HOME»情報処理安全確保支援士掲示板»R2 午後1 問3 設問2 (3)
投稿する

[1468] R2 午後1 問3 設問2 (3)

 ガンキンさん(No.1) 
ipaの解答では「ホスト型IPSのホワイトリスト設定に、
診断pcのipアドレスを登録し、侵入者設定を無効にする」とあります。

問題文の前半に「無効にすると、pf診断実施時に本物の攻撃を防げないと言うリスクも生じる。」
と書かれていたので、この問題も侵入者設定を無効にしない方が良いと判断して
判定の設定変更は行わず、「通信が拒否された場合警告灯を鳴らさない」
と言う答えを出しました。

まだホワイトリスト設定に診断pcのipアドレスを登録するまでは理解できますが、
侵入者設定を無効にしてしまうまでやってしまうと、やはり本物の攻撃を防げなくなって
しまうと思うのですがどうなのでしょうか。
有識者の方がいれば教えていただけると幸いです。
2024.03.31 00:10
pixさん(No.2) 
SC ダイヤモンドマイスター
>まだホワイトリスト設定に診断pcのipアドレスを登録するまでは理解できますが、
>侵入者設定を無効にしてしまうまでやってしまうと、やはり本物の攻撃を防げなく
>なってしまうと思うのですがどうなのでしょうか。
>有識者の方がいれば教えていただけると幸いです。
診断1と診断2の内容を混同されていると思われます。

診断1はインターネットから本番WebサーバにPF診断、Web診断を行うものです。
>問題文の前半に「無効にすると、pf診断実施時に本物の攻撃を防げないと
>言うリスクも生じる。」
この部分はインターネットから行う診断についての注意事項を述べています。

設問2 (3)は内部である接続点(e)から、本番DBサーバに対してPF診断を行う時の
注意事項を解答するというものです。
2024.03.31 00:28
 ガンキンさん(No.3) 
pixさん回答いただきありがとうございます。

内部である接続点(e)から、本番DBサーバに対してPF診断を行う場合も、例えばマルウェアに感染した機器が管理pcセグメントから本物の攻撃を行われるリスクが無いとは言えないため、やはり侵入者設定を無効にすべきではないと考えてしまいます。

侵入者設定を無効にしても問題ないと判断した理由について、もしわかる方がいれば教えていただきたいです。
2024.03.31 11:50
pixさん(No.4) 
SC ダイヤモンドマイスター
>内部である接続点(e)から、本番DBサーバに対してPF診断を行う場合も、
>例えばマルウェアに感染した機器が管理pcセグメントから本物の攻撃を
>行われるリスクが無いとは言えないため、やはり侵入者設定を無効に
>すべきではないと考えてしまいます。
申し訳ありませんが、それは根拠のない論理の飛躍です。

診断2は「攻撃者が何らかの方法で管理LANに侵入し、本番DBサーバの秘密情報を
窃取する脅威を想定し、」とあります。
したがって、ここの脅威となりうるのは
・攻撃者(人間)
・本番DBへアクセスして情報の窃取
です。

また問中にはマルウェアという言葉は現れておりません。
また、マルウェアは
・ソフトウェア(非人間)
・感染(攻撃ではない)
このような動作を行うものです。

本問の題意は「攻撃者からの脅威への対策」であり、「マルウェアへの感染対策」
ではないということです。
文章読解の基本は「何も足さない、何も引かない」です。
本文中に記載のないことを想定しないようにしてください。
2024.03.31 12:11
Gankingさん(No.5) 
pixさん回答いただきありがとうございます。

例えが悪くて申し訳ありません。
診断2は「攻撃者が何らかの方法で管理LANに侵入し、本番DBサーバの秘密情報を
窃取する脅威を想定し、」と書いているということは同様の攻撃が行われる可能性がある。
そのような状況で侵入者設定を無効にすると、
診断1で会話していたような本物の攻撃が防げないという問題が発生してしまうと思うのです。

考えすぎと言われればそれまでですが、もし侵入者設定を無効にしても問題ないと判断した理由があれば教えていただきたいです。
2024.03.31 12:27
pixさん(No.6) 
SC ダイヤモンドマイスター
>考えすぎと言われればそれまでですが、もし侵入者設定を無効にしても
>問題ないと判断した理由があれば教えていただきたいです。
考えすぎというよりも、リスク管理についての認識が不足していると思われます。

スレ主様は以下2点のリスクについて、どのように考えていますか。
・診断中の一瞬に攻撃を受ける可能性
・診断を行わなかったことによる、潜在的な脆弱性を発見できない危険性
このように発生しうるリスクの洗い出し、リスクの定量化を行ったうえでの
診断の実施の可否を問うべきです。

SCにおいてはリスク管理の知識も必要になります。
これを機にリスク管理についての体系的な学習をお勧めいたします。
2024.03.31 12:42
Gankingさん(No.7) 
pixさん何度も回答いただきありがとうございます。

つまり侵入者設定を無効にした場合は、本物の攻撃を防ぐことはできないが、診断を行わないと判明しない脆弱性の発見を優先して機器の設定の変更(診断pcのipアドレスの登録と侵入者設定の無効化)を行ったということですね。

侵入者設定を無効にした場合には、短時間とはいえ攻撃されるリスクが存在するということがわかったのでスッキリしました。

リスク管理の知識も必要ということがわかったので、そこも踏まえて過去問演習していこうと思います。ありがとうございました。
2024.03.31 13:22
tnsさん(No.8) 
この投稿は投稿者により削除されました。(2024.03.31 17:21)
2024.03.31 17:21
tnsさん(No.9) 
↓解決済みであればスルーしてください。

表1より「N-IPS」、図2より「ホスト型IPS」、の動作が説明されています。

・N-IPS
番号の小さい順に、最初に合致したルール、が適用される。

・ホスト型IPS
ホワイトリスト設定による判定が行われ、許可された通信は、侵入検知設定による判定、が行われる。

以上の事から、それぞれ動作が異なる事がわかります。

>問題文の前半に「無効にすると、pf診断実施時に本物の攻撃を防げないと言うリスクも生じる。」
>と書かれていたので、この問題も侵入者設定を無効にしない方が良いと判断して

>内部である接続点(e)から、本番DBサーバに対してPF診断を行う場合も、例えばマルウェアに感染した機器が管理pcセグメントから本物の攻撃を行われるリスクが無いとは言えないため、やはり侵入者設定を無効にすべきではないと考えてしまいます。
>侵入者設定を無効にしても問題ないと判断した理由について、もしわかる方がいれば教えていただきたいです。

無効といっても、N-IPSとホスト型IPSでは意味合いが異なります。

・N-IPS
通常時、ホワイトリスト設定にIPアドレスは未登録の為、実質の判定は、脅威通信判定のみとなっている。
そのため、脅威通信判定の無効はN-IPSの主となる機能を無効にする事となる。
⇒T主任が指摘「設問1-(2)」

それでも内部(aからIPスプーフィングを利用など)の攻撃はゼロとは言えませんが、
「内部侵入&ホワイトリストに設定したIPアドレス限定での攻撃」と「インターネット含む不特定多数のIPアドレスからの攻撃」とでは、雲泥の差かと思います。

長くなりましたが、このような理由により、
ホスト型IPSは侵入検知設定を無効にしても、リスクはそこまで高くならないのです。

以上
2024.03.31 17:25
返信投稿用フォーム

お名前

顔アイコン


本文(コミュニティガイドライン⇱を順守して適切な投稿を心がけましょう)

投稿削除用のパスワード(20文字以内)

投稿プレビュー
※SQL文は全角文字で記載してください。
※宣伝や迷惑行為を防止するため、当サイトとIPAサイト以外のURLを含む文章の投稿は禁止されています。

投稿記事削除用フォーム

投稿No. パスワード 
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop