HOME»情報処理安全確保支援士掲示板»令和2年午後1問3設問1(3)
投稿する

[0792] 令和2年午後1問3設問1(3)

 赤いTシャツさん(No.1) 
国語、読解力の問題なのでしょうか?
何度も読み込んでいるつもりですが、わからない点がが二つあります。

【1点目】
空欄a一つ上のT主任発言
「PF診断の経路を考慮すると」とありますが、具体的に何を考慮しているのか分かりません。

なぜ、インターネットからの診断だけでは不十分なのでしょか?

【2点目】
空欄aのあるuさん発言
「想定する脅威を踏まえると」とあります。
具体的な「想定する脅威」についての記述はないよう思います。
具体的に何を指しているのでしょうか?
2022.02.17 12:49
pixさん(No.2) 
SC プラチナマイスター
PF診断はすべてのポートをスキャンして脆弱性の診断を行う方法です。

【1点目】
インターネットからの通信は、FW1、SSLアクセラレータ、N-IPSが
経路上に存在します。
仮に診断PCのIPアドレスの通信をFW1ですべて許可したとしても、
SSLアクセラレータは80,443以外のポートの通信を通過させないと
思われるため、本番Webサーバのすべてのポートスキャンを行うことが
できないと想定されます。
それゆえに、本番Webサーバに対して完全なPF診断を行うためには
何も遮蔽物がない内部からの診断が重要と考えたのでしょう。

【2点目】
「表2 診断計画-診断内容-診断2:DBサーバの脆弱性診断」と同様に
本番Webサーバが内部の人間から攻撃、秘密情報の窃取を受ける脅威と
考えられます。
2022.02.17 19:08
 赤いTシャツさん(No.3) 
pixさんとてもわかりやすかったですありがとうございす。

おかげさまで、なぜこの設問で自分がモヤモヤしているかわかってきました。

【1点目】
目的が「全てのポートを確認する」なので、SSLアクセラレータがあると目的を達成できないため、遮蔽物がない内部からの診断が必要と考えた。

ここまでは、理解できました。

問題の設定にツッコミを入れてもしょうがないと思いつつも次の2点疑問があります。
・疑問1
やる必要のない(ように私が思う)ポートも全て確認する必要あるのか?
・疑問2
全て調べるのが、一般的(IPA的)な考え方なのか?

【2点目】
こちらも問題の設定にツッコミを入れてもしょうがないと思いつつも次の3点疑問があります。
・疑問1
なぜ、「表2?診断計画-診断内容-診断1:webサーバの脆弱性診断」で内部からの脅威を診断2のように記載しないのか?
・疑問2
webサーバでは、内部からの脅威は考える必要ない(考えていない)のか?
・疑問3
インターネットからの脅威を考えているのであれば、N-IPSやSSLアクセラレータで遮断されてしまうのに、接続点aからどの様な脅威が考えられるのか?

わかる方いればご教示下さい。
2022.02.17 21:29
pixさん(No.4) 
SC プラチナマイスター
私も業務で脆弱性診断を業者に依頼する・検討することがあるので、
その経験から冗長かもしれませんが、私なりの考えを補足します。

【1点目】
・疑問1
  PF診断はOS,ミドルウェア自体に脆弱性があるかどうかの検査です。
  脆弱性を引き起こす原因となるポートが意図せずに開いているかどうか
  確認するのが目的なので、すべて検査する必要があります。

・疑問2
  Webアプリケーション診断とPF診断を混同されているように思われます。

  Webアプリケーション診断:原則として、外部からサイトを(個々のサーバで
  はなく、システムとしての全体です)HTTP,HTTPSプロトコルを利用し、検査する。
  主に、アプリケーションとして脆弱性がないか(XSS,CSRF、
  インジェクション系、TLSのバージョン、暗号スイートなど)の検査を行う。

  PF診断:サーバのOS、ミドルウェアの脆弱性を検査する。
  OSとして不適切な設定(パスワードの強度など)を検査する。
  ミドルウェア(不適切なポートが開いていないか、開いていれば侵入できるか)を
  検査する。外部からの調査で十分であれば、検査業者が外部から行う。
  不十分な場合は検査業者が現地のセンターまで出向いて行う。

【2点目】
・疑問1
  診断計画書のレビューは次のページで行われていますので、この段階ではドラフト版
  なのではと思います。

・疑問2
  内部からの脅威を考える必要はあります。
  内部に悪人がいる
  内部に産業スパイが侵入した
  という人的な脅威に対しての対応です。それを踏まえると外部からだけの検査では
  不十分です。

・疑問3
  疑問2と同義です。内部からの犯行に対しては、途中の遮断する機器は意味を
  なさないからです。
2022.02.17 22:10
 赤いTシャツさん(No.5) 
PIXさん
ありがとうございます。
とてもわかりやすかったです。

読んでも理解できなかったのは、PF診断というもをよく理解できていないからだということがよく分かりました。

そもそもN-IPSで遮断されるのに何でホワイトリストに登録して、診断するんだ?
遮断されるのならそれ以上、確認する必要ないんじゃないか?
とも思っていました。

まだまだ知識不足ということが改めてわかりました。
ありがとうございます。
2022.02.17 22:52

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop