【2023年春期】情報処理安全確保支援士 午後I試験【問3】
【出題趣旨】
昨今、オンプレミスシステムと比較した拡張性や運用性の高さから、クラウドサービスの導入が進んでいる。一方、クラウドサービスを安全に運用するためには、セキュリティ対策を十分に検討する必要がある。
本問では、クラウドサービスの導入を題材として、与えられて要件に基づいてネットワーク構成及びセキュリティを設計する能力を問う。
問1(1)
まず、最終的にサービスの応答を受け取り、サービス応答をするのは"PCのWebブラウザ"です。サービス要求を受けるのは"SaaS-a"、実際に認証を行うのはIDaaSである"Lサービス"です。よって、正解は以下となります。
a = ア:Lサービス
b = イ:PCのWebブラウザ
c = ウ:SaaS-a
問1(2)
イメージしやすく、分かりやすい問題だったように思います。
模範解答は「送信元制限機能で、本社のUTMからのアクセスだけを許可しているから」となります。
問2(1)
d,e,f の穴埋めの選択問題です。
まず、送信先にデータを送信する際にはPサービスのサーバ証明書を発行し、添付することで相手との通信が成立します。サーバ証明書は信頼された認証局によって発行されなければならず、その認証局の証明書は事前にクライアントにインストールしておく必要があります。
参照:デジタル証明書について
https://note.com/eviosjoe/n/n29048fa0841a
正解は以下となります。
c = ア:Pサービスのサーバ証明書
d = ウ:信頼されたルート証明書
e = イ:認証局の証明書
問2(2)
gの穴埋めの選択問題です。
正解はイ:CASBです。
選択肢の用語は全て意味が分かるようにしておきましょう。
CAPTCHA
Completely Public Turing test to tell Computers and Humans Apart
ボットによる自動操作を回避するための仕組み。
ひらがなを入力させたり、画像を選択させたりするやつですね。CASB
Cloud Access Security Broker
クラウドサービスの利用状況を可視化するサービスです。
情報統括部門に許可されていない、シャドーITの発見などに役立ちます。CHAP
Challenge-Handshake Authentication Protocol
チャレンジコード(毎回変わるランダムな短いデータ)とパスワードを組み合わせてハッシュ化し、通信相手の認証処理を行うPoint to Point Protocolの認証手順。CVSS
Common Vulnerability Scoring System
脆弱性に対する汎用的な評価手法クラウドWAF
クラウドで利用されるWeb Application Firewallのこと
問3(1)
ローカル(インターネット)ブレイクアウトを知っているだけで得点できる問題でした。データセンターや本社を経由せず、各拠点から直接インターネットへアクセスさせる方式のことです。
模範解答は「プロキシサーバではなく、Pサービスを経由させる」となります。
問3(2)
追加で必要な設定は送信元のIPアドレスが追加になるため、Lサービスの送信元制限機能に追加することです。
模範解答は「送信元制限機能で、営業所のUTMのグローバルIPアドレスを設定する。」となります。
問3(3)
選択する方式を選ぶ問題です。要件2にハードウェアを制限する記載がありますし、前提をおかないという記載も職員の私物ネットワークを利用しないと意味で捉えると、スマートフォンを利用することも前提から外れます。
よって、選択する方式は(イ)TLSクライアント認証を行う方式です。
問3(4)
正解は h = "6" , i = "2" です。
問3(5)
要件5は以下の項番3,4の機能を使用しています。
設定ルールは上位に記載( = 番号が小さいもの)から優先的に適用されるため、許可ルール・禁止ルールの順で設定します。
まず、外部ストレージサービスの中でSaaS-a だけは利用可能にする必要があり、研究開発部の従業員のみが使用する必要があります。
あ = "4" j = "https://△△△-a.jp/" k = "研究開発部の従業員" l = "許可"
次に禁止ルールを設定します。禁止ルールはカテゴリ単位フィルタリング機能を用いて実装します。
い = "3" m = "外部ストレージサービス" n = "全ての従業員" o = "禁止"