HOME»情報処理安全確保支援士掲示板»令和5年度春期午後Ⅱ問2設問2(2)
投稿する
»[1693] 次回はセキュアコーディング絶対に出るのですか? 投稿数:6
»[1692] H29秋 午後2 問2 設問1(3)について 投稿数:13
令和5年度春期午後Ⅱ問2設問2(2) [1695]
ゆうさん(No.1)
イベント検知を問う問題です。
日記サービスのログを削除するのはD社作業用端末であるかと思うのですが、なぜ検知対象がオブジェクトストレージサービスになるのでしょうか?
D社はクラウドサービスからの削除作業をしていないように思えます。
日記サービスのログを削除するのはD社作業用端末であるかと思うのですが、なぜ検知対象がオブジェクトストレージサービスになるのでしょうか?
D社はクラウドサービスからの削除作業をしていないように思えます。
2024.09.04 21:03
pixさん(No.2)
★SC ダイヤモンドマイスター
申し訳ありませんが、アラートサービスはL社クラウドサービスの機能です。
作業端末ではなく、クラウドサービスを監視します。
表3 「
クラウドサービス名:アラートサービス
説明:L社クラウドサービスの環境でイベントが発生したときに、
そのイベントを検知してアラートをメールで通知する。
」とあります。
また、
表4「
内容:検知対象となるクラウドサービス名
取りうる値:オブジェクトストレージサービス
」
とあります。
つまり
・削除作業をするD社作業用端末を監視するのではなく
・削除される側のオブジェクトストレージサービスを監視する
です。
そもそもになりますが、クラウドサービスの機能なので、D社作業用端末を
監視することはできないです。
これはAzureなどの一般的な商用クラウドサービスでも同様です。
作業端末ではなく、クラウドサービスを監視します。
表3 「
クラウドサービス名:アラートサービス
説明:L社クラウドサービスの環境でイベントが発生したときに、
そのイベントを検知してアラートをメールで通知する。
」とあります。
また、
表4「
内容:検知対象となるクラウドサービス名
取りうる値:オブジェクトストレージサービス
」
とあります。
つまり
・削除作業をするD社作業用端末を監視するのではなく
・削除される側のオブジェクトストレージサービスを監視する
です。
そもそもになりますが、クラウドサービスの機能なので、D社作業用端末を
監視することはできないです。
これはAzureなどの一般的な商用クラウドサービスでも同様です。
2024.09.04 21:24
ゆうさん(No.3)
pixさん、お答えしていただきましてありがとうございます。
私の書き方が悪かったかもしれません。
アラートサービスはL社クラウドサービスの機能なのは分かりますし、クラウドサービスの機能なので、D社作業用端末を監視することはできないのもわかります。
気になるのは以下の点です。
表1にはD社作業として外部記憶装置からの保管ログ削除は記載されていません。保管用のログを誤って消してしまうリスクを避けるために望ましい権限付与だと思います。
そして、表3の導入説明に『移行後、表1の項番1から項番3の運用をD社に委託する計画』と記載されており権限に変更はないことを示しています。さらに、表7の説明では『D社に付与する権限が必要最小限となるよう』と書かれており、無闇な権限の拡大はないと念を押しています。
この流れで①下線部で『D社の運用者がシステムから日記サービスのログを削除したとき』という記載は話が繋がっていないように感じるのです。
これは委託外作業を行って誤って消してしまった場合に備えた措置ということなのでしょうか?だとすると説明があまりに足りない気がします。
私の書き方が悪かったかもしれません。
アラートサービスはL社クラウドサービスの機能なのは分かりますし、クラウドサービスの機能なので、D社作業用端末を監視することはできないのもわかります。
気になるのは以下の点です。
表1にはD社作業として外部記憶装置からの保管ログ削除は記載されていません。保管用のログを誤って消してしまうリスクを避けるために望ましい権限付与だと思います。
そして、表3の導入説明に『移行後、表1の項番1から項番3の運用をD社に委託する計画』と記載されており権限に変更はないことを示しています。さらに、表7の説明では『D社に付与する権限が必要最小限となるよう』と書かれており、無闇な権限の拡大はないと念を押しています。
この流れで①下線部で『D社の運用者がシステムから日記サービスのログを削除したとき』という記載は話が繋がっていないように感じるのです。
これは委託外作業を行って誤って消してしまった場合に備えた措置ということなのでしょうか?だとすると説明があまりに足りない気がします。
2024.09.05 23:17
pixさん(No.4)
★SC ダイヤモンドマイスター
P17 表6
[
クラウドサービス名:オブジェクトストレージサービス
編集権限:・オブジェクトの作成、編集、削除
・オブジェクトのダウンロード
]
とあります。
D社の運用者はオブジェクトストレージサービスからログをダウンロード
するために"編集権限"が付与されています。
しかし、"編集権限"があると本来不要であるログの削除までできてしまいます。
ポリシーとして必要最小限の権限を割り当てていますが、ログの削除の禁止は
権限で制御できていない状況です。
また以下のような事象も考えられます
・D社の運用者が誤ってログを削除してしまった(いわゆるオペミス)
・悪意あるD社の運用者がW社のサービスへ損害を与えるために故意にログを削除した
(内部からの攻撃)
・D社の運用端末が攻撃者によって乗っ取られ、ログを削除されてしまった
(外部からの攻撃)
など、起こりうる不測の事態に対処するためのアラート設定であると考えられます。
こういった問では主観的な観点からはそう感じてしまうこともあるかもしれません。
しかし、
・一般の運用理論
・問中の状況
・IPAの意図
などの要素が存在します。この状況を分析し、最適解を導くためには
客観的な観点からの解答が重要になります。
[
クラウドサービス名:オブジェクトストレージサービス
編集権限:・オブジェクトの作成、編集、削除
・オブジェクトのダウンロード
]
とあります。
D社の運用者はオブジェクトストレージサービスからログをダウンロード
するために"編集権限"が付与されています。
しかし、"編集権限"があると本来不要であるログの削除までできてしまいます。
ポリシーとして必要最小限の権限を割り当てていますが、ログの削除の禁止は
権限で制御できていない状況です。
また以下のような事象も考えられます
・D社の運用者が誤ってログを削除してしまった(いわゆるオペミス)
・悪意あるD社の運用者がW社のサービスへ損害を与えるために故意にログを削除した
(内部からの攻撃)
・D社の運用端末が攻撃者によって乗っ取られ、ログを削除されてしまった
(外部からの攻撃)
など、起こりうる不測の事態に対処するためのアラート設定であると考えられます。
>これは委託外作業を行って誤って消してしまった場合に備えた措置ということ
>なのでしょうか?だとすると説明があまりに足りない気がします。
こういった問では主観的な観点からはそう感じてしまうこともあるかもしれません。
しかし、
・一般の運用理論
・問中の状況
・IPAの意図
などの要素が存在します。この状況を分析し、最適解を導くためには
客観的な観点からの解答が重要になります。
2024.09.06 08:53
その他のスレッド
»[1694] 令和3年秋期 午後1 問1 設問1(1) 投稿数:3»[1693] 次回はセキュアコーディング絶対に出るのですか? 投稿数:6
»[1692] H29秋 午後2 問2 設問1(3)について 投稿数:13