Take's Software Engineer Blog

TOEIC200点&プロマネな私が社内公募を経て、ソフトエンジニア&英語部門へ異動して奮闘していく話をしていきます

情報処理安全確保支援士試験 令和2年度 秋期 午後2 問2 その6

https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000d05l-att/2020r02o_sc_pm2_qs.pdf

以下のおすすめ問題の解説となります。

良書。

[業務文書のノート PCへのダウンロード]
 二つ目の要望(以下、要望Xという)は、営業部の実験メンバから、顧客を訪問した際の業務文書の閲覧・作成について挙がったものである。持込端末のインターネット接続が禁止されている顧客を訪問した際は、VDにアクセスできない。そこで、会社を出た後、訪問前にファイルサーバ上の営業資料をノートPCにダウンロードしておき、それを閲覧したり、ノートPC上で顧客打合せの議事録の文書を作成し、訪問後、会社に戻る前にその文書をファイルサーバにアップロードしたりしたいということであった。
 要望Xを実現すると、ノートPCに対する盗難・紛失時の情報漏えい対策が必要になる。次は、この件についてのGさんとF次長の会話である。

Gさん:ノートPCの盗難・紛失時の情報漏えい対策としては、OSに搭載されたディスク暗号化機能を使えばよいのではないでしょうか。
F次長:そうだな。しかし、紛失したノートPCを第三者に取得されたときに、(g)されてディスクが復号されてしまうおそれがある。ディスク暗号化機能だけでは不十分だ。
Gさん:追加の対策はあるのでしょうか。
F次長:PINコードを利用したログイン方式を強制した場合を考えてみよう。PINコードを利用したログイン方式は、TPMを利用する。正しいPINコードが入力された場合、ディスクが復号される。今回、⑧PINコードは、6桁の数字とし、システム管理者が事前にランダムなものを設定することにしよう。
Gさん:6桁の数字だと総当たり攻撃で破られそうですが、大丈夫なのでしょうか。
F次長:誤った入力が5回連続で行われると管理者が回復用のパスワードを入力しない限りログインできなくなるように設定し、回復用のパスワードには推測困難な十分に長いランダムな文字列を設定する方法もある。
Gさん:なるほど。

 F次長は、検討の結果、要望Xには原則として対応しないが、希望者には個別に申請してもらい、⑨申請が許可された利用者のノート PCについては、E社のネットワークとのインターネット VPNでの接続を可能とする方針にした。

 F次長は、実証実験の結果、実験メンバからの要望及びそれへの対応、並びに残存するリスク及びその低減策についてシステム企画部長と経営陣に報告した。経営陣はテレワーク環境を全社に展開することを決めた。

g:パスワードの推測されログイン

紛失したノートPCを第三者に取得されたときに、(g)されてディスクが復号されてしまうおそれがある。ディスク暗号化機能だけでは不十分だ。

ノートPCなどを紛失した際にHDDロックなど過去に実施していたが、

パスワードの推測されログインできた際に複合されてしまう可能性がある

推測系の問題なので難しい。

下線⑧について、利用者に設定させるとどのような問題が起きると考えられるか。起きると考えられる問題を25字以内で具体的に述べよ

利用者の個人情報などを利用した数字を設定されるため、推測されやすいものになりがちです。容易に推測可能なPINコードを設定する。が答えになります

 

下線⑨について、DaaS-Vへのアクセスと同等の セキュリティを実現するためには、FWの VPN機能にどのような仕組みが必要か。必要な仕組みを30字以内で具体的に述べよ

⑨申請が許可された利用者のノート PCについては、E社のネットワークとのインターネット VPNでの接続を可能とする

前の問題でやったが、2要素認証とクライアント証明書の認証が必要なシステムになっている。VPN接続の際にクライアント証明書の認証を実施する必要がある

 

div #breadcrumb div{ display: inline;font-size:13px;}