情報セキュリティ アドミニストレータ(セキュアド)過去出題問題

 平成16年 午後1 問2

最終更新日 2006/02/26
webmaster@tomnetwork.net

Tomのネットワーク勉強ノート
 過去問(午後)
   情報セキュリティ アドミニストレータ過去問(午後)
     情報セキュリティ アドミニストレータ過去問 平成16年 午後1 問2

問2

ログの設定と監視に関する次の記述を読んで,設問1〜4に答えよ。

M社は,社員数200名の中堅商社である。M社では,会社からの社員への連絡や社
員間の情報共有のために,Webベースのグループウェア(以下,GWという)を利用
している。このGWには,Webメール,掲示板,予定管理,文書管理,電話帳(社員
の氏名,所属,役職,内線番号,メールアドレスを調べられる)といった機能があり,
それぞれの機能はソフトウェアモジュールで実現されている。GWは,社内LANに設
置されたサーバ1上で稼働している(図1)。サーバ1上では,GWのほかにWebサー
バとメールサーバが稼働している。
M社では,営業社員が社外からサーバ1にアクセスできるようにするため,DMZ 
に設置されたサーバ2上でVPNソフトを稼働させタインターネットからサーバ1への
VPNによるアクセスを許可している。


図1 M社のネットワーク構成(一部) 


〔ログ管理の見直し〕
M社の社内LANに設置されたサーバ(以下,社内サーバという)のログの設定は,
OSやアプリケーションをインストールしたときの初期設定のままであり,これまで
監視や分析は行っていなかった。
このような状況下で,ある日,社内サーバにワームがまん延するという事故が起き
た。ワームそのものは,ウイルス定義ファイルを更新したウイルス対策ソフトによっ
て比較的簡単に駆除できたが,感染経路を特定できなかった。それは,ほとんどの社
内サーバが,いつ,どこから,どのようなアクセスがあったのかを検知できるだけの
ログを取得していなかったからである。
情報システム部のL部長は,社内サーバのログ管理がほとんどできていない現状で
は,ワームの感染経路の特定だけでなく,社内情報が漏えいした場合の調査などにも
支障が出る可能性を懸念した。また,ログを適切に監視していれば,ワームヘの感染
なども早期に検知できると考え,L部長は情報システム部のK係長に対して,社内サ
ーバのログ管理について検討するよう指示した。そこでK係長は,手始めにサーバ1 
のログの設定を見直すことにした。

〔脅威の洗出し〕
K係長は,サーバ1に関して想定される脅威と,それを検知し,調査するための情
報を,表1のとおりに整理した。

表1 脅成と,それを検知し,調査するための情報

脅威 説明 検知し,調査するための情報
ウイルス,ワーム ウイルス,ワームヘの感染 ネットワークアクセス情報
なりすまし 他人のアカウントを利用したシステム
ヘのログイン
ログインの成功/失敗の記録
ログイン元マシンのIPアドレス
情報の漏えい 許可範囲を超えた情報の配付, 又はア
クセス権限のない者による情報へのア
クセス
ファイルヘのアクセス記録
ファイルの転送記録
電子メールの送信記録
情報の破壊や改ざん 情報の不正な変更,又は削除 ファイルヘのアクセス記録
ファイルの変更記録

〔取得すべきログ〕
続いて,K係長は,サーバ1が取得できるログのうち,表1に挙げられた情報が記
録できるものを調べた(表2)。その後,サーバ1の設定を変更し,表2のログを取得
できるようにした。

表2 サーバ1のログ

構成要素 記録されるイベント 記録される項目
OS A:ログイン/ ログ
  アウト
時刻,アカウント名,操作内容(ログイン/ログアウト),状
態コード(成功/失敗) 
B:ネットワークア
  クセス
時刻,送信元IPアドレス,プロトコル(TCP/UDP/
ICMP),送信元ポート番号,あて先ポート番号
Web
サーバ
C:ブラウザからの
  アクセス
時刻,送信元IPアドレス,HTTP要求,状態コード(成功/
失敗),転送バイト数
メール
サーバ
D:電子メールの受
   信
時刻,メッセージID,送信元IPアドレス,送信者メールアド
レス,受信者メールアドレス,メールサイズ,状態コード
(成功/失敗)
E:送信キューヘの
  格納
時刻,メッセージID,送信者メールアドレス,受信者メール
アドレス,メールサイズ,状態コード(成功/失敗)
F:送信キューから
  の送信
時刻,メッセージID,あて先IPアドレス,送信者メールアド
レス,受信者メールアドレス,メールサイズ,状態コード
(成功/失敗) 
GW G:ログイン/ ログ
  アウト
時刻,アカウント名,操作内容〈ログイン/ログアウト),状
態コード(成功/失敗)
H:各モジュールで
  のデータアクセ
  ス 
時刻,アカウント名,モジュール名,アクセス内容(読出し
/書込み/削除),アクセス対象データ,状態コード(成功/ 
失敗)

表3は,表1,2に基づいて,サーバ1において脅威を検知し,調査するために監視
又は分析すべきログを示したものである。

表3 監視又は分析すべきログ

脅威 ログ(記録されるイベント)
ウイルス,ワーム 【 a 】
なりすまし A, B, C, G
情報の漏えい 【 b 】,【 c 】,【 d 】,【 e 】
情報の破壊や改ざん 【 b 】,【 c 】

〔なりすましの監視〕
サーバ1では,アカウントをもっている各社員の所属部署や役職に応じて,アクセ
ス可能なデータを制限している。ところが最近,自分のアカウントではアクセスでき
ないデータを参照するために,ほかの社員のアカウントを借りる例が散見されるよう
になってきた。ほかの社員のアカウントを利用したまま,うっかり掲示板に意見を書
き込んでしまって物議を醸した事例が何件か発生し,問題になっていた。
この問題に関しては,社員への啓発やデータのアクセス権限の見直しといった対策
が取られてきているが,アカウントの貸し借りの監視などは行われていない。監視で
きれば,アカウントの貸し借り抑止にもなると考えたL部長は,今回設定したログに
よって監視できないか,K係長に相談した。
アカウントの貸し借りが,表1に示したなりすましの脅威に当たると考えたK係長
は,監視の可能性を検討した。その結果,@なりすましの発生をログの監視によって
直接検知することは困難である
と判断した。K係長は,ログでは不審な挙動を検知で
きるだけで,脅威の発生そのものの監視はできないことをL部長に報告した。ただし,
不審な挙動の検知をきっかけとした調査によって,脅威の発生の予防又は早期発見に
つながる可能性があるので,監視することは有益である点も併せて報告した。
K係長の報告を受けたL部長は,早速,ログの監視を実施するようK係長に指示し
た。K係長は,ログの監視によって,Aログイン/ログアウトのパターンが普段と異
なっているアカウント
を発見した場合に,そのパターンを不審な挙動とみなすことに
した。

〔複数のログの取扱い〕
K係長は,サーバ1以外の社内サーバについても,順次,ログの設定の見直しを進
めた結果,各社内サーバで必要なログを取得できるようになった。K係長は,それら
のログの相互参照を容易にし,Bログに対する脅威に対抗するために,社内サーバの
ログを収集するサーバ(以下,ログサーバとぃぅ)を社内LANに設置し,ログを一
元管理することにした。各社内サーバは,ログをローカルに保存するとともに,ログ
サーバにもログを送信するように設定された。
さらに,K係長は,各社内サーバで取得されているログを相互に対照できるように,
すべての社内サーバに関して,Cログの設定以外にもシステム的な設定を行った。
の設定によって,例えば,ワームがどのように感染を広げていったかを,別々の社内
サーバのログ情報を見比べることで把握できるようになる。このことが,感染経路の
特定につながると期待された。


設問1

表1,2に基づいて作成された表3中の【 a 】〜【 e 】に入れる適
切な記号を,表2中のA〜Hから選べ。

設問2

本文中の下線Cのシステム的な設定内容を,20字以内で述べよ。

設問3

本文中の下線Bに関する次の問いに答えよ。

(1)脅威の内容を,5字以内で答えよ。

(2)ログサーバの導入が(1)の脅威の対抗策となる理由を,35字以内で述べよ。

設間4

 〔なりすましの監視〕に関する次の問いに答えよ。

(1)K係長が本文中の下線@のように判断した理由を,表2,3を参考にして50字
  以内で述べよ。

(2)ログの監視によって本文中の下線Aを検知するために,表3に示したログA,
  B,C,Gを利用して, 日常的に行っておくべきことがある。その内容を,60字
  以内で具体的に述べよ。

Tomのネットワーク勉強ノート
 過去問(午後)
   情報セキュリティ アドミニストレータ過去問(午後)
     情報セキュリティ アドミニストレータ過去問 平成16年 午後1 問2