令和6年度秋期午前Ⅱ試験問題の問１１〜１５までを解説

今回も、先日受験した令和６年度秋期午前Ⅱ試験の問題を解説しなががら、次回試験の対策を行っていきます。

今回解説するのは、問１１〜１５です。これらの問題で使用されていた用語は、以下の5つです。

SOAR（Security Orchestration, Automation and Response）
WAF おけるファールスポジティブ
インラインモードで動作するアノマリ型IPS
クリックジャッキング攻撃
DTLS

是非、最後までご覧いただけると嬉しいです。

SOAR（Security Orchestration, Automation and Response）
WAF おけるファールスポジティブ
インラインモードで動作するアノマリ型IPS
クリックジャッキング攻撃
DTLS
まとめ

SOAR（Security Orchestration, Automation and Response）

SOAR（Security Orchestration, Automation and Response）の説明はどれか。

ア　脅威インテリジェンスの活用、セキュリティ運用のに自動化及びインシデント対応の効率化を行う技術

イ　全ての利用者、デバイス、接続元を信頼できないものとして捉え、重要な情報資産やシステムに対するアクセスの正当性や安全性の検証を自動化することによって脅威を防ぐ考え方

ウ　組織間でサイバー攻撃に関する情報を効率化に交換するために、脅威情報構造化記述形式で記述された情報の交換を自動化するためのプロトコル仕様

エ　ファイアウォール、マルウェア対策製品、侵入検知製品など複数のセキュリティ製品のログの集約及び相関分析を自動化するための専用装置

引用：情報処理安全確保支援士試験　令和6年秋午前Ⅱ問１１

解答

ア

SOARの概要

SOAR（Security Orchestration, Automation, and Response）は、サイバーセキュリティにおいて、さまざまなセキュリティツールやプロセスを統合し、効率的に脅威を管理・対応するためのプラットフォームです。SOARの主な目的は、セキュリティオペレーションの自動化と効率化を図り、人間の介入を減らしてセキュリティインシデントに迅速に対応することです。

SOARの主な機能には次の3つがあります：

Orchestration（オーケストレーション）
異なるセキュリティツールやシステムを一つのプラットフォームで連携させ、データ収集や分析、対応のプロセスを統合します。これにより、手動での作業が減り、セキュリティ運用の効率が向上します。
Automation（自動化）
インシデント対応やセキュリティ運用の一部、あるいは全てを自動化します。例えば、特定の脅威が検出された際に、自動でログを解析し、適切なアラートや対策を実行するプロセスを定義できます。
Response（対応）
検知した脅威に対して、迅速かつ効果的な対応を自動または手動で行います。インシデントの影響を最小限に抑えるため、SOARは事前に定義されたプレイブック（手順書）に基づいて対応を行います。

SOARの利点

インシデント対応のスピードアップ：インシデント対応が自動化されることで、手動プロセスよりも迅速に対応可能。
セキュリティオペレーションの効率化：手動で行っていた多くのタスクを自動化することで、リソースの節約と運用効率の向上を図る。
誤検知の減少：SOARはデータを統合して分析するため、誤検知を減らし、重要な脅威に集中できます。

SOARの活用例

セキュリティイベントのリアルタイム監視と即時対応
フィッシング攻撃やマルウェア感染の自動対応
インシデント調査におけるログ解析の自動化

SOARのまとめ

SOARは、セキュリティ運用センター（SOC）や大規模な企業のセキュリティチームで活用され、セキュリティ脅威への対応能力を向上させる重要なツールです。

WAF おけるファールスポジティブ

WAF おけるファールスポジティブに該当するものはどれか。

ア　HTML の特殊文字 ”＜” を検出したときに通信を遮断するように WAF を設定した場合、数式を入力するWebサイトに ”＜” を数式の一部として含んだ HTTP リクエストが送信されたとき、WAF が攻撃として検知し、遮断する。

イ　HTTP リクエストのうち、RFC などに定義されておらず、Web アプリケーションソフトウェアの開発者が独自に追加したフィールドについては WAF が検査しないという仕様を悪用して、攻撃の命令を埋め込んだHTTPリクエストが送信されたとき、WAF が遮断しない。

ウ　HTTP リクエストのパラメータ中に許可しない文字列を検出したときに通信を遮断するようにWAF を設定した場合、許可しない文字列をパラメータ中に含んだ不正な HTTP リクエストが送信されたとき、WAF が攻撃として検知し、遮断する。

エ　悪意ある通信を正常な通信とみせかけ、HTTP リクエストを分割して送信されたとき、WAF が遮断しない。

引用：情報処理安全確保支援士試験　令和6年秋午前Ⅱ問１２

解答

ア

WAF おけるファールスポジティブの概要

WAF（Web Application Firewall）におけるファールスポジティブとは、実際には見かけない通信やリクエストが、不正なものとして誤ってブロックされてしまう現象をさします。発生することで、Web アプリケーションの利用者や運営者にとって、通常の業務の想定となることが起こります。

ファールスポジティブが発生する原因

ルールセットの厳格さ
WAFは通常、事前設定されたルールセットに基づいて監視します。これらの通信ルールは、攻撃パターン（SQLインジェクションやクロスサイトスクリプティングなど）を識別するために定義されています。ルールが厳しすぎる場合、通常なリクエストも「疑わしい」と判断され、ブロックされることがある。例えば、Webフォームでユーザーが使用する特殊な文字列（例：HTMLタグやSQL構文に似たもの）が不正なコードとして誤認されるケースが考えられます。
アプリケーションの特性に合わない設定
WAFは一般的な攻撃を防ぐために設計されていますが、アプリケーション固有の機能やデータ形式を避けて設定されていない場合があります。たとえば、特定のAPIがJSON形式やXML形式のアプリケーションの動作に適応していないWAFの設定が原因となり、ファールスポジティブが頻繁に発生します。
カスタムルールの誤った設定
管理者が独自のセキュリティポリシーを実装するためにカスタムルールを追加した場合、それが非常に厳しいか、あるいは正しく構成されていないと、正常なリクエストまでブロックしてしまうことがあります。たとえば、特定のユーザーや IP アドレスに対して厳しいルールが適用されすぎると、正当なユーザーまでアクセスが制限される可能性があります。

ファールスポジティブの影響

ユーザー体験の不快
正常なリクエストがブロックされると、利用者はWebサイトにアクセスできなかったり、操作が制限されたりします。これが頻繁に発生すると、ユーザーはそのサイトに対して不満を抱き、最悪の場合、利用をやめてしまう可能性があります。
運営者の作業負担
ファールスポジティブが多発すると、WAFの管理者はそれを調査し、必要な調整を行うための時間とリソースを費やす必要があります。正当な通信がブロックされるたびに、ルールの緩和や例外設定を検討する必要があり、セキュリティと寛容性のバランスをとる作業が求められます。

ファールスポジティブの防止と対応

ルールセットのチューニング
WAFが導入された直後は、標準のルールセットが適用されていることが多く、これが厳しすぎる場合があります。
学習モードの活用
多くのWAFは、学習モードを用意しており、通常どおりを観察し、いわばベースとなってルールを自動調整する機能を提供しています。このモードを活用することで、アプリケーションの特性に合わせたルールが構築され、ファールスポジティブのリスクを軽減できます。
解析ログとファールスポジティブの継続的なモニタリング
ポジティブを迅速に警告するためには、WAFのログを定期的に解析することが重要です。誤ったブロックが発生したリクエストのパターンを見極め、ルールを正しく調整することまた、ファールスポジティブを軽減するためには、WAFの設定を継続的にモニタリングし、アプリケーションの変更や新たな攻撃手法に対応する必要があります。

WAFにおけるファールスポジティブのまとめ

WAFは、Webサイトへの攻撃を防ぐためのセキュリティツールですが、誤って正常なアクセスをブロックしてしまう「ファールスポジティブ」が発生することがあります。これは、WAFのルールが過度に厳しかったり、アプリケーションの特性に合っていなかったりする場合に起こります。ファールスポジティブは、ユーザーの利便性を損なうだけでなく、管理者の作業負担を増やす原因となります。

ファールスポジティブを防ぐためには、WAFのルールを適切に調整し、アプリケーションの特性に合わせた設定を行うことが重要です。また、WAFのログを定期的に分析し、誤検知が発生した原因を特定することで、より正確なセキュリティ対策を講じることができます。

インラインモードで動作するアノマリ型IPS

インラインモードで動作するアノマリ型IPSはどれか。

ア　IPS が監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続される。異常な通信を定義し、それと合致する通信を不正と判断して遮断する。

イ　IPS が監視対象の通信経路を流れる全ての通信パケットを経路外からキャプチャできるように通信経路上のスイッチのミラーポートに接続される。通常時の通信を定義し、それから外れた通信を不正と判断して遮断する。

ウ　IPS が監視対象の通有心を通過させるように通信経路上に設置される。異常な通信を定義し、それと合致する通信を不正と判断して遮断する。

エ　IPS が監視対象の通信を通過させるように通信経路上に設置される。通信時の通信を定義し、それから外れた通信を不正と判断して遮断する。

引用：情報処理安全確保支援士試験　令和6年秋午前Ⅱ問１３

解答

エ

インラインモードで動作するアノマリ型IPSの概要

インラインモードで動作するアノマリ型IPS（Intrusion Prevention System）は、ネットワーク上の異常な動作を検出してリアルタイムに防御するシステムです。通常のシグネチャベースのIPSとは異なり、アノマリ型IPSは「通常の振る舞い」から逸脱した異常（アノマリ）を検出することで、未知の脅威や攻撃に対応します。

インラインモードとは？

インラインモードで動作する IPS は、ネットワークのデータフローの中に直接配置され、リアルタイムでトラフィックを監視・検査し、悪意のある通信を即座にブロックします。具体的には、通信がネットワークを通過するたびに、その通信が異常かどうかを判定し、問題があればその場で遮断します。これにより、潜在的な攻撃や脅威がネットワークに到達する前に防ぐことができます。

アノマリ型IPSの特徴

異常検知ベース
アノマリ型IPSは、正常なトラフィックパターンを学習し、それに基づいて異常な振る舞いを検知します。この「正常な振る舞い」は、過去のデータやシステムの動作状況をもとに構築され、たとえば通常の通信量、通信時間帯、特定のプロトコルの使用頻度などが考慮されます。この通常パターンから大きく外れたトラフィックが検知されると、アノマリ（異常）として識別され、対応が行われます。
未知の攻撃への対応
アノマリ型IPSは、既知の攻撃シグネチャに依存せず、通常とは異なるトラフィックを基準にしているため、シグネチャベースのシステムでは検知できない未知の攻撃にも対応可能です。たとえば、新たなマルウェアやゼロデイ攻撃による不審なネットワーク動作を即座に検知し、対応できます。
リアルタイムな対応
インラインモードでは、異常が検出されるとその通信は即座にブロックされます。これにより、脅威が実際にシステムやネットワークに悪影響を与える前に防御できる点が大きな利点です。また、アラートを発するだけではなく、即時に攻撃を遮断することで、より高度なセキュリティ対策を実現します。

アノマリ型IPSの利点と課題

利点

未知の脅威に強い：正常な振る舞いから逸脱した通信を検出するため、従来のシグネチャベースのシステムで検知できない新しい攻撃にも対応可能です。
リアルタイムの防御 ：インラインモードで動作するため、攻撃を即座に防御し、脅威が広がる前に対応できます。
柔軟な対応：多様なトラフィックパターンや新しいタイプの攻撃に対しても、学習した正常パターンと比較することで対応できるため、予測できない攻撃にも強いです。

課題

ファールスポジティブ（誤検知）：アノマリ型IPSは異常を検知することが目的のため、通常の業務においても「異常」と判断されるケースがあり、ファールスポジティブの発生が課題となる場合があります。これにより、正当な通信が誤ってブロックされるリスクがあります。
チューニングが必要：アノマリ型のシステムは導入時に通常のネットワークパターンを学習する期間が必要であり、最適な動作をさせるためには継続的な監視やチューニングが不可欠です。新たなビジネスニーズやシステムの変化に対応するためにも、設定の調整が求められます。

インラインモードで動作するアノマリ型IPSのまとめ

インラインモードのアノマリ型IPSは、高度化するサイバー攻撃に対して、より強固なセキュリティ対策を実現するための有効な手段の一つです。ただし、システムの導入や運用にあたっては、誤検知対策や継続的な監視など、慎重な検討が必要となります。

クリックジャッキング攻撃

クリックジャッキング攻撃に有効な対策はどれか。

ア　cookieに、HttpOnly 属性を設定する。

イ　cookieに、Secure 属性を設定する。

ウ　HTTPレスポンスヘッダーに、Strict-Transport-Securityを設定する。

エ　HTTPレスポンスヘッダーに、X-Frame-Optionsを設定する。

引用：情報処理安全確保支援士試験　令和6年秋午前Ⅱ問１４

解答

エ

クリックジャッキング攻撃の概要

クリックジャッキング攻撃は、ユーザーの意図しない操作を誘導するサイバー攻撃の一種です。この攻撃では、攻撃者がWebページ上に透明または視覚的に隠蔽された要素（ボタンやリンクなど）を重ねて表示しますし、ユーザーに本来意図していない操作が行われます。ユーザーが無意識にクリックすると、後に隠された誠実な要素が実行され、個人情報の不正操作が行われることがあります。

クリックジャッキングの仕組み

攻撃者は、通常次のような手法でクリックジャッキング攻撃を実行します：

透明なフレームの重ね合わせ
攻撃者は、透明なフレーム（iframe）に視野となるWebページ（例えばログインボタンや購入ボタン）を重ね、ユーザーには他のコンテンツを見せつつ、横にあるフレームをクリックさせますます。
誘導ボタン
ユーザーがクリックすると思い込んでいるボタンが実際には攻撃者が指定したリンクやボタンであり、意図しない操作を実行します。例えば、SNSの「いいね！」ボタンに、悪意のあるサイトへのリダイレクトや不正行為が行われる場合があります。

クリックジャッキング攻撃のリスク

認証情報の漏洩：ログインやセキュリティに関連する操作がクリックジャッキングによって不正に行われると、攻撃者はユーザーの認証情報を盗むことができます。
不正なアクションの実行：攻撃者がバックグラウンドで購入処理またはその他の有害な操作を実行するため、ユーザーのアカウントが不正に操作される可能性があります。

クリックジャッキング攻撃に対する有効な対策

X-Frame-Options ヘッダーの設定
クリックジャッキング攻撃からWebサイトを守る上で、X-Frame-Options ヘッダーは非常に重要な役割を果たします。このヘッダーは、Webサーバーがブラウザに送信するレスポンスに含まれ、そのページが他のWebサイトの iframe 要素内に表示されることを許可するかどうかを指定します。
Content Security Policy（CSP）の frame-ancestors ディレクティブ
Content Security Policy (CSP) は、Web ページがフレームや iframe のどのオリジンから重点制御するために使用されます。このディレクティブを正しく設定することで、信頼できるオリジンからのフレーム内表示のみを許可し、その他のすべてのサイトからの埋め込みをブロックすることができます。
サードパーティライブラリの使用
フレームバスティングやセキュリティ機能を提供するサードパーティライブラリを利用することも、クリックジャッキング攻撃として有効です。これらの対策ライブラリは、ページが不正なフレームに表示されないように保護され、異常な動作が発生した場合に通知できます。
ユーザーインターフェースの強化
クリックジャッキング攻撃はユーザーを騙してクリックさせる手法を利用しているため、ユーザーインターフェースのデザインを工夫することでリスクを軽減することも可能です。する、あるいはダブルクリックを要求することで、意図的にクリックが行われるのを防ぐことができます。

クリックジャッキング攻撃のまとめ

クリックジャッキング攻撃は、ユーザーを騙して不正な操作を行える非常に巧妙な攻撃です。しかし、X-Frame-OptionsやCSPのframe-ancestors指示などの適切な対策を導入することで、これらの攻撃からWebアプリケーションを守ることがこれらのセキュリティ対策を組み合わせることができ、継続的に監視・改善することがございますので、クリックジャッキングのリスクを考慮するために重要です。

DTLS

DTLSの特徴はどれか。

ア　IPパケットの暗号化を可能としている。

イ　PPP で接続する際のチャレンジレスポンス認証機能をイーサネット上の通信に提供している。

ウ　TCPのペイロードデータの暗号強度をTLSよりも強化している。

エ　UDPのペイロードデータの暗号化を可能としている。

引用：情報処理安全確保支援士試験　令和6年秋午前Ⅱ問１５

解答

エ

DTLSの概要

DTLS（Datagram Transport Layer Security）は、データグラム通信（UDP）上でTLS（Transport Layer Security）によるセキュリティ機能を提供するプロトコルです。TLSは一般的に信頼性のあるTCP通信で用いられますが、UDPのような接続の確立やデータの信頼性を保証しない通信プロトコルにもセキュアな通信を提供する必要があるため、DTLSが開発されました。

DTLSの特徴

TLSのセキュリティ機能を提供
DTLSは、TLSと同じ暗号化、認証、データ完全性保護機能を提供します。これにより、データが暗号化され、第三者による盗聴や改ざんが防止されます。DTLSは、TLSの信頼性やセキュリティモデルをそのまま継承しているため、セキュアな通信を確保します。
UDP上で動作
TCPは信頼性のあるデータ転送（パケットの順序保証や再送機能）を提供しますが、UDPは信頼性がなく、軽量な通信プロトコルです。UDPは主にリアルタイムアプリケーション（VoIP、オンラインゲーム、ストリーミングなど）で使用されるため、DTLSはTLSの機能をUDPに適応させて、信頼性が不要な通信でセキュリティを確保します。
パケット損失や順序の問題への対応
UDPではパケットが順序通りに届かない、またはパケットが一部失われることがあります。DTLSは、これらの問題に対処するために、再送処理や順序を管理するための機能を備えています。たとえば、パケットが欠落した場合は、DTLSが再送要求を行い、パケット順序が狂った場合でも正しく処理できるように設計されています。

DTLSの利用例

VoIP（Voice over IP）
音声通話などのリアルタイム通信では、遅延を最小限に抑えることが重要です。TCPはパケットの再送や順序保証を行うため遅延が発生しやすいですが、UDPはこれを行わないためリアルタイム性が高い通信が可能です。DTLSは、VoIPにおいてセキュアな通信を提供しながら、UDPの低遅延特性を活かすことができます。
WebRTC（リアルタイム通信）
WebRTCはブラウザ間で音声、ビデオ、データをリアルタイムに送受信するための技術で、DTLSはWebRTCにおける通信のセキュリティを確保するために使用されます。これにより、通信内容が暗号化され、ユーザーのプライバシーが保護されます。
VPN（仮想プライベートネットワーク）
VPNプロトコルの一つであるDTLS VPNは、IPSecやOpenVPNの代わりにDTLSを使用してVPNトンネルを構築します。特に、VoIPやリアルタイムアプリケーションを使用する企業ネットワークで、低遅延でセキュアな通信を実現するために利用されます。

DTLSの利点

リアルタイム通信に適したセキュリティ
DTLSは、UDPの特性を活かしながらセキュアな通信を提供するため、VoIPやビデオストリーミングのようなリアルタイム性が求められるアプリケーションで適用しやすいです。
軽量なセキュリティプロトコル
DTLSはTLSと同様の強力なセキュリティ機能を提供しますが、TCPの信頼性に依存しないため、軽量でリアルタイム性のある通信環境に向いています。

DTLSの課題

パケット損失や順序の乱れへの対応
UDPの特性上、パケットの損失や順序が保証されないため、DTLSはこれらの問題に対応するための処理が追加されていますが、完全な解決策ではなく、パケットの損失や遅延による影響はリアルタイム通信の質に影響を与えることがあります。
複雑さの増加
DTLSはTLSに比べ、パケット損失や順序の処理を考慮するため、実装がやや複雑になります。そのため、開発者はDTLSの特性を十分に理解してアプリケーションに組み込む必要があります。

DTLSのまとめ

DTLSは、UDP上でセキュアな通信を実現するためのプロトコルであり、リアルタイム性が求められるアプリケーション（VoIP、WebRTCなど）に適したセキュリティ機能を提供します。TLSの暗号化や認証機能を継承しつつ、UDPの特性を活かして動作するため、低遅延な環境での安全な通信を可能にしますが、UDPの特性に対応するための工夫が必要です。