問題冊子、解答例、採点講評はこれ
またIPAがリダイレクト設定せずにURL変えたりしなければつながるはずです
2018年春は問1がプログラミングっぽいので2からスタート。午後やった後に見ると本当に短くて午前はいいね

本文(設問1)

本文要約(設問1)

[前提]
① T社全従業員はPCを1台ずつ所持、営業部LANか業務部LANかシステム部LANのどれかに接続する。PCと内部システムLAN(前記3サーバ)は固定IPアドレス割当済。インターネットの使用はメールとWeb閲覧でT社ドメイン名はt-sha.co.jpで、全従業員がT社ドメイン名のメールアカウントがある。
② PC及びサーバ導入時には、システム部がT社標準ソフト(APソフトウェア+L社製マルウェア対策ソフト+OS)をインストールし、脆弱性修正プログラム適用、マルウェア定義ファイルの最新化を行う。導入後はプロキシサーバ経由で月1で脆弱性修正プログラムを適用。マルウェア定義ファイルは1時間おきに最新化している。
[内部システムLAN上のサーバ概要]
① 内部システムLANとLAN上サーバはシステム部K(人名)が運用している。Webメールサーバ(IP : 192.168.1.11)は以下の②～⑨の機能がある。
② SMTPで迷惑メール対策サーバからのメールを受信する機能
③ 外部メールサーバにSMTPでメールを転送する機能
④ PCからWebブラウザ(HTTP)でメール送受信ができるメール機能とメールボックス機能
⑤ SMTPとHTTPのマルウェアスキャンを行う機能
⑥ IPアドレス単位でHTTP接続を拒否する機能(これで内部システムLAN上のほかサーバからの接続を拒否)
⑦ 送信メールアドレスをメールアカウントに対応付ける送信者メールアドレス詐称防止機能
⑧ インターネットへの送信メールについて、送信者メールアドレスごとに送信可否を設定する機能(業務で不要な人は送信不可)
⑨ DNS機能(社内専用で、インターネット上のドメイン名の名前解決はしない)
⑩ 運用で内部システムLAN上サーバへのログインはSSHで行う。
[DMZ上サーバとFWの概要]
① DMZ上サーバには固定グローバルIPアドレス割当済。プログラム異常停止などのエラーが出たら迷惑メール対策サーバ経由でシステム部運用担当者にメールを送る。
② 迷惑メール対策サーバ(IP : x1.y1.z1.2)は受信したメールをWebメールサーバにSMTPで転送、インターネットからのメール受信はSPFで転送許可か拒否を決めるほか、メール件名と本文の内容で迷惑メールと判定するとメールを破棄する。
③ DNSサーバ(IP : x1.y1.z1.3)はインターネット向けT社ドメイン名解決と、インターネット上のドメイン名の名前解決と、オープンリゾルバ防止機能がある。
④ 外部メールサーバ(IP : x1.y1.z1.4)は転送されてきたメールをインターネットにSMTPで転送する。
⑤ プロキシサーバ(IP : x1.y1.z1.5)はPC及びサーバからインターネットへのHTTP, HTTPS通信を中継する。HTTPSの中継にはCONNECTメソッドを使う。送信元IPごとに接続可否を決める。T社のネットワーク内のIPのみ接続許可。接続可能なURLの制限も行えるが、現在は全部許可としている。宛先ポート番号の設定もでき、1023以下の宛先ポート番号だけ許可。
⑥ 運用でDMZ上サーバへのログインはSSHで行う。

問題文(設問1)

解説(設問1)

(1)はTXTレコードの穴埋め。といってもそもそもTXTレコードとはなんじゃいというところから。現在のDNSのTXTレコードの用途は「電子メールのスパム防止」「ドメイン所有者の確認」で、今回ではSPFレコードの意味となります。SPF自体はデジタル署名を使うDKIMよりは一個下みたいな印象で応用やらの午前でも出てきましたが、ここで中身が登場。
「IN TXT」は宣言みたいなもので、ここでは特に意味がありません。「v=spf1」はSPFのバージョンを表すらしいですが、とにかくこう書くのがルール。
「+」は正常メール扱いの意味。「-]「~」だと不正メール扱いとのこと。
「ip4: [a]」はそのままIPアドレス。ドメイン名などをいれてもいいらしい。
「-all」は ここに記載のないアドレスからのメール送信は拒否するの意味。
で、T社ドメイン名に対するTXTレコードとはどういう意味か、というかインターネットから送られてくるメールに対しての許可なのか、インターネットに送るメールに対しての許可なのかの話ですが、今回は送る話です。(送ってくる方のIPアドレスなんてわかるはずもないです)
そしてインターネットに送る役割は外部メールサーバ(IP : x1.y1.z1.4)です。
答え x1.y1.z1.4
(2)はフィルタリングルールの穴埋め。メールの内容を抽出していきます。
インターネットからのメールは迷惑メール対策サーバ(b)が受けてWebメールサーバ(c)に送ります。([DMZ上サーバとFWの概要]②)それはそうとして外部メールサーバ(d)はインターネットに送ります([DMZ上サーバとFWの概要]④)
答え b : 迷惑メール対策サーバ, c : Webメールサーバ, d : 外部メールサーバ

本文(設問2)

本文要約(設問2)

[セキュリティ見直し]
① 同業他社でマルウェア感染からの情報大量漏洩事案があったので、登録セキスペW(人名)と一緒にセキュリティ対策を見直す。
[サーバ設定見直し]
① DNSサーバのオープンリゾルバ防止は[e]を許可するのがDMZ上の他のサーバのみであるか、プロキシサーバの接続元制限はDMZ上のサーバと内部システムLAN上、PC-LAN上のPCだけが接続可能か、プロキシサーバのポート制限は接続を許可すべき宛先ポート番号を設定しているかを見る。
② プロキシサーバのCONNECTメソッド悪用を防ぐ制限がなされておらず、CONNECT x1.y1.z1.4:25 HTTP/1.1のようにトンネルを確立するとWebメールサーバの機能を回避できるほか、いくつかの問題も生じる。

問題文(設問2)

解説(設問2)

(1)はオープンリゾルバについてで、そもそもオープンリゾルバとは誰かからのドメイン名解決依頼に対して、真の答えが得られるまで繰り返し問い合わせを行うもので、DoS攻撃に使います(語弊のある言い方)。なのでT社でもオープンリゾルバ防止機能がついているのですが、あくまで社内の人間が正当に使う、つまりDMZ上の他のサーバからのインターネット上のドメイン名についての名前解決分の機能は許可しないといけません。
答え インターネット上のドメイン名についての名前解決
(2)はCONNECTについてで、プロキシサーバを使って通信する場合は普通HTTPでプロキシサーバに接続要求、プロキシサーバが対象にアクセスという流れを取りますが、HTTPSだと暗号化されているため、プロキシサーバがどこにアクセスしていいのか把握できません。ここで登場するのがCONNECTメソッドで、これでプロキシサーバにどこと通信するのかを教えてあげることで、HTPPS通信ができるようになります。
今回書いてあるCONNECT x1.y1.z1.4は外部メールサーバへ暗号化通信を行うもの、本来外部メールサーバはWebメールサーバからの転送を受けるはずなのに、これがすっ飛ばされるのです。何が嬉しくないってWebメールサーバで設定していた、マルウェアスキャンと送信者メールアドレス詐称防止、業務で不要な人は送信不可ができなくなることです。
答え
インターネットへのメールの送信を許可されていない従業員が、送信できるという問題
送信者メールアドレスを詐称したメールが送信できるという問題
マルウェアのスキャンを行わずにメールを送信できるという問題

本文(設問3)

本文要約(設問3)

① 運用担当者が本人のPCからサーバに特権IDでログインしているので、PCが感染したら情報漏洩の可能性がある。メール送受信やWeb閲覧でマルウェアに感染する可能性もある。
② ①より、運用PCを別に用意し、これで運用する。メール送受信やWeb閲覧も制限。L3SW2に接続する運用PC-LANを新設する。
③ WebメールサーバのHTTP接続拒否機能設定とプロキシサーバのアクセス制限機能設定も行う。

問題文(設問3)

解説(設問3)

(1)は③の前半、HTTP接続拒否についてですが、運用PCの接続を拒否しないと制限にならないのでこれです。
答え 運用PCからの接続も拒否できるように変更する。
(2)は③の後半、プロキシサーバへのアクセスで、これも拒否すればいいじゃんと言えばそうなのですが、指定の文字数が長いのでそのままではなさそう。というわけで振り返ってみると[前提]②にプロキシサーバ経由で月1で脆弱性修正プログラムを適用という話がありました。運用PCにもこれは適用しないといけませんのでこのあたりの話を追加します。
答え 運用PCから接続できるURLは、T社標準ソフトのベンダのサイトのものだけに制限するように背変更する。

終わりに

ちょっと知識が必要な感じ。正答率は低かったらしい

主な参考サイト

情報セキュリティ対策の強化【情報処理安全確保支援士試験 平成30年度 春期 午後1 問2 設問1】
DNS TXTレコードとは？
SPFレコードの書き方とは？ 記述例を総まとめ
SPFレコードとは(徹底解説)
情報セキュリティ対策の強化【情報処理安全確保支援士試験 平成30年度 春期 午後1 問2 設問2】
オープンリゾルバとは
プロキシでのhttps通信(CONNECTメソッドとは?)を解説