type
status
date
slug
summary
tags
category
icon
password
书籍
ネットワークやWebアプリケーションプログラムのセキュリティに関する次の記述を読んで,設問1~4に答えよ。
X社は,中堅の機械部品メーカーである。X社では,部品製造に関わる特許情報や顧客情報を取り扱うので,社内のネットワークセキュリティを強化している。社内のネットワークの内部セグメントには,内部メールサーバ,内部Webサーバ,ファイルサーバなど社内業務を支援する各種サーバが配置されている。また,DMZには,インターネット向けのメール転送サーバ,DNSサーバ,Webサーバ,プロキシサーバが配置されている。Webサーバでは,製品情報や特定顧客向けの部品情報の検索システムを社外に提供しており,内部Webサーバやファイルサーバでは,特許情報や顧客情報の検索システムを社内に提供している。X社のネットワーク構成を図1に示す。
中文提示
🔒 背景与基本情况:
- X社:一家中型的机械零部件制造商。
- 处理信息:涉及专利信息和客户信息,因此对网络安全要求较高。
🏢 内部网络(内部网段):
- 部署了用于内部业务支持的服务器:
- 内部邮件服务器
- 内部Web服务器(提供专利与客户信息查询系统)
- 文件服务器(存储重要资料)
🌐 DMZ(非军事区,网络隔离区域):
- 对外公开服务部署于此,增强安全隔离:
- 邮件转发服务器(向外发送邮件)
- DNS服务器(解析域名)
- Web服务器(对外提供产品及客户零件信息查询系统)
- 代理服务器(对外上网或内容缓存)
🛡️ 安全措施与架构重点:
- 内部服务器与DMZ隔离,防止外部攻击直接进入内部网络。
- 对外服务与对内敏感信息系统明确分离,降低被入侵时的信息泄漏风险。
- 内外Web服务器提供不同功能:
- 外部Web服务器主要提供公开或面向特定客户的信息。
- 内部Web服务器提供公司机密信息查询服务。
先日,同業他社の社外向けWebサイトが外部からの攻撃を受けるというセキュリティインシデントが発生したことを聞いた情報システム部のY部長は,特にFWに関するネットワークセキュリティの強化を検討するように部下のZさんに指示した。
X社の社内ネットワークのセキュリティ要件を図2に示す。
Zさんは,①FWによるIPアドレスやポート番号を用いたパケットフィルタリングだけでは外部からの攻撃を十分に防くことができないと考えた。
中文提示
FW主要通过IP地址、端口号、协议类型等规则来允许或拒绝通信。但:
- 它无法识别应用层的细节,比如Web程序的代码漏洞;
- 对于开放端口上的“合法形式但恶意内容”的通信也可能无法阻挡;
- 它不能检测是否是攻击行为,只能根据规则放行或阻止。
設問1
本文中の下線①において,FWでは防げない攻撃を解答群の中から全て選び,記号で答えよ。
解答群
ア DNSサーバを狙った,外部からの不正アクセス攻撃
イ WebサーバのWebアプリケーションプログラムの脆弱性を悪用した攻撃
ウ 内部Webサーバを狙った,外部からの不正アクセス攻撃
エ ファイルサーバを狙った,外部からの不正アクセス攻撃
オ プロキシサーバを狙った,外部からのポートスキャンを悪用した攻撃
解答
ア イ
そこで,より高度なセキュリティ製品の追加導入を検討するために,IDS,IPSやWAFの基本的な機能について調査した。調査の結果,IDSは,X社の外部からの(a)ことができ,IPSは,X社の外部からの(b)ことができ,一方,WAFは,(c)ことができるということが分かった。
設問2
本文中のa~cに入れる最も適切な字句を解答群の中から選び,記号で答えよ。
a,b,c に関する解答群
ア IPパケットの中身を暗号化して盗聴や改ざんを防止する
イ IPパケットの中身を調べて不正な挙動を検出し遮断する
ウ IPパケットの中身を調べて不正な挙動を検出する
エ Webアプリケーションプログラムとのやり取りに特化した監視や防御をする
オ Webアプリケーションプログラムとのやり取りを暗号化して盗聴や改ざんを防止する
カ 電子メールに対してウイルスチェックを行う
解答
ウ イ エ
この結果から,Zさんは,次の二つの案を考えた。
案1:社内ネットワークのルータとFWの間にネットワーク型のIPSを導入する。
案2:セキュリティ強化の対象とするサーバにWAFを導入する。
今回,(d)を目的とする場合には案1を,(e)を目的とする場合には案2を選択することがそれぞれ有効であると分かった。
設問3
本文中のd~eに入れる最も適切な字句を解答群の中から選び,記号で答えよ。
d,e に関する解答群
ア PCに対するウイルス感染チェック
イ WebサーバのWebアプリケーションプログラムの脆弱性を悪用した攻撃の検出や防御
ウ 外部からの不正アクセス攻撃の検出や防御をX社の社内ネットワーク全体に対して行うこと
エ 内部からの不正アクセス攻撃の検出や防御をX社の社内ネットワーク全体に対して行うこと
オ 内部メールサーバに対する不正アクセス攻撃の検出や防御
解答
ウ イ
特に案2のWAFは,ブラックリストや②ホワイトリストの情報を有効に活用することで,社内ネットワークのセキュリティ要件2.3を満たすことができる。
Zさんは,それぞれの案について,費用面や運用面での課題の比較検討も行い,結果を取りまとめてY部長に報告した。これを受けてY部長は,案2を採用することを決め,具体的な実施策を検討するようにZさんに指示した。
設問4
本文中の下線②のホワイトリストに,どのような通信パターンを登録する必要があるか。図2中の字句を用いて30字以内で述べよ。
解答
あらかじめ定められた一連の手続のHTTP通信だけを許可すること
- 作者:みなみ
- 链接:https://www.minami.ac.cn//%E5%BF%9C%E7%94%A8%E6%83%85%E5%A0%B1%E9%81%8E%E5%8E%BB%E5%95%8F%20%E4%B8%AD%E6%96%87%E6%8C%87%E5%AF%BC/1e7d7ae8-88e2-80a5-9fd4-fda39906fd28
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
