特定、
データの復旧が困難になってしまうため、時計を合わせる必要があります。

したがって
(NTPサーバをネットワーク内に設置して、各機器の時刻を同期させる。)

一覧に戻る

テーマ

注目テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
H24_haru_AP_PM Q09 Ans. 基本情報&応用情報 問題と解説/BIGLOBEウェブリブログ
文字サイズ:       閉じる