SC

 このwikiは携帯版の表示に対応していないため、画面右上のパソコンのアイコンクリックでPC版用の表示からご覧ください。スマホを横にすると見やすいです。




情報処理安全確保支援士試験の勉強法まとめ
初めに
 情報処理安全確保支援士試験(旧情報セキュリティスペシャリスト試験)に合格するための勉強方法、お勧め参考書、勉強テクニック、解答テクニックなどを紹介。
目次
情報処理安全確保支援士試験とは
概要
 主に情報システムや組織の脆弱性や問題点を分析し、対策を行う能力を問われる試験。システムにある脆弱性を分析して技術的に解決したり、問題が発生しそうな運用を見直してルール作りや基準作りをする人に対する試験である。具体的には以下のような能力が問われる
  • 情報システムの脅威・脆弱性を分析、評価し、これらを適切に回避、防止するセキュリティ機能の企画・要件定義・開発を推進又は支援する能力
  • 情報システム又はセキュリティ機能の開発プロジェクトにおいて、情報システムへの脅威を分析し、プロジェクト管理を適切に支援する能力
  • セキュリティ侵犯への対処やセキュリティパッチの適用作業など情報システム運用プロセスにおけるセキュリティ管理作業を技術的な側面から支援する能力
  • 情報セキュリティポリシの作成、利用者教育などに関して、情報セキュリティ管理部門を支援する能力
情報セキュリティスペシャリスト試験との違い
 IPAが公開している情報セキュリティスペシャリスト(旧SC試験)と情報処理安全確保支援士(新SC試験)が公開している出題範囲とシラバスを確認してみたところ、その記述に差はなかった。また試験方式にも変更がないため、問題は完全に情報セキュリティスペシャリスト試験と内容的に同じ問題が出題されると考えてもいいだろう。
 ただ出題範囲や内容は同じでも出題形式や出題方法として新しい形式の出題があるかもしれない。それについては今から対策はできないので、そのあたりだけは留意しておいてほしい。
 従って過去に購入した参考書や問題集も流用できるものと思われるので、今後は安全確保支援士の記述のする参考書も発売されると思うが、特にそのような参考書を購入しなくてもいいと思われる。
 なお旧SC試験合格者の安全確保支援士になることはできるが経過措置がありその期間を過ぎると支援士になることはできない。このあたりセキュリティに関しては知識の陳腐化が激しいので、新たな資格とすることで旧資格合格者を排除する目的が根本的にあるのではと想像できる。
 なお、そのあたりの支援士になるための方法や条件についてはIPAの国家資格「情報処理安全確保支援士」ページに詳しいのでそちらを参考にしてほしい。
難易度
 情報処理安全確保支援士試験試験は、一般的にIPAの実施する高度試験のなかでは難易度が低いと評価されることがあるが、決してそんなことはない。情報セキュリティに関する内容が出題されるので技術的に幅広い知識が必要で、さらにさこに潜んでいる可能性のある問題点についても熟知していなければならないので、より突っ込んだ知識が必要になるからだ。
 応用情報技術者試験(AP試験)でテクノロジ系を多く選択した人は、基礎となる知識がある程度身についていると考えられるためやや楽ができると考えられるが、AP試験でマネジメント、ストラテジ系を主に選択した人は基礎知識から学習しなければならないため、かなり厳しいものになるかもしれない。
 とはいえ他の高度の論述式試験やデータベース、ネットワークといった専門知識が問われる試験と比較すれば相対的に難易度は低いため、AP試験合格後の最初に受験する高度試験として妥当なものだろう。
試験傾向
 午前1と午前2はマークシート方式。
 午後1、午後2は記述問題で、論述問題はない。
 問題には特に傾向といったものはなく、全般的に広範囲から出題されるのが特徴だ。
 あえて傾向を挙げるとすればネットワークの構築、設定、脆弱性の排除、マルウェア対策など関する問題が出題される傾向が強い。また他の技術に関してもネットワークと関連して出題されることが多いので、ネットワーク関連の基礎知識は必須となる。
 それらに併せて、Javaなどのプログラムを安全に記述するためのセキュアプログラミングや、安全なデータベースののクエリの書き方などの問題も散見する。これらは専門性が高い内容であるため、業務経験がない人にとっては難易度の高い問題となると思う。
おすすめ参考書など
参考書の種類について
 情報処理安全確保支援士試験、情報セキュリティスペシャリスト試験の参考書は、主に3種類にわかれる。
 主に学習をメインとした学習用参考書、過去問の解説に特化した過去問題集。さらに学習用参考書+直近の数年の過去問題を掲載したハイブリッドタイプだ。
 情報処理安全確保支援士試験では、同じような技術に関する出題がかなり多いため、様々な技術やセキュリティに関する解説と過去問解説が非常に重要になると思う。
 2017年までは技術の解説と過去問解説の両方が充実した鉄板本がなかったのだが、2018年版からはそのような鉄板本がようやく出版された。それが情報処理教科書だ。過去問はWebからダウンロードする形式になっており、技術解説が犠牲になっているわけではないので、この参考書を購入すれば学習用参考書と過去問解説書の両方を手に入れることができるので、おすすめの一冊だ。
おすすめ参考書
 学習用参考書としてのお勧めは情報処理教科書だ。これは主に知識を得るための内容が充実しており学習用には最適だ。さらに、2017年版までは過去4回分の過去問だけの掲載だったが、2018年版からは過去10回分の過去問が掲載されるようになった。10回分ということは過去5年分ということで、これだけの過去問があれば一定のレベルを獲得できると思われる。
 従ってまずはこの本を購入し、知識の学習と過去問の演習に利用しよう。
おすすめ参考書の2018年最新版
勉強方法の考え方
勉強方法を考える理由
 情報処理安全確保支援士(SC試験)を受験する人には様々な人がいると思う。応用情報(AP試験)に合格してステップアップとして受験しようと思っている人。実務経験が豊富な人、勉強する時間がない人など様々だ。
 そのため自分のスキルや勉強できる時間などを考慮して勉強方法を決定することが望ましい。
 当wikiでは参考書で学習してから過去問演習を行う参考書重視コースと、いきなり過去問演習から行う過去問重視コースをおすすめしたい。
 前述の通り情報処理安全確保支援士試験では、幅広い技術に関する知識が必要となるため最低でもAP試験に合格できるレベルの知識が必要となる。その中でもテクノロジ系を選択して合格できるレベルが必要となるため、AP試験に合格していない人はまずはAP試験の合格を目指したほうがいいだろう。
 AP試験に合格した人でもテクノロジ系を回避しマネジメント系を選択した人には厳しい試験になるかもしれない。テクノロジ系を回避した人は後述する参考書重視コースで学んでから過去問演習に取りかかろう。
 業務経験がある人は一定の知識があると考えられるし、時間がとれない人は過去問演習メインで学習せざるを得ないと思うので過去問重視コースがおすすめだ。
 業務経験者であっても試験に突破するだけの知識があるとは限らないので、試しに午前2を解いてみて70%程度の点数が取れなかった場合は参考書重視コースを選択するのが望ましいだろう。
勉強方法概略
  • 参考書重視コース
    • 参考書で学習してから過去問演習に取り組むコース
    • はじめて受験する人、ゼロからしっかりと起訴を勉強したい人
    • 何度も不合格になっている人、午前2をクリアできなかった人
    • 時間に余裕がある人
  • 過去問重視コース
    • 業務経験者や時間に余裕がない人
    • 午前2を通過し、午後2突破までもう少しだった人
勉強コース別学習方法
参考書重視コース
 応用情報技術者試験でテクノロジ系を回避した人、または合格していない人、最初からちゃんと勉強してからとりかかりたい人向け。
  • STEP1 基本知識の学習
    • 学習用参考書を読んで知識を得る(完全に覚えようとせず、なんとなく理解すればok)
    • 読み終えたら午前2の過去問を解いていく
    • 採点する。同時に「正答」以外の選択肢の内容が理解できるかどうかチェックする
    • 間違った問題、まぐれで正解した問題、理解できない選択肢があった問題には必ずチェックする。間違えるたびに正の字などでチェックして間違えた回数がわかるようにすること
    • 間違った問題や理解できない選択肢について、参考書を再読して覚える
  • STEP2 苦手分野の克服
    • 問題集や過去問を何周か解いていくと、苦手な章や同じ問題に「間違えチェック」が何個もついている問題があることがわかってくるので、苦手な章や技術について参考書を読み直して理解する
  • STEP3 午前問題学習の総仕上げ
    • 試しに過去のある年度の過去問を何年分か解いてみる
    • すべて80%以上正答していたら、過去問重視コースへ進む
過去問重視コース
 応用情報技術者試験にテクノロジ系を選択して合格した人にお勧め。とにかく効率重視で勉強したい人向き。
  • STEP1 基礎学力確認
    • 複数年度の午前2問題を解いて80%以上正解していなければ参考書重視コースへ戻る
  • STEP2 解答テクニックの学習
      • このページの解答テクニック集を熟読して学習する
  • STEP3 午後1演習
    • IPAのサイトに公開されている過去問の問題を解く
    • 採点する
    • 間違った問題や理解できないテクノロジがでてきた場合は、その単語をメモっておき学習用参考書で確認する
    • 可能な範囲で多くの過去問をこなしたらSTEP3へ進む
  • STEP4 午後2演習
    • IPAのサイトに公開されている過去問の問題を解く
    • 採点する
    • 間違った問題や理解できないテクノロジがでてきた場合は、その単語をメモっておき学習用参考書で確認する
    • 可能な範囲で多くの過去問をこなしたらSTEP4へ進む
  • STEP5 知識の総仕上げ
    • ここまで学習をしていると苦手な分野がわかってくるので、その分野について参考書で再学習する。
情報処理安全確保支援士 午後1&午後2対策
勉強テクニック 午後1&午後2
知識エリアの絞り込み
 旧試験の情報セキュリティスペシャリストの試験では、おおまかに以下の分野に分かれて出題される。
  • システム設計
  • ハードウェア
  • ソフトウェア
  • 運用管理
  • ネットワーク
  • プログラミング
  • データベース
  • 監査
 これらが単独で出題されるわけではなく、関連する形で複数の分野が出題されるので基本的には全般的な知識が必要になる。しかし、この中でも特に頻出な分野がある。それが以下である。
  • ネットワーク(ファイアウォール、プロトコル、DNS、SMTPなど)
  • 運用管理(ログ管理、アクセス制御、インシデント対応、アカウント管理、機密管理など)
  • システム設計(暗号、認証、デジタル署名、マルウェア対策など)
  • ソフトウェア(ウィルス対策ソフト、ブラウザなど)
 特にこれらについては重点的に学習するようにしよう。
 また知識エリアの中でも比較的、実務経験がないと難しいと思われるプログラミングやWebアプリケーションにおける対策、法律的な設問が多くなる監査などについてはスルーしてしまうという手もあるだろう。ただし年度によっては両方とも出題される可能性もあるので、そのあたりのリスクは受容しなければならない。
特に学習しておきたいテクノロジ
 その中でも特に頻出するテクノロジなどが存在する。そのためそれらは特に重点的に学習するようにしよう。ここでは頻出技術、特に学習すべきテクノロジについて記述しておく
  • http over SSL/TLSの仕組み
  • プロクシの仕組み
  • SMTPサーバの仕組み
  • 公開鍵暗号の仕組み
  • PKI(ディジタル証明書、サーバ証明書、クライアント証明書、電子署名、認証局)の仕組み
  • DNSの仕組み
  • ファイアーウォールによるフィルタリングルールの仕組み
  • 電子メールによる迷惑メール対策や暗号化の仕組み
特に学習しておきたい情報セキュリティ対策
 技術についての知識ももちろんだが、セキュリティに関する知識も必要だ。世の中には様々な脆弱性対策に関する本があるが、ここではIPAが提供する脆弱性対策についてのページを参考にしてみて欲しい。なぜなら情報処理技術者試験はIPAが主催しており、そのIPAが考える脆弱性対策がそのまま試験における正解になっているからである。従って時間があれば、一度IPAの脆弱性対策サイトを利用して学習したり、過去問演習中にわからない脆弱性などがでてきたら、このサイトを参考にして学習していこう。
午後1&午後2の勉強方法
 基本的には過去問を解くことで学習をしていく。問題と解答シートを必ずダウンロードし、問題に関しては印刷して解答するようにしよう。なお、このとき必ず設問を選択するところから開始すること。午後2であれば設問1と設問2をしっかりと見比べて、どちらかを選択し、そして完全に解答することまでを2時間以内で行うように学習しよう。どちらの設問を選択するかを決定する能力も磨くことが重要だ。
 また旧試験の情報セキュリティスペシャリストの試験では問と問題文を頻繁に行き来して解答していくことになるが、これはPC上でPDFではとても問題文が読みにくい。時間もかかるし、正確な解答時間の計測に不向きなので可能であれば印刷するようにしよう。
 また問によっては解答シートをみないと、どのような解答をしなければよくわからないような出題もある。例えば「理由を2つ。またその原因を20文字以内でそれぞれ説明せよ」といった出題だ。解答シートまで印刷する必要はないが、こちらはダウンロードしてPCの画面に表示し、どのような解答を求められているか確認して演習するようにしよう。
午後1&午後2の復習方法
解答できなかった理由のパターン 
 試験で解答できないパターンは概ね以下の3通りにわかれる。
  • 知識がなかった
  • 怪しいと思うことができなかった
  • 問題文のヒントに気がつかなかった
 「知識がなかった」というのは、記述された内容や技術に関する知識がなくまったく解答できなかったパターンだ。「怪しいと思うことができなかった」はその技術や運用方法におけるセキュリティ的な問題点に気がつくことができなかったパターンで、「ヒントに気がつかなかった」というのは問題文の中にヒントが記述されておりそのヒントによって解答がかなり狭まるのに、そのヒントに気がつかなかったためまったく見当違いの解答をしてしまうようなパターンである。
 演習して間違ってしまった問題については、おおむね上記のパターンに収まると思うので、以下のような復習方法で知識を高めておいて欲しい。
  • 知識がなかった
    • 知らない技術やテクノロジ、運用方法、法律などに関しては学習用参考書などを利用にしてその分野の知識を得るようにしよう
  • 怪しいと思うことができなかった
    • それぞれの技術についてセキュリティ的な問題点が潜んでいる可能性を思い浮かべることができるようにしておこう。具体的には本ページの下部の解答テクニックに詳しく記述してあるので参考にして欲しい。
  • 問題文のヒントに気がつかなかったり、ヒントを間違えた
    • 問題文にヒントがある場合は演習後にそのヒントのあった部分にアンダーラインを引いて、なぜそこに気がつくことができなかったのかを考え、その対策を検討し、次の演習に備えるようにしておこう。
ヒントに気がつかなかったり、ヒントを間違えた場合 
 問題文の中のヒントに気がつかなかった場合は大きな得点源を失うことになる可能性が高い。そのためヒントを見逃さないことは非常に重要だ。従って確実にヒントを見つけておく必要がある。
 ヒントは文中にさらっと軽く書いてあることが多いためどうしても見逃してしまう可能性があるわけだが、そのあたりは集中してとにかく見逃さないようにしよう。
 見逃してしまった場合は以下の方法で復習をして欲しい。まずはヒントとなる文章中にアンダーラインを引いておく。ヒントを間違えた場合はその間違ったヒントの部分にもアンダーラインを引こう。そしてその章を読み返す。そしてなんでヒントに気がつかなかったのか、ヒントを間違えてしまったのか確認して分析しよう。そして次回に決してミスをしないようにしよう。
解答テクニック 午後1&午後2
問題文を最初から順番に理解しながら読む
 当たり前のことだが、問題文中には様々なヒントが隠されているので、文章をよく理解しながら読んでいくことが重要だ。ちょっとしたことがヒントになっていることもあるので、隅々まで読み疑問に感じたらチェックをしておこう。
 また設問は問題文の章ごとにまとめて順番に答えさせるような構成になっていることが多い。問題文を最初から最後まで一気に読もうとすると最初のほうの問題文を忘れてしまうし、あとから読み返すのに時間がかかってしまう。そのため回答する際には、まずは設問を確認し、どこまで読めばその設問の回答が可能なのかを確認しよう。そしてそこまで読んだら問題文を最後まで読まずに設問に回答をしてしまおう。設問は章単位で完結しており、次の章を読まなければ回答できないような出題のされ方はしないため、問題文を読みながら回答できる時点で設問に回答してしまったほうが問題文の内容をよく覚えているので、より正確に回答できるし、問題文を読んでいて疑問に思った内容も忘れずに済むので効果的だし得点もUPする。
ネットワーク構成図を確認する
 設問にはネットワーク構成図がよくでてくる。そのときに、ネットワークにリスクがないかどうか、すぐに判断できるようにならなければならない。具体的には、以下のような公正になっているか、しっかり確認しよう。
  • 公開されるサーバはDMZに配置されているか
  • 社内LANとDMZはファイアウォールで切り離されているか
  • 利用者PC、社内用サーバと管理用PCはL3SWで別セグメントになっているか
  • DNSがコンテンツサーバとキャッシュサーバの二つに分かれているか
  • メールサーバが内部と外部でそれぞれ設置されているか
  • プロクシが設置されているか
  • IPSは適切な場所に配置されているか
送信元か、送信先か
 解答として「ポート番号」「IPアドレス」などという答え方をする場合がある。この場合、送信元と送信先の区別がある場合には、必ず「送信元ポート番号」と宛先なのか送り主なのかわかるよう記述をしよう。ただの「ポート番号」だと減点、最悪は不正解になっている可能性がある。「ポート番号」「IPアドレス」という解答を記述するときには、このことを思い出せるようにしておこう。
単語を聞いたら怪しいと思うことが重要
 旧資格の情報セキュリティスペシャリストの問題文では、午後1、午後2ともセキュリティに問題が発生しそうな運用形態を文章で説明してその問題点を回答させようとしたり、システムを変更する際に問題が発生しそうなリスクを考えさせようとしている。そのため、問題文を読んでいて、ある技術についての単語を見つけたときに、その技術に関してセキュリティ上発生しうる問題点を思いつくことが重要となる。
 具体的には、例えばDNSという単語をみつけたりネットワーク構成図にDNSの存在を見つけたとき、DNSならではの攻撃手法を思い出し、それについての対策をしているかどうかというチェックをしながら問題文を読んでいく。そうすると問題文中に不自然な説明や発生しうるセキュリティ上の対策をしていない場合があることがわかる。そのようなときはその部分が設問の回答になっていたり間接的に関係している可能性が非常に高い。
 従って、各技術について発生しうるリスクをどれだけ知っているかが合格するために非常に重要となる。その内容は具体的には以下のようなリスクを思い浮かべるようにすることが重要となる。なのでまずは、各技術における発生しうるリスクについて下記のリストを暗記してみてほしい。
プロキシ
SSL/TLS
 プロキシで通信内容などについてウィルススキャンやURLでフィルタリングをしてセキュリティを高めたい場合がある。しかしSSL通信では暗号化されているためプロキシでは通信内容をスキャンすることができない。プロキシでウィルススキャンやフィルタリングするというワードがあった場合、SSL通信時にはどのように対応しているかを確認する必要がある。
ウィルス定義ファイル
 プロキシは一種のキャッシュサーバの役割をすることがある。例えばウィルス定義ファイルをネットからダウンロードさせるとき、もしプロキシが古い定義ファイルをキャッシュしていた場合には問題となる可能性がある。
ログの記録
 インターネットと通信するために必ずプロキシを経由しなければならない場合、従業員のPCがマルウェアに感染してしまった場合、マルウェアからの通信ログがプロキシに残っている可能性がある。そのためプロキシでは通信ログを残すような設定にされているかどうか重要である。また何か異常な通信が発生している場合、プロキシの通信ログを分析することで何が原因かわかる可能性もあるので、ログという言葉がでてきた場合には注意が必要である。
フィルタリング
 プロキシにフィルタリング機能があるなどという説明が問題文中にある場合、例えば問題になりそうなURLがあった場合に通信をブロックしたり、特定のWebサイトを閲覧できないようにするといった回答を求められる場合があるのでそのあたりに注意して問題文を読む必要がある。
https通信対応機能
 http over TLS(https)では通信内容が暗号化されているため、通信内容でURLフィルタリングやウィルスチェックを行うことができない。そのためプロキシでいったん通信内容を復号化し、内容を確認したら再暗号化しデータを通過させる必要がある。
 httpsではブラウザが生成した共通鍵をサーバ側が提供するサーバ証明書に添付されている公開鍵で暗号化しサーバに送り、サーバ側ではその共通鍵でデータを暗号化してデータのやりとりを行う。しかし、これではプロクシには共通鍵はわからない。そのためhttps通信に対応しているプロクシは、https通信時には自身が共通鍵をサーバの公開鍵で暗号化しサーバとプロクシの間でhttps通信を行う。プロクシでは受信したデータを復号化し通信内容を確かめるわけだ。
 しかし、プロクシ~PCの間はデータが暗号化されないのでプロクシ~PCの間はプロクシがサーバ証明書をPCのブラウザに提供する形でサーバの代理のように動作し通信を行う。しかしこれでは、ブラウザに表示されるサーバ証明書はプロクシサーバのサーバ認証によるディジタル証明書になってしまう。本当に接続したいと思って接続したサーバであるかどうかはブラウザに表示される証明書では確認不可能になってしまう。
 このあたりどのように対応しているのかを注意して問題を読んでいこう。
公開鍵暗号 
秘密鍵の流出
 公開鍵暗号の秘密鍵が流出によって発生する問題は、なりすましや改ざんが可能になるということ念頭においておこう。
秘密鍵を渡す相手の確認
 せっかくの公開鍵暗号でも秘密鍵やクライアント証明書を別の人に渡してしまっては意味がない。秘密鍵やクライアント証明書を申請によって発行し、他人に渡す場合にはその相手がちゃんと渡したい本人であるかどうか確認することが重要。確認するのは本人に来てもらうか、上司が渡すという方法がある。本人しか利用できないメールアドレスで渡すという方法もあるが、この場合はメールが盗聴されていたり、なりすましの可能性もあるので、そのあたりは文意で判断するようにしよう。
秘密鍵の取り扱い
 従業員が退職したり異動した場合、その秘密鍵や証明書を利用できないようにしておかないと、その従業員本人や利用していたPCから秘密鍵や証明書を取り出してなりすましや改ざんが可能になってしまう。そのため退職したり職務権限に変更が発生した場合、PCや端末の陳腐化による破棄するときには、秘密鍵や証明書を無効にしたり、PCから安全に秘密鍵や証明書を削除したりする必要がある。
ウィルス対策ソフト 
定期更新
 いくらウィルス対策されていてもウィルス定義ファイルが定期的に更新されていなければ、0day攻撃を受けてしまう可能性が高くなる。どの程度の頻度で定義ファイルを最新のものにしているかは注意しなければならない。
スキャン間隔
 ウィルス定義ファイルが最新のものでも、スキャンをしなければウィルスは発見されない。そのためリアルタイムスキャンをしているか、フルスキャンをどの程度の頻度で行っているかを頭に置きながら問題文を読む必要がある。リアルタイムなスキャンをしていないとか、フルスキャンを週に一度しかしていない場合は、それが回答になる可能性がある。
SMTPスキャン
 メール送受信時にサーバ側でウィルススキャンをするのがSMTPスキャンだ。メールサーバで送信されるメールに対してウィルススキャンをしているかどうかは問題となる可能性があるので、そのあたりを考慮して問題文を読んでいこう。
POP3スキャン、IMAP4スキャン
 PCやモバイルなどでのメール受信時に行うのがPOP3スキャン、IMAP4スキャンだ。サーバ側だけでなくPC側でも対策しているかどうか問題文をよく読もう。
更新されない可能性の検討
 ウィルス定義ファイルは何らかの理由で更新されない可能性がある。例えばPCを長期間起動していない場合や、LANケーブルを接続していなかった場合、ネットワークがインターネットに接続されていない状態のときだけ使用するPCがある場合などである。もしウィルス定義が更新されていないPCが見つかったなどの記述があったらこの可能性を検討して問題文を読んでみよう。もし長期間起動しないPCがある可能性を臭わしている場合には、そのPCの定義ファイルが古いもののままである可能性があるので、そのあたりを念頭に問題文を読み進めよう。
コールドスタンバイ、冗長化
 サービスを停止させないようにする場合に、様々な設備を冗長化させておく場合がある。コールドスタンバイとは普段は停止していて必要なときだけ起動する装置なわけだが、そのときウィルス定義ファイルなどが適切に更新されていないと古いままになっていて脆弱性を抱えてしまう可能性がある。コールドスタンバイ時やふだんは稼働させていない冗長化されている装置があった場合、その定義ファイルなどが更新されているかを確認しておく必要がある。
セキュリティパッチ 
脆弱性やセキュリティパッチの定期的な確認
 いくらセキュリティパッチが公開されていても、その存在を知らなければ意味がない。そのためポリシーにセキュリティパッチや脆弱性発見の情報を定期的に確認するようになっていたり、責任者が毎日確認するなどの対策がとられているかどうかを考えながら読み進めることが重要だ。
パッチの適用状況の確認
 パッチがあっても適用されていなければ意味がない。自動更新される設定になっているか、使用者が毎日確認して適用するようなポリシーになっているかどうかを念頭に読み進めていこう。またしっかり適用されているかどうか確認するような仕組みがあるかどうかも重要だ。そのためには管理サーバなどでセキュリティパッチの適用具合をしっかり記録しているかどうかなどの確認をしながら問題文を読んでいこう。
適用されない可能性
 こちらもウィルス定義ファイルと同様にしばらく起動していないPCなどではセキュリティパッチが適用されていない可能性がある。
セキュリティパッチにより発生する可能性
 セキュリティパッチのインストールによっては何かしらの不具合がシステムに発生する可能性がある。そのためセキュリティパッチを導入する場合には、データのバックアップを取得したり、テスト環境で導入してテストしてから本番環境に導入したり、他社の動向を確認するなどして導入しなければならない。
DNS 
オープンリゾルバの禁止、DNSリフレクション/DNSamp対策
 DNSは再帰的な問い合わせを許可していると攻撃に使われる可能性がある。DNSがネットワーク内にあったら再帰的な問い合わせを許可しているかどうかを疑いながら問題文を読み進めよう。
DNSSEC
 問い合わせ元が正規のDNSサーバかどうかを確かめる方法は、いまのところDNSSECしかない。DNSといえばDNSSECというぐらい頻出ワードなので覚えておこう。
DNSキャッシュポイズニング対策
 DNSにキャッシュされている情報を書き換えさせる攻撃手法だ。対策としては送信元ポートをランダムに変更する、TTLを長くする、返答内容を隅々まで確認する、受信するDNSパケットの数を検知して対策を施すなど様々な方法があるが、これらがしっかりとなされているかを確認しよう。
ネットワーク 
管理用PC専用セグメントの設置
 普段使用するPCとサーバ管理用PCが同じであると、例えばメール添付されたウィルスからPCが遠隔操作され、サーバへ接続されてしまう可能性がある。ところが管理用PCは別セグメントで運用しインターネットと接続させないようにすれば、このようなリスクは低くなる。どのような対策をしているのか考えながら読み進めよう。
LANケーブルの保護
 LANケーブルが露出していると、そこから信号を読み取ったり、最悪切断してリピータハブを取り付けるなどして盗聴できてしまう。そのため金属製のパイプで覆ったり、オフィスの床下に配線するなどの配慮をしているかどうか確認をしよう。
接続する機器のポリシ
 社内LANには勝手に個人の持ち込みPCやモバイルを接続させると、そこからウィルス等に感染する可能性が高くなってしまう。そのためLANに接続できる端末のポリシがしっかりと記述され、それが適切に運用されているか疑っていこう。
利用しているネットワーク機器情報の収集
 社内のネットワークに接続する機器は様々あるが、これらを適切に管理していないと脆弱性情報やセキュリティパッチなどの情報を収集できず適切なセキュリティレベルを保てなくなる可能性がある。そのため社内ネットワークで利用している機器をリストとしておくことが望ましい。
DMZ 
DMZから社内LANへの通信は原則禁止
 DMZは外部に公開しているサーバで、内部と外部を切り離すために存在している。外部に公開しているサーバが乗っ取られた場合、内部のサーバにまで侵入されてしまう可能性がある。そのため基本的にはファイアウォールを利用してDMZから内部のLANへの通信は遮断し、必要なポートだけ通過させることが基本になる。そのためファイアウォールの設定で必要なポート以外、DMZから内部LANに信号が通過可能な設定になっているのは問題となる。そのためどのようなフィルタリングルールになっているかそのあたりを確認しながら読むことが重要である。
キッシュDNSとコンテンツDNSの切り離し
 ネットワーク構成図をみたとき、キャッシュDNSとコンテンツDNSが別々に設定されているかを確認するようにしよう。もしDMZにDNSサーバが設定されている場合、オープンリゾルバになっていると攻撃の踏み台にされてしまう可能性がある。DNSサーバに対する問題点として攻撃の踏み台にされる可能性を指摘するような設問として出題される可能性があるので、キャッシュDNSが分離されているかどうかは確認するようにしよう。
プロキシサーバの設置
 従業員などが利用するクライアントPCは、直接ネットに接続するよりプロキシサーバを利用したほうが情報の一元管理やログの取得が容易になりセキュリティが高まる。そのためプロキシサーバが設置されていない場合は、その点が設問として出題される可能性があるので念頭に置いておこう。
内部メールサーバの設置
 外部メールサーバを設置し、内部メールサーバに転送することでネット上に公開されているメールサーバに不必要なデータを置く必要がなくなるのでセキュリティが向上する。もし内部メールサーバを設置せず外部サーバを普通に利用している場合、そのサーバに対して攻撃が行われ情報などが盗み出される可能性があるので、そのあたりが設問として出題される可能性がある。
 また内部メールサーバを設置した場合、外部サーバのIPアドレスからのみ内部メールサーバにデータを通過させるように設定してセキュリティを高めることも重要なので、ファイアウォールでそのような設定になっているか念頭に問題文を読んでいこう。
ファイアウォール 
ログの記録
 ファイアウォールはすべての要となるのでログを残す設定になっていることが重要。残すログは拒否も許可も両方とも残す必要がある。もし拒否だけしか記録されない設定になっている場合、それらは設問として問われる可能性があるので確認しよう。
インターネットからの接続は最小限
 DMZにはwebサーバ、外部メールサーバ、プロクシサーバDNSサーバなどを設置するわけだが、このとき適切なサーバに対し、適切なポートだけを開放するよう制限する必要がある。このあたりが適切かどうかを確かめながら問題を読み進めよう。
無線LAN 
盗聴
 無線LANときたら盗聴の可能性を真っ先に問題文中で確認しよう。特にWEPはセキュリティが低いので突破される可能性がある。
勝手にAP化
 従業員が勝手に行ってしまうこととしてよく出題される。有線LANに勝手に無線APを接続してネットを利用したり、スマホでテザリングして貸与PCをネットに接続してしまう。この場合ポリシーで禁止されているかどうか、技術的な制約がかけてあるかどうかを問題文中で確認しながらら読んでいこう。
ユーザ認証
 無線LANでよくある認証は事前共有キーを利用したWPA2-PSK/AESなどの認証方法だが、これだとすべての人に同じ事前共有キーを設定することになるため、例えば社外の人に一時的に無線接続を許可するとその人のPCに事前共有キーが残ってしまう可能性がある。そうなると問題なので可能であればすべての人に共通の事前共有キーではなく、一人一人に対して行うユーザ認証を行ったほうがいい。そのため事前共有キーというワードがでてきたら、その点が問題として問われる可能性があるので注意しよう。
ICカード 
耐タンパ性
 ICカードときたら耐タンパ性。なんども出題されている頻出ワードだ。
一時的に失った場合の対応
 ICカードも忘れると利用できなくなってしまう。そのためどうしても一時的に仮利用させたいという仮ICカードを配布する必要がでてくる場合がある。
 その手法としては仮カードに一時的に本人であると設定して利用させたり、権限が縮小された誰でも利用できる共用仮ICカードを使用させるなどという方法がある。
 しかしどちらも場合も、仮カードを利用させようとする時点でしっかり申請した本人であることを確認し、しっかりと貸し出しリスト記録し、さらに使用が終わったらしっかりICカードを取り戻し利用不可能な状態にすると同時に、仮カードを使用しているあいだ忘れてきたカードの使用を一時的に不可能なように設定しておく必要がある。
 そのため仮ICカードを利用させるという内容が問題文中にでてきたら、使用後のカードはどうなっているのか、忘れてきたカードは利用できるのかなどのチェックをしながら問題文を読む必要がある。
バックアップメディア 
暗号化
 サーバをハッキングしなくてもデータさえ盗み出せばいいのでバックアップメディアは非常に重要な情報源となる。特に情報を持ち出す場合は他人にみられないように暗号化しておく必要がある。これはUSBメモリや外付けHDDなどでも自動に暗号化してくれるようなものであることが望ましい。
別の場所に保存
 バックアップメディアをサーバと同じ場所に保存している場合、災害があると同時に失ってしまう場合がある。なのでバックアップメディアはサーバ室とは別の場所に保管しておくことが望ましい。バックアップがどこに保存されているのか問題文を確認しよう。
取り扱う人の問題
 バックアップメディアをどこか別の場所に保管する場合、それを運ぶ人がどのような人なのかも問題になる。勝手に中身をコピーされ情報が流出する可能性があるからだ。
 なので安易に宅配業者、協力会社の社員、アルバイトなどに運ばせることは問題になる。誰がメディアを運ぶのか問題文で確認しよう。
サーバ室 
入室への対策
 サーバ室に誰でも入れるような環境ではサーバ室のサーバのコンソールを利用される可能性がある。そのためサーバ室へは何らかの認証で必要な権限を持った人だけが入れる状態かどうかを問題文から確認しよう。
入室者チェック
 サーバ室に入ったことが記録できるような仕組みの有無も重要なチェックポイントだ。例えばICカードでは他人のカードを利用すれば中には入れてしまう可能性がある。そのため生体認証を利用したり、ICカードの場合は室内に監視カメラを設置するなどして誰が入室したのか確実に記録が残せることが望ましい。
メール、メールサーバ 
送信ドメイン認証
 メールといえば送信ドメイン認証が頻出技術。メールアドレスのドメインに対して問い合わせを行い、そこからメールを送信するサーバのIPアドレスを取得し、実際にそのサーバから送られたメールであることを確認する方式だ。
 そのためネットワーク構成が変わってメールサーバのIPアドレスが変更になると怪しいメールとして処理されてしまう可能性があるので、ネットワーク構成が変わる場合には注意する必要がある。
SMTP AUTH
 これもよく出題される内容の一つ。SMTP AUTHはメール送信時に認証が必要な方法で、最近はこれを採用している企業が多い。SMTP AUTHのもう一つのメリットはネットワーク内からのメール送信だけでなく、認証が必要なため外部に公開してメール送信にも利用できる点だ。
オープンリレー対策
 オープンリレーを許可していると誰でもメールを自由に送信できるためスパムメールなどの踏み台にされる可能性がある。そのためメールサーバでは受信する場合は自社のドメインに対してのもののみ受け付け、送信する場合は自社のネットワークからのものだけ送信する設定にされている必要がある。
添付ファイル
 マルウェアの送付方法として暗号化したZIPファイルで添付してメール送信するという方法がある。こうすると暗号化されているためファイルの中身をスキャンしてウィルスやマルウェアなどと判断することができない。そのたけ添付ファイルについての対策をどのようにしているか確認しておく必要がある。
エンベロープ、メールヘッダ
 メールの送信は基本的にエンベローブに記述されているメールアドレスに対して行われる。エンベローブに記述されているメールアドレスと、メールヘッダに記述されているメールアドレスは異なる場合があるので注意が必要だ。
クラウド 
盗聴の可能性
 クラウドを利用すると自社でサーバを運用せずに済むのでリスクを委譲することができる。しかしその反面、セキュリティに関する管理を他社に任せることになるし、クラウドとの通信過程で盗聴される危険性も高まる。
 そのため盗聴防止はどうなっているか、攻撃を排除するための仕組みはどうなっているか、信頼して任せられるクラウド提供会社なのか問題文から理解する必要がある。
ハッキングの可能性
 クラウドでは設定画面などからハッキングされても自社で管理していないので攻撃の痕跡がわからず探知できない場合がある。そうなると何度もパスワードの入力を試行されてしまう可能性が高まってしまう。
 その防止のためにはログイン失敗時のログはどうなっているか、設定画面には特定のIPアドレスでしかアクセスできないようにするなど必要があるが、それがなされているかどうかを確認する必要がある。
提供会社の信用
 クラウドを提供する会社が信頼できる会社かどうかということが問題になる。そのためには認証を受けた会社であるかどうかが指標になると同時に、セキュリティポリシーを確認したり、実際のインシデント発生事例を確認したりする。
 また、セキュリティポリシーを自社で設定して履行させたり、定期的にしっかり守っているかどうかを自社で確認するなど必要があるが、それがされていない場合には問題となる可能性があるので注意しよう。
バックアップの問題
 クラウドを利用すると物理サーバは外部にあるのでバックアップに様々な制約が生じる。例えばネット経由でダウンロードしようとすると盗聴の問題がでてくるし、クラウド提供会社にお願いするとバックアップの管理がどうなっているかわからないので問題だ。
 そのため暗号化したり、自社の社員が定期的にバックアップしにいったり、しっかり認証を受けた信頼のある会社のクラウドを利用するなどの対策が必要となる。そのあたりが問題文に記述されていないと問題にされる可能性がある。
社内PCの持ち出し、携帯端末の利用 
無くさないなどの教育
 持ち出し可能なノートパソコンや携帯端末は紛失、盗難の可能性がでてくる。出先では無くさないよう肌身離さないようにする必要がある。
 そのようなことがポリシーに書いていない場合は問題にされる可能性があるので、そのあたりを注意しながら問題文を読む必要がある。
許可制にする
 貸し出し時には申請を得て、まっさらなPCを貸し出すなどの対策をポリシーとして記述されていなければ問題にされる可能性がある。
ログオフ、スクリーンセーバー
 客先でのPCの利用などで離席時に勝手にPCを使われると重要な情報が流失してしまう可能性がある。そのためスクリーンセーバーを設定し回復時には再ログオンしなければならないように設定しておくとセキュリティが高まる。
 ポリシーにこの記述がないと設問で問われる可能性があるので注意が必要だ。
紛失時の対策
 紛失時にどのような対策をすればいいのがポリシーが決まっていないと問題として問われる可能性がある。例えば貸し出し履歴を残し、返却ない場合には問い合わせたり、紛失時に連絡する電話番号を決めておいて連絡し対応するなどの取り決めが必要だ。
 またリモートで端末の中身を自動的に消去するような機能があれば、それを利用しているかどうかも確認したほうがいい。
貸し出し履歴の記録
 持ち出し時には誰に何のために貸し出したのかをリスト化して記録として残したり、余計な情報が無いことを持ち出し前に確認したり、上司に確認させてから貸し出すようにするとセキュリティが高まる。
 このあたりも問題文に記述されているかどうか確認しよう。
PCに対する対策 
クライアント認証
 特定のPCにしか社内LANに接続できないようクライアント認証を導入するという方法がある。勝手に接続されないような仕組みがあるかどうかは重要なので問題文で確認しよう。
USBメモリの利用不可
 最近はUSBメモリの紛失による情報の流出なども問題になっている。この対策としてポリシーとしてUSBメモリを使わないよう規定したりUSB接続のできないPCを使ったり、自動的に暗号化されるUSBメモリを使うなどが有効になる。
設定変更できないような権限
 管理者の権限を与えてしまうとそのPCであらゆる設定が可能になってしまう。そうするとウィルス対策ソフトを停止させたりして問題になる可能性がある。
 そのため、最小限の権限だけ与えセキュリティに関する設定は変えられないようにしておく必要がある。
ワイヤーロック
 PCにクライアント認証などが導入されている場合、PCを盗まれると秘密鍵や証明書までも盗まれてしまい情報の流出につながる可能性がある。
 そのため、物理的に盗まれないようワイヤーなどでPCを固定することも重要だ。問題文にPC盗難に関する記述があるかどうかを意識して読んでいこう。
Cookie 
セッションハイジャック
 セッションはセッションIDをCookieでやりとりして利用するわけだが、このときセッションIDが想像されやすいものであると他の使用者のセッションを利用されてしまう可能性がある。対策としてはセッションIDを推測されにくいものにランダムに変更したりするなどあるが、このあたりの対策がしっかりされているかを確認しよう。
Webアプリ 
クロスサイトスクリプティング、SQLインジェクション、クロスサイトリクエストフォージュリ
 これらのWebアプリなど特有の攻撃手法については、どのように対応をしているのか確認しておく必要がある。
脆弱性発見ソフト
 Webアプリの脆弱性を発見するために脆弱性発見ソフトなどを利用して適切に脆弱性をつぶすような対処をしているかどうかを確認しよう。しかし脆弱性発見ソフトであっても、
アカウント 
組織変更時、退職時などの報告
 権限はできるだけ最小限であることが望ましい。従って移動時にアカウントの権限を見直したり、退職時にアカウントを削除するなどのポリシがあるかどうか問題文で確認しよう。
共有アカウントの禁止
 アカウントを共有すると誰がどのような操作をしたのか個人を突き止められなくなる。共有アカウントと記述されている場合にはそのあたりが問題にされる可能性があるので注意しよう。
定期的な確認
 退職時や役職変更時に権限を縮小したり削除したりする必要があるが、人事から報告があがってこないというミスも考えられる。そのため定期的に設定されているアカウントを確認し適切な権限が与えられているか確認する必要がある。
強度の強いパスワード
 当然だがパスワードには他人に推測されないようなパスワードを設定する必要がある。同じパスワードを利用しない、誕生日などを含めない、大文字小文字数字などすべてを利用しなければならない、文字数を多くするなどの対策をしているかどうかを確認して問題文を読んでいこう。
定期的な変更
 パスワードを推測困難なものにしたり、ブルートフォース攻撃を防ぐ方法の一つ。定期的なパスワードを変更することで予防することができる。
ログイン失敗時の対策、ブルートフォース攻撃
 ログイン失敗が何回もあった場合の対策に関する記述にも注意が必要だ。短時間に同じ利用者IDに対して失敗があった場合や、同じIPアドレスから何回も失敗があった場合、ログイン失敗の全体数が極端に増えた場合などには管理者に連絡すると同時に機能的に一時停止させるような仕組みが必要である。
 それらの対策がなされているかどうか問題文に記述がないと設問として出題される可能性があるので注意が必要だ。
ログ 
syslog
 ログといえばsyslog。syslogはログを送信するプログラムでsmtpに近い。アプリケーションやOSのログを他のサーバに転送する仕組みを持っている。転送にはTCP、UDP、SSL/TLSを利用することができる。
許可も拒否も保存する
 ファイアウォールや認証のログは拒否したときだけ残せばいいのではないかと思うが、許可されたログを残しておかないと、すでに攻撃が成功している場合の通信内容や、適切な通信や認証を利用した攻撃手法の場合はログに残らないので、とにかくすべてをログに残しておく必要がある。このあたりどのような設定にしているか確認をしておこう。
ログサーバへの転送とログサーバの権限
 サーバの特権アカウントをユーザに与えている場合、その特権IDを利用してそのサーバ内のログを改ざんされてしまう可能性がある。そのためにはsyslogを利用してログサーバに転送して保存するなどする対策がされているかどうか確認しよう。また、もちろんログサーバの特権IDは他のサーバと別のアカウントにしておく必要があるので、そのあたりも確認が必要だ。
異常があったときのエラー通知
 ログは大量になるので自動的に内容を確認し、ある閾値に達したときに自動的にエラー通知するような仕組みがあるかどうかも確認しておこう。
稼働時間
 企業によっては週末に保守のためサーバを停止させる場合がある。このとき何かしらの攻撃があった場合にはログサーバが停止していてログが収集できない可能性がある。このあたりどうなっているか問題を確認して読み進めよう。
社内サーバ運用 
不要なファイル、不要のディレクトリの削除
 メールで添付ファイルをやりとりするとマルウェアに感染するなどのリスクが高まるためファイルサーバを利用して外部のファイルのやりとりをする場合がある。このとき機密情報を扱うため、ずっとファイルサーバにファイルが残っているというのは都合が悪い。閲覧したら自動的に削除されたり、一定期間経過後に自動削除するなどという対処をしているか確認しておこう。
アカウントの管理
 ファイルサーバでは機密ファイルも扱う可能性があるので、必要な人が必要なファイルだけを閲覧できるような権限を付与しなければならない。協力企業や客先とのプロジェクトが終了したら適切にファイルサーバの権限も削除するなどの対応をしているかどうか確認する必要がある。
接続者の限定
 ファイルサーバの利用者が限定されている場合、接続者を公開鍵暗号を利用したクライアント認証を利用して限定したり、協力企業が特定されている場合にはその企業のIPアドレスからしか利用できないように設定するなど配慮をする必要がある。これは、ファイルサーバだけでなくWebアプリを利用させたり、サーバをSSHをリモート利用させたりする場合にも必要なので、社外の利用者が限定されている場合は注意しておこう。
データベース 
ディスクの暗号化
 データベースには各種アカウントや機密情報が保存されている。そのため情報は暗号化されていることが望ましい。データベースの機能として、接続しているHDDやSDDの内容を書き込むときに自動的に暗号化し利用するときに復号化してくれる機能がある。この機能はアプリ側でなにもしなくてもいいので便利だし、保存メディアが盗まれたときには中身が見られないというメリットがある。
 しかし復号化も自動に行われるためSQLインジェクション、OSコマンドインジェクションなどの脆弱性を利用されアプリケーションなどを自由に利用できるような状態になってしまったとき、アプリを経由して情報を表示させるようにすると、自動的に復号化されて情報が提供されてしまうので、さほどセキュリティ的には高い方法ではない。従ってデータベースに保存されている情報の暗号化手法がだのようなものであるのかを確認しておく必要がある。
コメントを残す

コメントを投稿するには画像の文字を半角数字で入力してください。


画像認証


  • 最終更新:2017-11-17 20:35:08

このWIKIを編集するにはパスワード入力が必要です

認証パスワード