(1)次の文章は、サーバの要塞化などについて述べたものである。
サーバの要塞化の目的は、一般に、脆弱な部分や脆弱になる恐れのある部分を減らす又はなくすことにより、セキュリティリスクを小さくすることとされている。
デフォルトの設定でOSをインストールすると、各種の【サービス】が稼働することがあるため、用途に応じて【サービス】の停止/無効化の設定を行うのが要塞化の第一歩となる。また、【セキュリティパッチ】を随時適用することも、要塞化にとって極めて重要な作業となる。OSやアプリケーションの脆弱性は日々発見されており、脆弱性を狙う攻撃の手法やウィルスが増えている。
そのほとんどは、【セキュリティパッチ】を正しく適用していれば防ぐことが可能である。【アクセス権】の設定により、不正な行為や人的ミスの発生などを軽減できる。
OSやアプリケーションをインストールすると、サンプルプログラムも一緒にインストールされることがある。サンプルプログラムの中には脆弱性が存在するものもあるため、攻撃の対象となってしまう恐れがある。このため、不要なファイルやプログラムは、削除するかユーザがアクセスできない場所に移動しておくことが望ましい。
また、【ログの分析】は、OSやアプリケーションの設定ミス、【アクセス権】の設定ミス、アプリケーションに対する攻撃などを発見するのに効果が見込めることから、サーバの要塞化として有効な方法である。
(2)情報システムにおけるセキュリティインシデントなどについて述べた次の文章のうち、誤っているものは、【③】である。
①インシデント対応は、拡大防止策と原因除去、回復にとどめず、再発防止まで徹底することが重要とされている。
②インシデントの初期対応としては、システム状態の保全を念頭に置き、対応組織への連絡、発生事実の確認、システムの隔離などを行う。
③各企業は、企業情報を守るため、インシデントの緊急度をレベル分けしておき、各レベルのインシデントが発生した場合、それにどのように対処するか決めておく必要があるとされている。このレベル分けは、一般に、企業の大小、業種にかかわらず、【異なる】。
④インシデントが発生した環境から、インシデントの原因及び犯人の特定などのために必要な電子データなどを収集、分析する技術や調査活動は、コンピュータフォレンジックなどといわれる。
(3)迷惑メール対策について述べた次のA~Cの文章は、【ABが正しい】。
A ISPであらかじめ用意されているメールサーバを除き、ISPのネットワーク内から外部のコンピュータのTCPの25番ポートへの通信を禁止することにより、迷惑メールをISPの外へ出さないようにする手法は、一般に、OP25Bといわれる。
B 電子メールに用いられるSMTPは送信者の正当性を確認する方法がないため、メールの送信者アドレスが詐称される恐れがある。送信ドメイン認証は、受信したメールが正当なメールサーバから送信されているか否かを識別するために用いられる。
C 送信ドメイン認証の技術には、大きく分けて送信元のIPアドレスを認証に用いる方式、及び送信メールに電子署名を付与する方式の2種類があり、前者は【SPF/SenderID】、後者は【DKIM】といわれる。
(4)鍵管理、暗号強度などについて述べた次の文章のうち、誤っているものは、【④】である。
①攻撃者が正当な手段以外で機密データなどを解析しようとしても、攻撃者が装置内部の秘密情報を容易に解析できない性質は、一般に、耐タンパ性といわれる。
②公開鍵は、素因数分解や離散対数問題などの数学的問題の困難性を利用して、公開鍵から秘密鍵を類推されないようにすることで安全性の確保を図っている。
③公開鍵を使った鍵共有の仕組みとして、RSA暗号を利用した鍵共有方式やDH(Diffie-Hellman)鍵共有方式がある。
④差分解読法や線形解読法は、【共通鍵暗号】の解読手法であるが、容易に解読されないための対策として、鍵を【なるべく長く設定】することが有効である。
⑤暗号強度とは、暗号文から鍵を用いないで平文を推測するために必要とされる計算の困難さの度合いを表す。一般に、鍵が長いほど暗号強度は増加するが、鍵が長くなると暗号化・復号に要する時間が長くなる。
(5)シグネチャベースの検知について述べた次の文章のうち、正しいものは、【②】である。
①シグネチャベースの検知を行うIDSでは、ユーザ、ホスト、ネットワーク接続、アプリケーションなどについての正常な挙動をプロファイルによって管理している。プロファイルは通常の活動内容の特徴を一定期間にわたって監視することにより作成される。
不正侵入検知システムは大きく分けて2つ。
ネットワーク型IDSとホスト型IDS
シグネチャは既知の不正侵入や攻撃パターンを追加していく
アノマリは正常パターンを設定し、それ以外の通信を全て検知
②シグネチャベースの検知は、既知の脅威に対しては有効であるが、まだ知られていない脅威、回避テクニックにより偽装された脅威、既知の脅威の様々な変種に対しては効果を発揮できないことが多いといわれている。
③【ランドアタック】に対してシグネチャベースの検知を行う場合、攻撃に用いられるパケットの送信元IPアドレスと送信先IPアドレスが攻撃対象のIPアドレスと同一であることをシグネチャとして利用する。
④【スマーフアタック】に対してシグネチャベースの検知を行う場合、攻撃に用いられるパケットの送信元IPアドレスは攻撃対象のIPアドレスと同一であり、かつ、送信先IPアドレスは攻撃対象が所属するネットワークのブロードキャストアドレスであることをシグネチャとして利用する。
スマーフアタックは送信元IPアドレスを改ざんし、大量のエコー要求を送信し、大量のエコー応答が送り付けられる攻撃であるが、シグネチャベースの検知を行う場合、送信元IPアドレスは攻撃対象のIPアドレスと同一であり、かつ、送信先IPアドレスは攻撃対象が所属するネットワークのブ
ロードキャストアドレスであることをシグネチャとして利用する。
ロードキャストアドレスであることをシグネチャとして利用する。
また、ランドアタックは、ルータが宛先IPアドレスだけを参照してパケットを転送する仕組みを悪用し、ターゲットとなるサーバに攻撃するもので、このような攻撃に対してシグネチャベースの検知を行う場合、パケットの送信元IPアドレスは攻撃対象のIPアドレスと同一であることをシグネチャとして利用する。
コメント