【AP試験】マルウェア(ランサムウェア)対策、EDR、UTM、APT、WAF、CASM、CSIRT、MITM、RADIUS

徒然草2.0

令和5年・午後のセキュリティ問題についてのまとめ。

(1)ランサムウェアを起動してしまったPCに対して、まず使用者が行うことがたずねられている。これは「ネットワークから切り離す」こと。社内ネットワークを介して別のコンピュータへマルウェアが自己増殖したりファイルを破壊する行為を抑止するため。これは設問がなくても即答したいし、全てのユーザに知っておいて欲しいこと。

(2)サイバーキルチェーン攻撃の7段階のうちどの項番まですすんでいる状態であるかを尋ねられている。問題を丁寧に読み解いていけば「インストール」の段階であることが分かる。もし選択肢として迷うとしたら、マルウェアを実行させただけの状態「エクスプロイト」の段階か「インストール」の段階か迷うが、問題文の中にインストールされている旨が書かれているので「インストール」が答えになる。また今回は、外部から操作された形跡がない(怪しい通信で情報が抜き取られたとか、内部ネットワークのコンピュータに対する攻撃がない)ので「C&C」の選択肢も外れる。

(3)一般論として「PC上の不審な挙動を監視する仕組み」と言えば何であるか?が問われている。解答は「EDR」だそうだ。APTとWAFではないことはわかったがUTMがわからず悩んだ。昨今のランサムウェア対策が、どこまで進んでいるのか?あんまり理解していなかった(汗)

EDR(Endpoint Detection and Response)エンドポイント・ディテクション・アンド・レスポンス。その名の通りエンドポイント(ユーザのPC)でランサムウェアなどの驚異を探索(ディテクション)して教えてくれる(レスポンス)ようなサービスのこと。サイバーキルチェーンが段階を踏んで、マルウェアのデリバリ→エクスプロイト(実行)→インストール→C&Cと進むプロセスそのものをドライブレコーダのように状況を監視をすることで驚異を検知する。

セキュリティの関連用語として他の用語も開設すると…

UTM(Unified Threat Management)ユニフィード・トラスト・マネジメント=統合驚異管理こと。ファイアウォール、VPN、アンチウイルス、不正侵入防御、コンテンツフィルタリング、アンチスパムなどの機能を1台で提供してくれる製品。そういうものを導入する組織にいないのでよく分からないですが名称としてはおぼえて起きたい。私も選定ならびに運用する機会がどこかであるといいですが…今のところ無さそう。

APT(Advanced Persistent Threat)標的型攻撃。加害者が目的をもって攻撃してくることを指す。

WAF(Web Application Firewall)Webアプリケーション向けのファイアーウォール。

(4)セキュリティに関するインシデント事例を調査して技術的な対応をする組織をなんという?答えは、「CSIRT(Computer Security Incident Response Team)」というらしい。他の候補にCASM、MITM、RADIUSとあったがすべて分からない。RADIUSは認証サーバという理解はあった。MITMやCASMも言われてみたら知っている程度。シーサートは今回はじめて聞いた気がする。

CSIRT(Computer Security Incident Response Team)はそのままシーエスアイアールティーと読む他に「シーサート」と呼ぶらしいよ。「わが社にもシーサートを立ち上げよう」という感じで話が進むんですかね?

CASB(Cloud Access Security Broker)クラウド・アクセス・セキュリティ・ブロッカーということで、クラウド時代のセキュリティ対策を行うソリューションのことで、従業員のサービス利用を監視することを指す。

MITM(Man-In-The-Middle)マン・イン・ザ・ミドル=中間者攻撃のこと。通信を行う2者の間に割り込んで盗聴や改ざんを行うこと。

RADIUS…昔からある仕組み。RADIUS認証サーバのことを意味する。


 

・マルウェア(に限らずだが)セキュリティインシデントが発生したときの対策として行うべきことは何であるか?選択肢として「被害を受けた組織の業種」とか「被害によって被った被害金額」というものがある。より包括的に外部要因を調べるのならば、これらの項目を選んでも悪くはない気がするが組織としてまず選ぶべきは「使用された攻撃手法」を明らかにして「被害を受けた機器の酒類」を特定することが挙げられる。

・(ランサムウェア被害を最小限にするために、リムーバブルディスクなどの物理的な記憶媒体に)バックアップを取得した記憶媒体の保管方法は?…これなのですが、ちょっと迷いました。ランサムウェアの被害なのですから「PCから切り離して保管する」とか書いたのですが間違いのようですね(汗)。保管方法を聞かれているのであって、とるべき行動を聞かれているわけではないということなのでしょう。そんなに間違っていないと思うけど。まず取り外すという記述がなかったのでそっちかなと思ったのですが…失敗です「鍵付きの箱に保管する」とかくべきか迷ったのですが、後者のほうがよかったようです。解答例としては「鍵付き保管棚等安全な場所に保管する」とかでもいいらしい。個人的には「鍵付き保管棚等の安全な場所に保管する」って”の”って文字をいれたい気がしますが。いずれも鍵をかけた場所に保管することが大切らしい。

コメント

タイトルとURLをコピーしました