情報処理安全確保支援士過去問題 令和5年春期 午後Ⅰ 問3
⇄問題PDFと解説を画面2分割で開く⇱問題PDF
設問1
解答入力欄
解答例・解答の要点
- 送信元制限機能で,本社のUTMからのアクセスだけを許可しているから
解説
- 〔abcについて〕
SAML(Security Assertion Markup Language:サムエル)は、シングルサインオンの認証及び認可を実施する上で必要な情報を交換する際に用いられるXMLベースのマークアップ言語です。SAML認証には、SP-Initiated方式とIdP-Initiated方式の2つの方式があります。
【SP-Initiated方式(SPへのアクセスが起点)】- ユーザー(クライアント)がサービスプロバイダ(以下、SPという)にアクセスを行う
- SPは、SAMLリクエストを付けてユーザーをIDプロバイダ(以下、IdPという)へリダイレクトする
- IdPはユーザーに認証要求を行い、ユーザー認証が成功すると認証結果やユーザー情報(SAMLアサーション)を発行する
- ユーザーのWebブラウザを介して、SAMLアサーションがSPに渡される
- SPはSAMLアサーションをもとに、クライアントにサービスを提供する
【IdP-Initiated方式(IdPへのアクセスが起点)】- ユーザーは最初にIdPにアクセスしてユーザー認証を受ける
- ユーザーはIdP上でサービスを利用したいSPを選択する
- IdPは、SPがサービスを提供するために必要なSAMLアサーションを発行する
- ユーザーのWebブラウザを介して、SAMLアサーションがSPに渡される
- SPはSAMLアサーションをもとに、クライアントにサービスを提供する
図2はQ社のPCがSaaS-aにアクセスするときの「SP-Initiated方式」のSAML認証の流れを示しています。上述の手順に沿って考えると、"(1)サービス要求"は、サービスを利用したいクライアントからサービスを提供するSPに送られます。次に、SPが"(2)認証要求(リダイレクト指示)"をクライアントに送り、クライアントはリダイレクトの指示どおり"(3)認証要求"をIdPに送ります。
本問では、クライアントがQ社のPC、SPがSaaS-a、IdPがLサービスです。したがって、空欄aには「ア」、空欄bには「イ」、空欄cには「ウ」がそれぞれ当てはまります。
∴a=ア:Lサービス
b=イ:Q社のPC
c=ウ:SaaS-a
- 同業他社のJ社は、SaaS-aの偽サイトに誘導された結果、SaaS-aに不正アクセスされるという被害を受けました。しかし、問題文には「Q社の設定では,仮に,同様のフィッシング詐欺のメールを受けてSaaS-aの偽サイトにLサービスの利用者IDとパスワードを入力してしまう従業員がいたとしても,①攻撃者がその利用者IDとパスワードを使って社外からLサービスを利用することはできない」と記載されています。この理由を答えます。
表1には、4つのSaaSのIDaaS連携機能を担うLサービスに関する機能が記載されており、Q社のLサービスの欄を見ると"送信元制限機能"が"有効"となっています。送信元制限機能は「契約した顧客が設定したIPアドレスからのアクセスだけを許可する。それ以外のアクセスの場合,拒否するか,Lサービスの多要素認証機能を動作させるかを選択できる」ものです。Q社の具体的な設定内容は、表1の注2)に「本社のUTMのグローバルIPアドレスを送信元IPアドレスとして設定している。設定しているIPアドレス以外からのアクセスは拒否する設定にしている」と記載されています。
Lサービスは設定されたIPアドレス以外からのアクセスを拒否します。そのため、攻撃者に利用者IDとパスワードを入手された場合でも、社外からのアクセス時には送信元制限機能が発動してアクセスが拒否されます。この送信元制限機能が攻撃者の不正アクセスを防ぐ効果を持っています。
したがって、解答としてはLサービスの送信元制限機能に注目した次のような文章が適切となります。- 送信元制限機能で、本社のUTMからのアクセスだけを許可しているから
- 送信元制限機能で、社外からのアクセスは拒否されるから
- 社外からアクセスしても、本社のUTMのIPアドレス以外は拒否されるから
∴送信元制限機能で,本社のUTMからのアクセスだけを許可しているから
設問2
解答入力欄
解答例・解答の要点
解説
- 〔defについて〕
空欄を含む一文は、「これを実現するために,dを発行するeを,fとして,PCにインストールする」となっています。
Pサービスは、R-PC、社内、クラウドサービスの間の通信を中継するP社のクラウドサービスです。それぞれの間に位置するため、従業員がクラウドサービスを利用する際の通信経路は次のようになります。
R-PCまたは社内PC ⇒ Pサービス ⇒ クラウドサービス
マルウェアスキャン機能では、Pサービス上で通信内容を復号し、マルウェアスキャン後再暗号化して送信するとあるので、「R-PCまたは社内PC ⇒ Pサービス」および「Pサービス ⇒ クラウドサービス」という2つのTLS通信が確立することになります。このうち「R-PCまたは社内PC ⇒ Pサービス」の通信では、Pサービスのサーバ証明書を使用してHTTPS通信を行うため、Pサービスのサーバ証明書の検証でエラーが出ないようにあらかじめ設定しておく必要があります。
社内システムや特定のサービスでは、セキュリティ上の理由から公開CAを使わずに、自社の認証局を使う場合があります。このような場合、該当するシステムやサービスの認証局が発行する証明書を検証するために、そのサービスの独自のルート証明書をクライアントPCにインポートする必要があります。これが行われていないと、クライアント側でその証明書は信頼できないと判断され、警告の表示や通信の拒否といったエラーが発生します。
そのため、Pサービスのサーバ証明書を発行する認証局の証明書を、信頼されたルート証明書としてPCにインポート(インストール)するのが適切な設定作業です。したがって、空欄dには「ア」、空欄eには「ウ」、空欄fには「イ」がそれぞれ当てはまります。
∴d=ア:Pサービスのサーバ証明書
e=ウ:認証局の証明書
f=イ:信頼されたルート証明書
- 〔gについて〕
それぞれの用語の意味は次のとおりです。- CAPTCHA
- Webページにアクセスしているユーザーがコンピュータではなく、人間であるかを判断する技術
- CASB
- 利用者とクラウドサービスプロバイダとの間に単一のコントロールポイントを設けて、クラウドサービス利用の「可視化」「コンプライアンス」「データセキュリティ」「脅威防御」を提供する仕組み
- CHAP
- チェレンジレスポンス認証のこと。サーバ側からクライアント側(ユーザ)にチャレンジコードを送信し、クライアントはパスワードとチャレンジコードを組み合わせたデータをハッシュ化し、サーバ側に算出されたハッシュ値を送信する
- CVSS
- 情報システムの脆弱性を、基本評価基準、現状評価基準、環境評価基準の3つの基準で評価する手法
- クラウドWAF
- クラウドサービス経由で提供されるWAF
空欄gの前文に「クラウドサービスの可視化」とあるので、該当するのは「CASB」です。CASB(Cloud Access Security Broker:キャスビー)は、クラウドサービスを利用する際に発生する、データの流出や不正アクセス、シャドーITなどのリスクに対応するためのソリューションです。ユーザーとクラウドサービスプロバイダの間に介在し、クラウドサービスの可視化と制御機能を提供します。
∴g=イ:CASB
設問3
解答入力欄
解答例・解答の要点
- 送信元制限機能で,営業所のUTMのグローバルIPアドレスを設定する。
- あ:4
- j:https://△△△-a.jp/
- k:研究開発部の従業員
- l:許可
- い:3
- m:外部ストレージサービス
- n:全て
- o:禁止
解説
- 下線②を含む一文は「営業所からのインターネットへのアクセスを見直す」となっています。このため、要件1「本社のインターネット回線をひっ迫させない」について営業所側で行う変更点を考えます。
本文冒頭部には、見直し前の営業所からインターネットへのアクセスに関する内容として、「PCのWebブラウザからインターネットへのアクセスは,本社のプロキシサーバを経由する」とあります。現状のままであればリモートワークの導入後も同様に、貸与されたR-PCからDMZ上のプロキシサーバを経由してインターネットアクセスやクラウドサービスの利用をすることになります。
このようにすべての通信が1つの中央拠点を経由する構成では、送信元の行き・帰り、インターネットサイトへの行き・帰りで、拠点内に四重の通信が発生することになります。これによりその拠点に通信負荷が集中し、処理遅延が生じやすくなります。特にSaaS-dのようなWeb会議サービスを利用している場合は、トラフィック量の多い動画を取り扱うためこの傾向が顕著です。このような通信負荷問題への対処として、インターネットブレイクアウト(ローカルブレイクアウト)と呼ばれる手法があります。インターネットブレイクアウトとは、各拠点やリモートワーク端末が行うインターネットへのアクセスについて、拠点を経由せずに直接インターネットに接続させる手法です。
新たに導入するPサービスは、R-PC、社内ネットワーク、クラウドサービス間の通信を中継する機能や2つのフィルタリング機能を持っており、プロキシサーバの代替として利用できます。したがって、プロキシサーバを経由させるのではなく、Pサービスを経由させれば良いことがわかります。
したがって、解答としては「本社のプロキシサーバを経由ではなく、Pサービスを経由してインターネットアクセスを行わせる」旨の説明が適切となります。
∴プロキシサーバではなく,Pサービスを経由させる。
- 下線③を含む一文は「Lサービスでの送信元制限機能は有効にしたまま,③営業所からLサービスにアクセスできるように設定を追加する」となっています。
現状、Q社からLサービスへのアクセスは、本社のUTMのグローバルIPアドレスからに限定されています。見直し後、営業所内のPCは本社を経由せずにPサービスにアクセスし、Pサービスの連携機能でLサービスの認証を受けることになりますが、この際、Lサービスには「Pサービスに接続してきた送信元のIPアドレスが通知され」ます。通知されるのは営業所UTMのグローバルIPアドレスになるため、このままでは営業所からLサービスへのアクセスが送信元制限機能により拒否されてしまいます。
表1の注1)には「IPアドレスは,複数設定できる」とあるので、営業所からLサービスを利用できるようにするには、各営業所のUTMのグローバルIPアドレスを追加すればよいです。
∴送信元制限機能で,営業所のUTMのグローバルIPアドレスを設定する。
- 下線④を含む一文は「Lサービスでの送信元制限機能において,Q社が設定したIPアドレス以外からのアクセスに対する設定を変更する。さらに,多要素認証機能を有効にして,④方式を選択する」となっています。
表2の要件2は「Lサービスに接続できるPCを,本社と営業所のPC及びR-PCに制限する。なお,従業員宅のネットワークについて,前提を置かない」という内容です。表1より、多要素認証機能で利用可能な認証方式は、(ア)SMS認証、(イ)TLSクライアント認証の2つがあります。(ア)では、スマートフォンを所持していれば、どのPCからでもアクセスが可能です(利用者の認証)。これに対して(イ)は、クライアント証明書をインストールされたPCからのアクセスのみに限定されます(利用端末の認証)。
したがって、接続できるPCを本社と営業所のPC及びR-PCに制限するという要件を満たすのは、(イ)のTLSクライアント認証です。
∴(イ)
- 〔hについて〕
表2の要件3は「R-PCから本社のサーバにアクセスできるようにする。ただし,UTMのファイアウォール機能には,インターネットからの通信を許可するルールを追加しない」という内容です。現状のUTMの設定では、インターネットからのアクセスは、DMZへの通信と営業所からのVPN通信に制限されています。R-PCからのVPN通信は許可されておらず、この設定ではR-PCからサーバセグメントにアクセスすることはできません。
つまり、社外(各従業員の自宅ネットワークなど)から本社ネットワークまたは営業所ネットワーク(社内)へのアクセスを可能にする必要がありますが、ファイアウォールの設定に変更を加えることなく、リモートアクセスを実現しなければなりません。
表3の項番6"リモートアクセス"には「Pコネクタを社内に導入することにより,社内と社外の境界にあるファイアウォールの設定を変更することなく,社外から社内にアクセスできる」と記載されています。Pコネクタの設置により、要件3の「ファイアウォールのルールを変更しない」という要件を満たすことができます。したがって、空欄hには「6」が当てはまります。
∴h=6
〔iについて〕
表2の要件4は「HTTPS通信の内容をマルウェアスキャンする」という内容です。表3の項番2"マルウェアスキャン機能"に「送信元からのTLS通信を終端し,復号してマルウェアスキャンを行う。マルウェアスキャンの完了後,再暗号化して送信先に送信する」と記載されているため、この機能の使用により要件を満たすことができます。したがって、空欄iには「2」が当てはまります。
∴i=2
- 表2の要件5は「SaaS-a以外の外部ストレージサービスへのアクセスは禁止する。また,SaaS-aへのアクセスは業務で必要な最小限の利用者に限定する」という内容です。この条件を2つのルールで満たす必要があります。
この設問は解答を書く上で、条件がいくつかあるので確認しておきましょう。- URLは、https://▲▲▲.■■■/のように、"https://"から最初の"/"までを指定する(表3 注1))
- アクションには"許可"又は"禁止"を記述する(表3項番4)
- 番号の小さい順に最初に一致したルールが適用される(表5注記)
まず、SaaS-aに関するルールを考えます。図1の注記を読むと「SaaS-aは,研究開発部の従業員が使用する。それ以外のSaaSは,全従業員が使用する」とあるため、SaaS-aへのアクセスを研究開発部の従業員に限定する必要があります。特定のURLへのアクセスだけを許可するには、表4項番4の"URL単位フィルタリング機能"を利用します。図1の注1)より、SaaS-aのURLは"https://△△△-a.jp/"、利用者IDは"研究開発部の従業員"、アクションは"許可"を指定します。したがって、1行目のルールは「4、https://△△△-a.jp/、研究開発部の従業員、許可」の組合せとなります。
∴4、https://△△△-a.jp/、研究開発部、許可
次に、SaaS-a以外の外部ストレージサービスへのアクセスを拒否するルールを考えます。カテゴリ単位でフィルタリングを行うには、表4項番3の"URLカテゴリ単位フィルタリング機能"を利用します。URLカテゴリは表3項番4に例示されている「外部ストレージサービス」、利用者IDは"全て"(全従業員でも可)、アクションは"禁止"を指定します。したがって、2行目のルールは「3、外部ストレージサービス、全て、禁止」の組合せとなります。
∴3、外部ストレージサービス、全て、禁止
【補足】- 番号の小さい順に最初に一致したルールが適用されるため、番号1に外部ストレージサービスの禁止ルールを記述すると、研究開発部の従業員がSaaS-aにアクセスできないため不適切です。
- ルール1を"研究開発部の従業員以外"、"禁止"にした場合、研究開発部の従業員がSaaS-aにアクセスできないため不適切です。
- 空欄nに"全て"ではなく"研究開発部以外"とした場合、研究開発部の従業員がSaaS-a以外の外部ストレージサービスにアクセスできてしまうため不適切です。