情報セキュリティ対策の強化【情報処理安全確保支援士試験平成30年度春期午後1 問2 設問3】

情報処理安全確保支援士試験平成30年度春期午後1 問2 設問3

問2　情報セキュリティ対策の強化に関する次の記述を読んで、設問1〜3に答えよ。

（略）

（略）

　T社では、PC及びサーバを導入する際、システム部がアプリケーションソフトウェア、L社製マルウェア対策ソフト及びOS（以下、これらを併せてT社標準ソフトという）のインストール、脆弱性修正プログラムの適用、並びにマルウェア定義ファイルの最新化を行う。導入後のPC及びサーバは、プロキシサーバ経由でT社標準ソフトの各ベンダのサイトに毎月1回自動で接続し、それぞれの脆弱性修正プログラムを適用している。マルウェア定義ファイルは、1時間おきに最新化している。

（略）

（略）

（略）

〔運用担当者のPCの利用方法の見直し〕

　引き続きKさんとW氏は、運用担当者のPCの利用方法の見直しを行った。

　運用担当者は、運用担当者のPCからサーバに特権IDでログインしているので、PCがマルウェアに感染した場合、サーバの重要な情報が搾取されるおそれがある。また、メールの送受信やインターネットのWeb閲覧は、マルウェア感染のリスクが高い。そこで、次の対策を実施することにした。

・運用担当者には、運用担当者のPCの他に、運用業務専用のPC（以下、運用PCという）も貸与する。

・サーバの運用業務は、運用PCだけで行うルールとする。

・運用PCでは、メールの送受信及びインターネットのWeb閲覧を技術的に制限する。

・L3SW2に接続する運用PC-LANを新設し、そこに運用PCを接続する。

　その上で、次の設定を変更することにした。

・L3SW1及びL3SW2でのIPアドレス指定によるフィルタリング設定

・②WebメールサーバのHTTP接続拒否機能の設定

②について、設定内容の変更点を30字以内で具体的に述べよ。：運用PCからの接続も拒否するように変更する。

WebメールサーバのHTTP接続拒否機能の設定で、「運用PCでは、メールの送受信及びインターネットのWeb閲覧を技術的に制限する」ことを実現するための変更内容を回答します。

表1のWebメールサーバの機能概要で、「IPアドレス単位に、HTTPによる接続を拒否することができるHTTP接続拒否機能がある。その機能を用いて、内部システムLAN上の他のサーバからの接続を拒否している。」とあります。

既に、拒否されている内部システムLAN上の他のサーバからの接続に加え、運用PCからの接続も拒否するように設定すれば良さそうです。

・③プロキシサーバのアクセス制限機能の設定

③について、設定内容の変更点を55字以内で具体的に述べよ。：運用PCから接続できるURLは、T社標準ソフトのベンダのサイトのものだけに制限するように変更する。

表2のプロキシサーバの機能概要で、アクセス制限機能について、「送信元IPアドレスごとに接続可能なURLを制限するアクセス制限機能がある。現在は、全てのURLへの接続を許可している。」とあります。

このプロキシサーバのアクセス制限機能の設定で、「運用PCでは、メールの送受信及びインターネットのWeb閲覧を技術的に制限する」ことを実現するための変更内容を回答します。

運用PCで必要となるWeb閲覧としては、「導入後のPC及びサーバは、プロキシサーバ経由でT社標準ソフトの各ベンダのサイトに毎月1回自動で接続し、それぞれの脆弱性修正プログラムを適用している。マルウェア定義ファイルは、1時間おきに最新化している。」とあるように、T社標準ソフトの各ベンダのサイトへのアクセスは必要で、それ以外のアクセスは制限すれば良さそうです。