情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

11.マルウェア > 11.3 高度な対策

未知マルウェアの対策というのは簡単ではありません。ここでは、対策の一例を過去問(H28SC春午後Ⅱ問2)を紹介します。
Cさん:未知マルウェア対策として,図7の案を考えました。未知のマルウェアを全て検知するのは無理です。そのため,未知のマルウェアヘの感染を前提とした対策も必要です。
【未知のマルウェアの検知を目的とした対策】
・入口対策:Web閲覧やメールで入ってきたファイルをサンドボックスで実行し,振る舞いを調べることによってマルウェアを検知する対策など
・出口対策:レピュテーションやアノマリ検知によって,C&C通信を発見する対策など
【未知のマルウェアヘの感染を前提とした対策】
・マルウェアに感染しても情報が漏えいしない対策(データの暗号化など)
・マルウェアに感染しても感染前の状態に戻せる対策(フートイメージからの復元など)
図7 未知マルウェア対策案(抜粋)

D部長:我が社のモバイルPCではハードディスクの暗号化を行っていますが,マルウェア感染時の情報漏えいを防げますか。
Cさん:残念ながら, ③マルウェア感染による情報漏えい対策としては役に立ちません。そうした情報漏えいを防ぐためにはDRMのような仕組みが必要になり,取引先にも影響があります。
D部長:なるほど。ブートイメージからの復元というのはどのようなものですか。
Cさん:ブートイメージとはOSの起動に必要なファイルや標準ソフトなどをひとまとめにしたものです。これを読取り専用領域に保存し,起動時に読み込ませることで,動作環境を復元します。実装方法として,モバイルPC上に読取り専用領域を作成する方法と,図8のように,仮想端末上でゲストOSを動かす,画面転送型の仮想デスクトップ環境(以下,VDIという)の二つがあります。

設問5(1)本文中の下線③について,役に立たない理由を40字以内で述べよ。
(2)モバイルPC上に読取り専用領域を作成する対策の場合、再起動時に一部のセキュリティ対策が初期化されるデメリットがある。その具体例を二つ,それぞれ25字以内で述べよ。
ここにあるように、マルウェアを検知するには、入口対策としてサンドボックス、出口対策としてURLフィルタリングなどによるC&Cサーバへの通信制御などがあります。
また、そもそも、マルウェアに感染する前提の対策も述べられています。つまり、マルウェアに感染しても情報漏えいが起きないようにするのです。

設問を解いてみましょう。

設問5(1) ハードディスクを暗号化すると、PCの紛失や盗難によって、不正な第三者に情報を見られることを防げます。しかし、OSを起動してログインしたユーザは、ファイルを見ることができます。これはマルウェアも同じです。試験センターの解答例は以下ですが、透過的というキーワードは書けなくてもいいでしょう。

【解答例】マルウェアからハードディスク内の情報が透過的に見えてしまうから

(2)解答例は
【解答例】
・AMのマルウェア定義ファイルが初期状態に戻る
※問題文の前半にて、AMがマルウェア対策ソフトであると定義されている
・セキュリティパッチが適用前の状態に戻る

DRMに関しては、DRMの記事も参考にしてください。

未知マルウェア対策の記事でも書きましたが、過去問(H28SC春午後Ⅱ問2)では、未知マルウェアの入口対策として、「Web閲覧やメールで入ってきたファイルをサンドボックスで実行し,振る舞いを調べることによってマルウェアを検知する対策」という記述があります。
サンドボックスとは、砂場という意味です。砂場という囲まれた中でマルウェアを動作させ、そこで、不審な振る舞いをしないのかをチェックします。製品としては、FireEye社のものや、TrendMicro社のDeepDiscovery、ForiGate社のFortiSandboxなどがあります。
情報セキュリティスペシャリスト試験を目指す女性SE  

じゃあ、振る舞い検知とはどう違うのですか?
たしかに、既存のウイルス対策製品であるSymantecやTrendMicroのエンドポイント製品にも、振る舞い検知機能はあります。
サンドボックスは、振る舞い検知などを行う点では同じですが、隔離されたサンドボックス環境を作るのがポイントです。ですから、基本的にはゲートウェイ製品にて実現されます。
ゲートウェイ製品には、WindowsXP、Windows7、Windows8、Linuxなどの異なるOSやブラウザを持つサンドボックスが複数用意され、マルウェアをその中で検査をします。

過去問では、サンドボックスの仕組みに関して、「プログラムの影響がシステム全体に及ばないように,プログラムが実行できる機能やアクセスできるリソースを制限して動作させる。(H29春SC午前Ⅱ問16)」「不正な動作の可能性があるプログラムを特別な領域で動作させることによって,他の領域に悪影響が及ぶのを防ぐ。(H28秋AP午前問44)」と述べられています。


DRM(ディジタル著作権管理)は、「コンテンツの著作権を保護し,利用や複製を制限する技術の総称(H27秋IP問46)」です。H23年NW午後Ⅰでも穴埋めでこのキーワードが問われました。

一方、セキュリティの観点では、IRMがあります。ファイルを暗号化したり、アクセス権を管理するものです。
たとえば、攻撃者がファイルを抜き出したとしても、アクセス権が無いのでファイルの暗号化を解除できません。情報漏えい対策として有効な方法の一つです。
Microsoft社のRMS(Rights Management Services)もその一つです。
情報セキュリティスペシャリスト試験を目指す女性SE 

それ、いいですね。
標的型攻撃にあっても、情報漏えいの危険がありません。
ただ、取引先とこの仕組みでやり取りをする場合、取引先にもIRMのシステムを入れてアカウント管理をする必要があるなど、実行面での課題もあります。

このページのトップヘ