このページでは、情報セキュリティスペシャリスト試験(SC)(現 情報処理安全確保支援士試験)、平成21年度 春期 午後Ⅰの問2「ソフトウェアの脆弱性への対応」の問題文と解答例を掲載しています。
問題と解答(PDF)
問題文
問2 ソフトウェアの脆弱性への対応に関する次の記述を読んで,設問1~3に答えよ。
B社は,従業員数 400 名で昨年度の年間売上高が80億円の菓子製造業者であり,インターネット上の Web 販売システムにおいて自社製品の販売を行っている。この Web 販売システムの管理は社内のシステム運用部が行っている。Web販売システムの構成を図1に,Web 販売システムの概略仕様を図2に示す。
〔脆弱性情報の発見〕
B 社は情報セキュリティ専門会社からセキュリティ情報の提供を受けている。ある 日,Web 販売システムで使用中の Web サーバプログラムに脆弱性が発見されたとの情 報が提供された。この Web サーパプログラムの脆弱性情報を図3に示す。
〔脆弱性の評価〕
次は,Web サーバプログラムの脆弱性に関する,システム運用部のP君とQ課長との会話である。
P君:当社が Web 販売システムで使用している Web サーバプログラムに脆弱性が 存在することが報告されました。
Q課長:まず対処の緊急性を検討しよう。図4に示す当社の脆弱性評価規程に当ては めると判定結果はどうなるのか。
P君 :私は損害金額の算出が難しい場合の基準を適用し,① “緊急”に相当すると 判定しました。
Q課長:私も“緊急”と判定する。それに,2図3の脆弱性情報から考えても,攻撃 が実際に行われる可能性が高い。早速,対策の検討を開始しよう。運用管理 グループリーダのS君を呼んでくれ。
〔暫定的対策の検討〕
Q課長:それでは今回の脆弱性について対策の検討を始めよう。P 君,考えられる対策には何があるのか。
P君:現在,開発元から Web サーバプログラムの修正プログラムが提供されていな いので暫定的対策となりますが, POST メソッドでのアクセスを拒否する方法が考えられます。
S君 :Web 販売システムでPOST メソッドでのアクセスを拒否すると,HTML 文書 の [ a ]要素内に利用者が入力したデータを受け付けることができず製品の販売ができなくなってしまいます。HTML 文書を修正して, POST メ ソッドを GET メソッドに置き換えた上で POST メソッドでのアクセスを拒 否するという対策であれば,製品販売も続けられます。
Q課長:いや,GET メソッドを使用するとクエリストリングに利用者が入力した情報が含まれることとなり,POST メソッドと比較して③新たな情報漏えいの可能性が生じる。その方法ではなく, Web 販売システムに設置してある IPS に 暫定的対策として拒否条件を追加することはできないのか。
P君 :この IPS では,④シグネチャをカスタマイズすることで実現可能だと思われます。
S君 :IPS による対策であれば,システム運用上大きな問題はないと思われます。
Q課長:それでは, IPS による暫定的対策を実施することとする。P君は IPS のカスタマイズの準備にかかってくれ。また,修正プログラムの適用が完了するまで,Web アクセスログ, IPS の検出ログの確認頻度を1日3回に増やして、Web 販売システムに関する監視を強化することとする。
この検討の後,速やかにIPS による暫定的対策を実施した。
〔修正プログラムの適用〕
暫定的対策を実施した日から 10日後に, P 君は,脆弱性に対応する修正プログラムの提供が開始されたことをQ課長に報告した。報告にはS君も同席した。
P君 :Web サーバプログラムの脆弱性に対応する修正プログラムの提供が開始されました。早急に, Web サーバに適用したいと思います。
Q課長:今回の脆弱性と対策について営業課のT課長に説明したところ,“1 週間前に当社の製品がテレビ番組で取り上げられた。その直後から,Web 販売システムでの販売が著しく伸びているので,システムを停止されては困る。”との意見が返ってきた。この意見も尊重した上で適用時期と適用方法について検討してほしい。
P君:しかし,暫定的対策は完全なものとはいえず,速やかに修正プログラムを適用すべきだと考えます。例えば,夜間など一時的に負荷が軽くなる時間帯を選んで適用作業をしてはいかがでしょうか。
S君 :過去1 週間の傾向では,昼間の時間帯はサーバ3台の処理能力がフルに必要なほどアクセスが多いのですが,深夜2時から朝8時までの間はアクセスが少なく,サーバ1台でも処理が可能な状態となっています。
P君 :修正プログラムの適用に必要な作業時間は,サーバ 1台当たり何時間と想定されるのでしょうか。
S君 :サーバの停止から修正プログラムの適用,再起動まで含めておおよそ30分程度で完了すると見込まれます。
P君 :それでは,図5 に示す手順で作業を行えば, Web 販売システムを停止させることなく修正プログラムを適用することができるのではないでしょうか。
Q課長:確かに,この手順であれば修正プログラムの適用が可能だ。⑤T 課長に修正プログラム適用手順,実施日時を説明した上で速やかに修正プログラムの適用を実施しよう。
その後,T課長への説明も済み,図5の手順によって速やかに修正プログラムの適用を実施することになった。その結果, Web 販売システムの停止を伴うことなく脆弱性の対策が完了した。
設問
設問1
〔脆弱性の評価〕について,(1), (2) に答えよ。
(1) 本文中の下線のにおいて, P君が脆弱性について“緊急”に相当すると判定 した具体的根拠は何か。50字以内で述べよ。
(2) 本文中の下線のにおいて,Q課長が,攻撃が実際に行われる可能性が高いと考えた根拠は何か。25字以内で述べよ。
設問2
(暫定的対策の検討)について,(1)~(4) に答えよ。
(1) 本文中の[ a ]に入れる適切なHTML の要素名を,英文字6字以内で答えよ。
(2) 本文中の下線③について,情報漏えいの可能性が生じる理由を,“クエリストリング”という語を用いて70字以内で述べよ。
(3) 本文中の下線④について,暫定的対策を実現するために拒否条件として IPSに登録すべきシグネチャの具体的内容を,40字以内で述べよ。
(4) 本文で述べている IPS による対策に加えて,図2中の仕様の一部の設定を変更する対策も可能である。この一部とは図2中の (a)~(g) のいずれであるかを記号で答えよ。また,対策の内容について30字以内で述べよ。
設問3
〔修正プログラムの適用〕について,(1), (2) に答えよ。
(1) 図5中の[ b ]に入れる適切な字句を,15字以内で述べよ。
(2) 本文中の下線6について, Web 販売システムにおける修正プログラム適用後のトラブルを予防するために,T課長への説明の前に実施すべき作業がある。適切と思われる作業内容を, 40字以内で述べよ。
解答例
設問1
(1)
- 攻撃者が指定したコマンドが実行されると, システムが全面的に停止するおそれがある。
- 管理者権限が奪われ, DB サーバ内の個人情報が漏えいする可能性がある。
(2)
- 攻撃手法が公開されている。
- Exploit コードを基にした攻撃が予想される。
設問2
(1)a:
form 又はinput
(2)
- Referer ヘッダにクエリストリングが記載されるので,リンク先などの外部 サーバに入力データが送信されるおそれがある。
- Web サーバのアクセスログにクエリストリングが記録されるので,ログから 入力データが読み取られるおそれがある。
(3)
- X-Sender というフィールドを含んだ HTTPヘッダを検出する。
- HTTPヘッダからX-Sender で始まる行を検出する。
(4)
記号:(f)
対策の内容:Web サーバプログラムの動作権限を必要最小限とする。
設問3
(1)b:
- 運用系から切り離す
- 待機系にする
- スタンバイ状態にする
(2)
動作試験用システムで,修正プログラム適用後の動作の正常性を確認する。
出題要旨
今日,システムの安全な運用を継続するためには, 脆弱性情報の適切な取扱いと, 修正プログラムの迅速な適用などの情報セキュリティ運用は,必須要件となっている。
本問では,コンピュータシステムの日常運用で必要とされる脆弱性管理のポイント,具体的には,日々公表される脆弱性情報に関して,その内容から自社システムにおいて必要な対応を決定するための判断, 脆弱性が大きな問題となる Web サーバで使用される http の理解,OS, アプリケーションプログラムなどへ修正プログラムを適用する作業に関する理解について問う。
関連リンク
その他の過去問は下記リンクなどもご覧ください。