HOME»情報処理安全確保支援士掲示板»H30 春  午後1問3  設問4 について
投稿する

H30 春  午後1問3  設問4 について [0703]

 セキュリティ勉強中さん(No.1) 
はじめまして。  先月からここの道場を利用しており、最近掲示板があるのを知りました。
初投稿です。

H30 春  午後1問3  設問4 について
正当なファイル転送であることを確認するために、模範回答が「上長に承認をもらう」、、ということでフローをすすめられるような設計にする拡張機能を利用ということで、正直しっくりきませんでした。
こういう拡張機能は一般的なのでしょうか。

ちょっと文脈にない上長が登場して個人的に驚きました。私は「事前に取り決めた秘密のPWを投入」(クレジットカードの利用の際にもたまにでてくるもの)を回答にしていました。

模範回答だと、拡張機能を利用した「上長承認」はL2SWを経由して連絡がいくのかなと思いますが、(もしくはZサービスに上長がログイン?)その承認の動きはマルウェアでできないのかなと思ったりしてしまいました。
ただ上長のIDPWもとらないとなので単純に成功率は高くないと思いますが。※マルウェアの動きに詳しくないのでそんな動きができるマルウェアはないだろうということであればその前提が把握できてなく、すみません。

御知見などいただけると幸いです。何卒よろしくします。
2021.08.28 23:39
hisashiさん(No.2) 
SC ブロンズマイスター
>正当なファイル転送であることを確認するために、模範回答が「上長に承認をもらう」、、ということでフローをすすめられるような
>設計にする拡張機能を利用ということで、正直しっくりきませんでした。こういう拡張機能は一般的なのでしょうか。

一般的かどうかはわかりませんが、外部への誤送信防止という観点で
導入されているところはあると思います。
ちなみに私の職場では、メールシステムにこのフローが導入されていて、
外部ドメインに送信する場合のみ要承認となってます。


>ちょっと文脈にない上長が登場して個人的に驚きました。

確かに上長というワードは登場していないので、思いつきにくいとは思いますが、
リスク3の対策に確認するフローが必要という推測が立ちます。

リスク3の具体例として、ファイルの取り違えや未承認のファイル転送などが考えられます。
これらの確認は、システムの制御だけでは判別が難しいので、第3者の確認フローが適切だと思います。

>「事前に取り決めた秘密のPWを投入」
表4の項番2のマルウェアの場合、秘密のPWもマルウェアに収集されてしまうので、
ワンタイムパスワードでない限り見破られます。


>模範回答だと、拡張機能を利用した「上長承認」はL2SWを経由して連絡がいくのかなと思いますが、(もしくはZサービスに上長がログイン?)その承認の動きはマルウェアでできないのかなと思ったりしてしまいました。


上長が通知で承認待ちを見つけたとしても、それがマルウェアによるものか従業員によるものか
判別ができないので、おそらく、従業員から上長に口頭、メール、メッセンジャーなどで伝えて、
確認依頼をするようなフローになると思います。

上長のPCがマルウェアの影響を受ける場合はどうなるのか?という疑問はありますが、
そこは何かしら対策されていると思うしかありません。

2021.09.02 08:17
 セキュリティ勉強中さん(No.3) 
しばらく仕事でバタバタとしており、返信遅くなってしまいました。丁寧なご回答ありがとうございます!

一つ一つのレスを見てなるほどなるほどと納得できました。ありがとうございました!
2021.09.11 17:22
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop