ネットワークスペシャリスト 平成27年秋期試験 午後Ⅰ 問3 設問3

ネットワークスペシャリスト 平成27年秋期試験 午後Ⅰ 問3

設問3 [IPSの追加]について、(1)〜(3)に答えよ。

(1) 本文中の下線③で可能としている、一時的な運用を50字以内で述べよ。

③防御対象のサーバに新たに脆弱性が発見された場合の一時的な運用に対応できるものがある。

一時的な運用という曖昧なワードから50字答える問題。IPAによれば正答率が低かったとあり、かなり難しい問題だと思う。

運用の観点で考えると、問題文の前半に以下のような記述がある。

また、最近発見された一部のサーバのミドルウェアの脆弱性を悪用する攻撃は、FWのIDS機能では検出できないものであった。このときは、アプリケーションへの影響確認テストに時間が掛かり、当該サーバにセキュリティパッチを適用するまで、営業支援システムを数日間休止せざるを得なかった。

脆弱性が発見された場合、セキュリティパッチを適用するまで数日間休止する必要があったが、問題文からも分かるように、本来は休止したくなかった。この対応によるサービス休止をしないで済むような機能が「一時的な運用」である。

さらに分解すると、「一時的」に該当する時間とは、セキュリティパッチを適用するまでであり、「運用」とは、セキュリティパッチの代わりに脆弱性を悪用する攻撃を遮断することである。

これらをまとめるとIPAの解答のようになる。解答は「保護する危機にセキュリティパッチを適応するまでの間、脆弱性を悪用する攻撃の通信を遮断する」となっている。

このような問題の内容がわかりにくい場合には、問題文全体を見直すと良いかもしれない。

(2) 本文中の下線④の、IPSが実装している機能とは何か。25字以内で述べよ。

IPSの障害対策には、並列に複数台導入する冗長化が考えられる。しかし、導入候補のIPSには、④IPSの機能の一部が故障した場合に備えた機能があった。

IPSが故障した場合には当然不正検知や遮断機能は使えなくなるが、それ以外の問題も抱えていることが分かる。ではどのような問題があるのだろうか。ヒントとなる部分を抜き出して見る。

ネットワークの通信量が急激に増えた場合でも、営業支援システムのレスポンス悪化を避け、継続して利用できる状態にすることが重要である

営業支援システムの継続利用を優先することから、H君はIPSを冗長化しないことにした。

これらから、IPSが故障した場合、通信経路に問題が発生することが読み取れる。また、図2からも分かるように、DMZへの通信経路上にIPSが接続されており、単一障害点となっている。

さて問題文に戻ると、④におけるIPSの一部が故障した場合にも備えた機能というのは、これらの裏返しになる。つまり障害時にも通信を継続できる機能である。IPAの解答としては「通信をそのまま通過させ、遮断しない機能」となっている。この機能は「バイパス機能」や「フェールオープン機能」と呼ばれている。

同じような問題が平成23年の午後Ⅰの問1で出題されている。

(3) IDSとIPSの導入後に、セキュリティレベルの継続的な向上のために、管理用PCを使ってどのようなことを行うか。35字以内で具体的に述べよ。

IPSについて以下のような記述がある。

しかし、IPSは正常な通信を誤って検知してしまうこと(フォールスポジティブ)、又は不正な通信を見逃してしまうこと(フォースルネガティブ)があり、双方のバランスをとって効果的な侵入防御を実現することが重要である。

不正検知の設定にはバランスが必要であり、実績を確認しながら調整が必要であることが分かる。

また、(1)でもあったとおり、脆弱性を悪用した攻撃は日々進化しており、それに合わせて設定内容を最適化していく必要がある。管理用PCではIDSやIPS上のログを取得できるので、ログの内容を解析し設定内容に反映させいくことで、セキュリティレベルの継続的な向上することができる。

解答には、「ログを解析を行う点」と「不正アクセスに対する設定の最適化を行う点」を軸に書けていれば良いかと思う。

IPAの解答では「不正アクセスへの対応を最適化するために、ログを取得して解析する」となっている。

 

28年へつづく。。