https://www.sc-siken.com/pdf/01_aki/pm2_2.pdf
以下のおすすめ問題の解説となります。
良書。
問2 工場の セキュリティに関する次の記述を読んで、設問1〜7に答えよ。
A社は、車両や産業用機械で利用される金属部品の製造会社であり、本社オフィスに加えて3か所の工場(以下、本社オフィス及び各工場をそれぞれ事業所という)をもつ。本社オフィスには、営業部、財務部、総務部、システム部などの部門が配置されている。各工場はそれぞれが独立した部門である。A社は、各事業所内及び事業所間を結ぶ基幹ネットワーク(以下、A-NETという)を整備している。A-NETはシステム部が管理し、社内の機器の多くが接続されている。
A社は、全社共通のセキュリティ規程を定めており、各部門はこれに従って機器を管理しなければならない。A-NETの概要を図1に、A社のセキュリティ規程を図2に示す。
先日、同業のB社でセキュリティ事故が発生し、生産設備が数日停止した旨の記事が業界紙に掲載された。これまでのところ、A社では、同様の被害が生じた事故は起きていないが、以前から、セキュリティ面を深く考慮せずに拡張してきたA-NET及び部門NETについて抜本的な改善の必要性があるとの指摘が、システム管理を担う現場の技術者から出ている。
【 ランサムウェア感染】
ある日、α工場において、設計部のSさんが利用する標準PC(以下、PC-Sという)の動作が極端に遅くなり、かつ、一部のファイルが開けなくなる事象が発生した。Sさんから連絡を受けたシステム部は、α工場において部門機器や業務用 ソフトを管理するD主任と共同で、調査及び対処を行った。その内容を図3に示す。
図3中の6について、感染拡大の試行の痕跡が見つかったのは、いずれも生産設備を制御するための専用PC(以下、FA端末という)だった。FA端末は、α工場が管理する部門機器としてA-NETへの接続が許可されていた。FA端末には、パッチの適用やマルウェア対策ソフトの導入などの、セキュリティを維持するための措置が施されていなかった。D主任によると、FA端末は標準PCではないので、セキュリティ規程で定められた標準PCに対する措置は適用対象外と理解しているとのことであった。また、FA端末は、汎用PCを用いたPCであるが、FA端末及び生産設備の製造ベンダY社の指定する方法で利用しなければならない。Y社の許可を得ずにパッチを適用したり、他社のソフトウェアをFA端末にインストールしたりした場合は、FA端末及び関係する生産設備の動作が保証されなくなるとのことであった。
【見直し実施の方針】
今回の ランサムウェア感染では、生産設備の停止などの重大な事態に陥ることはなかった。しかし、A社の経営陣は、実害があったこと、生産設備に影響する可能性があったこと、及びB社でセキュリティ事故があったことを踏まえ、工場の セキュリティについて抜本的な見直しを行う方針を決定した。
経営陣は、システム部のM部長をこの抜本的な見直しのプロジェクト(以下、プロジェクトWという)の責任者に任命した。プロジェクトWは、サイバー攻撃などによる生産設備の停止を防ぐことを目的とし、必要な施策を検討して実施する。例えば、A-NETで障害が発生しても生産設備の稼働を維持できるようにする。
①について、ログに記録されたUser-Agentヘッダフィールドの値からはマルウェアによる通信であると判定するのが難しいケースがある。それはどのようなケースか。50字以内で述べよ。
User-Agentヘッダフィールドはブラウザの識別情報に利用している。ブラウザによって処理を変えるかどうかという場合に使うことが多い。
今回のケースだと既にcurlが入っているので、このヘッダ値を見て処理を行うものがいるとすると、この値だけでマルウェアかどうかを判断するのは危険である。
a パッチ
「CAD-Vの脆弱性情報及びその対策である(a)はCAD-Vの開発元によって公開されていたが、α工場はそれらの情報を得ていなかった」
脆弱性情報が公開されると対策方法や回避方法が展開される。プログラム修正が終わっていない場合は、ワークアランドの対策方法が展開され、プログラムがある場合は修正パッチのリリースが行われる。
今回の問題の条件としては、既に修正プログラムはあり、工場は知らなかったケースであるので、選択肢として入るのは、修正プログラムとかパッチとかそのような類のもの。
選択肢をみるとパッチが該当する
b 初期化
PC-Sに、業務用ソフトをインストールする」「PC-S上に必要なファイルは、バックアップから復元する」
後の作業と今回のPCの破壊されっぷりを考えると、初期化かなと推測できると思います。USBにバックアップを取るという手段もありなような気がするが、バックアップをどう作るかが書かれていないのでひっかけだったのかもしれない。
c サイトU
「サイトUにアクセスし、 ランサムウェアが動作した機器の環境や暗号化の状況についての情報を登録する」
悪さをする際はサイトUに接続するのでFWで穴をふさいでおきましょう。