KEEP LEARNING

情報処理の学習

セキュリティインシデント対応

f:id:food_blog:20200627203117p:plain

本記事ではセキスペ 過去問(R.01/秋 午後II 問1)を例題として解説する中でセキュリティインシデント対応の理解を深めます。

※IPA公式サイトから実際の問題を使用しております。 

 

1.前提知識 

2.知識のインプット

3.背景

webアプリを開発し運用する現場における、セキュリティインシデント対応及びセキュリティ対策についての能力を問う。DevOpsに伴うリスクを認知し、それらを対処する能力を問う 

4.過去問の要約

f:id:food_blog:20200627161814p:plain

f:id:food_blog:20200627161924p:plain

f:id:food_blog:20200627162014p:plain

f:id:food_blog:20200627162138p:plain

f:id:food_blog:20200627162231p:plain

f:id:food_blog:20200627162400p:plain

f:id:food_blog:20200627162527p:plain

f:id:food_blog:20200627162613p:plain 

5.解説

〔フォレンジックの調査結果〕

表1の先頭に、ポート6379/tcpへのパケットを破棄するルールが挿入された 

 上記ルールが挿入されない場合は、攻撃者の意図に反して、以下のようなことが起きることが想定されます。

DBMS-Rにおける同じ脆弱性を悪用されて、別のマルウェアXまたは他のマルウェアに再感染し、マルウェアXの動作が阻害される。

 

本文中の図4中のα〜γには以下が入ります。

Linuxにおけるプロセス監視ツールであるtopコマンド(α)は、プロセスIDが123の場合、ライブラリ関数(β)を通してディレクトリ/proc/123(γ)内のファイルにアクセスすることによって当該プロセスの状態を参照し、表示する。

 

サーバAからの会員情報の漏洩はなかったとS社は結論付けた 

 上記は本文中にも記載ある通り以下の理由から説明できます。

マルウェアXには、暗号資産の採掘プログラムによる採掘演算結果以外の情報を外部に送信する機能はなく、マルウェアX以外による遠隔コマンド実行およびSSHサービスへの接続はなかった。

 

〔DevOpsにおけるセキュリティ向上策〕

参考になりそうなセキュリティ対策標準

CIS Benchmarks

インターネットセキュリティに関する米国の標準化団体で、CISが策定した様々なOS、ミドルウェア、アプリケーションの利用における構成ガイドラインです。

OWASP ASVS

Webアプリケーションセキュリティ分野に関するオープンソフトウェアコミュニティであるOWASPが策定したアプリケーション検証標準です。アーキテクチャ、セッション管理、アクセス制御などアプリケーションに必要とされるセキュリティ要件がまとめられてます。

 

 収集する情報を必要十分な範囲を絞るため、情報収集に先立って必要な措置をとる

 本文中にSシステムではOS、ライブラリ及びミドルウェアを全く更新していないという問題があると記載があり、脆弱性を持つ古いソフトウェアが使用されている可能性が高いです。

そのため、S社のシステムを構成する実行環境のバージョン情報を把握して、常に最新にしておく必要があります。

 

本文中のき、くには以下が入ります。

き:CVSSによる脆弱性アセスメント

く:回帰テスト

 

け、こには以下が入ります。

け:レビュー

こ:第三者

レビューはJIS Q 2700:2019にて「確定された目的を達成するため、対象となる事柄の適切生、妥当性及び有効性を決定するために実行される活動」と定義されてます。