V.S.A.

【設問2 解答例】
(1) シグネチャのデータベースを常に最新の物に維持する。 (25文字)

(2) SSL で暗号化された内容を検査できないため。 (22文字)

解説

UTM (Unified Threat Management) の機能が記述された表に注目します。

(1)
侵入防御機能の概要が「シグネチャとのパターンマッチングに基づいて、不正アクセスを遮断する。」となっています。ここで「シグネチャ」とは、俗に言う「パターンファイル」のことです。したがって、これ(シグネチャのデータベース/ファイル)を常に最新のものに更新することが必要です。

また、一般的には、ログファイルなどを確認して不正なアクセスの状況などを確認し、状況に応じて各機能の設定を変更する必要があります。

解答にはこの二点が含まれるのが最良ですが、25文字という制限がありますので、UTM に特化した日々の運用という点では、前者の「シグネチャ」について記述すればよいでしょう。

(2)
まず最初に思いつくのが、Web 受注アプリが「独自開発だから」というものですが、本文には「既知の攻撃であっても」という記述がありますので、解答としては適切ではありません。

「既知の攻撃であっても」 UTM をすり抜けるような攻撃とはどのような攻撃であるかを考えてみます。

ここで、Web 受注アプリがどのようなものであったかを立ち戻って見てみると、本文に「利用者の端末と Web サーバ間のすべての通信は SSL によって暗号化されている。」という記述があります。

UTM ではこの「暗号化」された通信内容の復号については言及されていません。すなわち、暗号化された通信の内容は UTM では処理できないことになります。この点を解答のポイントとして25文字以内で記述できればよいことになります。

【設問3 解答例】
(1) Y社との間で調整が必要で、Web 受注アプリの停止スケジュールや動作確認に時間を要するため。 (45文字)

(2) 脆弱性を見つけるためにペネトレーションテストを実施し、結果を確認する。 (35文字)

解説

(1)
本文の下線部１ (「これらの対策を実行に移すまでには時間がかかるので」) の前に「既知のバッファオーバフロー攻撃への脆弱性に対しては、使用している OS 及びミドルウェアのバージョンを最新にするとともに、最新のパッチを適用することが有効ですが」という記述がありますので、Web 受注アプリに対するバージョンアップやパッチ適用の設問ではありません。「OS 及びミドルウェア」に注目して解答を考えます。

一般的に、OS やミドルウェアを変更する場合、Web 受注アプリ を停止しなければなりませんし、OS やミドルウェアを変更後、Web 受注 アプリが正常に動作するかどうかの確認を行わなければなりません。場合によっては Web 受注アプリを変更する必要が出てきます。

また、X 社の場合には、「OS とミドルウェアのバージョン管理・パッチ適用作業などの Web 受注システムの運用は Y 社に委託している」ので、Y 社との間でスケジュールの調整や作業内容の事前確認などを行わなければなりません。Y 社との契約内容についての詳細は記述されていないので、一般的な「調整」としておけばよいでしょう。

この2点について45文字以内で記述することになります。

(2)
「Web 受注アプリの開発時にセキュリティ対策が適切に実行された事を確認」(下線部3)するテストの事を「ペネトレーションテスト」と呼びます。この設問ではこのキーワードが書けているかどうかがポイントになります。用語が思い出せなかった場合には「脆弱性の確認テスト」などの言葉で代替してポイントを押さえておいてもよいと思います。

Z 社でペネトレーションテストを行ってから X 社で報告書を確認するか、X 社自身がペネトレーションテストを行うかは、契約次第ですので、その点についてはあまりこだわらなくて良いでしょう。

ペネトレーションテストを実施するだけでなく、もちろん、テスト結果の確認も必要です。

【設問4 解答例】
(必須な項目) セキュリティ事故として X 社にエスカレーションする基準と手順。 (30文字)

(検証方法) 基準となる事故を想定して訓練を実施する。 (20文字)

解説

図2 W 社における問題点の中から、「セキュリティに関する利用者からの問合せ」の問題点を見ていきます。

「図2(2) 利用者からの通報によって発覚した情報漏えいについて、対応状況は正しく記録された。しかし、W 社では対応手順が具体的に示されていなかったことが、対応を遅らせる一因となった。」とありますので、このようなことが無いようにエスカレーション手順を対応マニュアルに記述しなければなりません。

「図2(3) (2)の通報以前にも、W 社は複数の利用者から、不審な支払請求が届いたとの問合せを受けていたが、いずれも利用者の操作ミスとみなしてしまい、セキュリティ事故として対策を開始するには至らなかった。」とありますので、この点も対応マニュアルに記述します。

「対応マニュアルに記載することが必須な項目」は 35文字という制限がありますので、ここでは「エスカレーション」という言葉をキーワードにして、エスカレーションを行うケースの基準と、その手順ということになります。

対応マニュアルの適切さを検証するためには、実際に利用者からのセキュリティ事故報告が来るまで待つわけにもいきませんので、その前に確認しなければなりません。そのためにはエスカレーション基準のセキュリティ事故のケースを想定して、事前に実施訓練(シミュレーション)を行います。

【総括】

問の本文には詳しく記述されていない X 社と Y 社間の契約内容や X 社と Z 社間の契約内容などが気になりますが、試験という意味では、考えなくても解答できます。

ネットワーク構成や、開発、運用、保守といった会社間の関係などはオーソドックスな設定です。設問の内容は情報セキュリティに関するものですが、情報システム一般的な内容なので、基本がしっかり身についていれば解答できるでしょう。