Take's Software Engineer Blog

TOEIC200点&プロマネな私が社内公募を経て、ソフトエンジニア&英語部門へ異動して奮闘していく話をしていきます

情報処理安全確保支援士試験 令和5年度 春期 午後1 問3その1

【出典:情報処理安全確保支援士試験 令和5年度 春期 午後1 問3】

問3 クラウドサービス利用に関する次の記述を読んで、設問に答えよ。

 Q社は、従業員1,000名の製造業であり、工場がある本社及び複数の営業所から成る。Q社には、営業部、研究開発部、製造部、総務部、 情報システム部がある。Q社のネットワークは、情報システム部のK部長とS主任を含む6名で運用している。
 Q社の従業員にはPC及びスマートフォンが貸与されている。PCの社外持出しは禁止されており、PCのWebブラウザからインターネットへのアクセスは、本社のプロキシサーバを経由する。Q社では、業務でSaaS-a、SaaS-b、SaaS-c、SaaS-dという四つのSaaS、及びLサービスというIDaaSを利用している。Q社のネットワーク構成を図1に、図1中の主な構成要素並びにその機能概要及び設定を表1に示す。

[Lサービスの動作確認]
 Q社のPCがSaaS-aにアクセスするときの、SP-Initiated方式のSAML 認証の流れを図2に示す。

 ある日、同業他社のJ社において、SaaS-aの偽サイトに誘導されるというフィッシング詐欺にあった結果、SaaS-aに不正アクセスされるという被害があったと報道された。しかし、Q社の設定では、仮に、同様のフィッシング詐欺のメールを受けてSaaS-aの偽サイトにLサービスの利用者IDとパスワードを入力してしまう従業員がいたとしても、①攻撃者がその利用者IDとパスワードを使って社外からLサービスを利用することはできない。したがって、S主任は、報道と同様の被害にQ社があうおそれは低いと考えた。

設問①

a:Lサービス、b:PCのWebブラウザ、c:SaaS-a

SAMLの仕組みに関する理解を問いですね。

SAMLとはSaaSに対する認可をする仕組みであるため、

①利用者→サービス

に対して利用したいよって送るけど、サービスはあなたアクセスは許可していないので、あんただれ?

②利用者→Lサービス

あんた誰って聞かれたので、私が何者か教えたってよ

Lサービスあなたの認証通してよ。ん?OK

③利用者→サービス

Lサービスさんに認可されたので使かっていい?OK

みたいな流れが頭に思い浮かべば正解できるでしょう。

下線①について、利用できない理由を40字以内で具体的に答えよ。:

①攻撃者がその利用者IDとパスワードを使って社外からLサービスを利用することはできない

Lサービスを利用するための制約が答えとなるはず。ヒントになるのはQ社の制約です

 Q社の従業員にはPC及びスマートフォンが貸与されている。PCの社外持出しは禁止されており、PCのWebブラウザからインターネットへのアクセスは、本社のプロキシサーバを経由する

PCの社外持出しが禁止されていることと、社内で利用した場合は、プロキシサーバを経由するため、誰が外に出ようとしているを監視しているともいえます。

Lサービスには2つの機能がありますが、

送信元制限機能は指定したIPアドレス以外のアクセスの場合拒否することができます。

従って、答えは、社外からLサービスを利用するためには、Lサービスの送信元制限機能によって拒否されるため利用することはできない

となります

次の設問です

 

[在宅勤務導入における課題]
 Q社は、全従業員を対象に在宅勤務を導入することになった。そこで、リモート接続用PC(以下、R-PCという)を貸与し、各従業員宅のネットワークから本社のサーバにアクセスしてもらうことにした。しかし、在宅勤務導入によって新たな セキュリティリスクが生じること、また、本社への通信が増えて本社のインターネット回線がひっ迫することが懸念された。そこで、K部長は、ネットワーク構成を見直すことにし、その要件を表2にまとめた。

 K部長がベンダーに相談したところ、R-PC、社内、クラウドサービスの間の通信を中継するP社のクラウドサービス(以下、Pサービスという)の紹介があった。Pサービスには、次のいずれかの方法で接続する。

  • IPsecに対応した機器を介して接続する方法
  • PサービスのエージェントソフトウェアをR-PCに導入し、当該ソフトウェアによって接続する方法

 Pサービスの主な機能を表3に示す。

 K部長は、Pサービスの導入によって表2の要件を満たすネットワーク構成が可能かどうかを検討するようにS主任に指示した。

 

d:Pサービスのサーバ証明書e:認証局の証明書f:信頼されたルート証明書

TLSにおける証明書の流れが理解できるかどうかを問う問題です。
サービスのサーバ証明書が必要となるので、サーバの証明書を発行する認証局の証明書をルート証明書としてインストールするとなります。

日本語が難しい問題かもしれない。

 

g:CASB

Cloudの可視化する機能を選択する問題各用語の理解が重要となる

CAPTCHA:ログインをする際にロボットじゃないことを証明することに使われる方法。橋の絵を選んでねっていうあれのことです。

②CASB

③CHAP:暗号に関する用語

④CVSS:脆弱性スコア

クラウドWAF:WebApplicationFirewallのこと

ってなると②のCASBっぽいですね。

 

www.youtube.com

 

 

div #breadcrumb div{ display: inline;font-size:13px;}