水野のサイト
応用情報技術者試験
●平成24年度春期試験 午後問題 問9
「セキュリティインシデントへの対応」
【解説】本問では、IDS(ネットワーク型侵入検知システム)からアラート(異常警報)が発せられた際の対応を題材に、 セキュリティインシデントに対する体制の整備や対応について問うています。
【設問1 解答】
| a | ク | b | イ | c | ウ | d | カ |
【設問1 解説】
- : 「状況を示す記録」 として残されている、ログイン状況や通信状況、稼働状況などの記録を、ログといいます。
- : 不正にサーバに侵入した場合は、ログを改ざんして侵入の形跡を隠すことがあります。 侵入された側は、ログを調査する場合には、改ざんがないことを確認する必要があります。
- : アノマリー検知とは、通信傾向を統計的に管理し、通常の通信状況とは異なる変則的な通信が発生した場合に異常(anomaly)として検知する手法です。攻撃方法が知られていない未知の攻撃も検知できる可能性がある反面、誤検知することもあります。
- : 何者かがあるサーバに侵入し、そこを拠点にして他のサーバを攻撃することがあります。この場合、最初のサーバを 「踏み台にした」 といいます。
【設問2 解答】
| e | 招集すべき要員をあらかじめ選定 |
【設問2 解説】
[インシデント対応の整理] の (2) にあるように、インシデント発生時には、連絡に漏れと遅れが生じたことの他に、対応に必要となる要員の選定に非常に手間取ったという問題がありました。 このような問題を避けるためには、必要となるであろう要員をあらかじめ選定しておく必要があります。
【設問3 解答】
| f | 影響を受けるおそれのある部署への事前の連絡 |
【設問3 解説】
[インシデント対応の整理] の (5) には、特段の連絡は行わずにネットワークを切断したため、残業中の部署からクレームがあったことが記されています。 インシデントに対する対応手段を実施する場合には、影響を受けるおそれのある部署へは、事前に連絡しておくことが重要です。
【設問4 解答】
| ア |
【設問4 解説】
ログには必ず、事象が発生した日時が記録してあります。 それにもかかわらず各ログ間の前後関係をすぐに特定できなかったということは、各機器のタイマがずれていて正しい時刻情報が記録されていなかったと推察できます。 したがって、アの NTP(Network Time Protocol)サーバによって各機器の時刻を同期させるのが、最も適切な対策です。
このページの先頭