https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt80000009sgk-att/2022r04h_sc_pm2_qs.pdf
以下のおすすめ問題の解説となります。
良書。
問2 クラウドサービスへの移行に関する次の記述を読んで、設問1〜5に答えよ。
X社は、従業員500名の情報サービス会社であり、5年前から動画投稿配信サービス(以下、動画サービスという)を提供している。動画サービスは、アカウント登録した会員が動画を投稿したり、投稿された動画を閲覧して評価したりすることができるサービスである。動画サービスは、 Webサーバ(以下、動画サービスを提供するWebサーバをX社動画サーバという)を用いて提供されている。X社のシステム部は、X社のシステム全てを管理している。X社のシステム構成を図1に示す。
XPCには、Webブラウザ、電子メール(以下、メールという)ソフト、GrW専用クライアントソフトなどが導入されている。X社の従業員の認証は、認証サーバで行われており、XPC、GrWサーバ、FS、内部メールサーバへのシングルサインオン(以下、シングルサインオンをSSOという)を実現している。
X社のシステムでは、動画サービスの人気上昇による会員の増加に伴い、X社動画サーバの負荷が高くなっており、インターネット回線もひっ迫している。
X社の経営陣は、この問題への対策を併せて、セキュリティを強化するための抜本的な対策を検討するようシステム部に指示した。システム部のCさんが担当に任命され、 セキュリティサービスを提供するW社から情報処理安全確保支援士(登録セキスペ)のF氏を招き、助言を受けることになった。
[抜本的な対策の検討]
F氏は、X社動画サーバをクラウドサービスへ移行し、さらに、Content Delivery Network(CDN)を利用する案を図2のように提案した。
次は、図2の2についてのCさんとF氏の会話である。
Cさん:X社動画 サーバでの動画配信にCDNを利用すると、どのように動画が配信されるようになりますか。
F氏:CDNでは、インターネット上に(a)サーバというサーバを分散配置して、動画配信を要求した端末に最も近い(a)サーバから動画を配信するようにします。(a)サーバは、動画配信を要求されたとき、要求された動画を保持していれば代理応答し、保持していなければ動画を保持しているX社動画サーバにアクセスして動画を取得し、応答します。多くの動画配信が代理応答されるので、X社動画サーバの負荷が軽減されます。
Cさん:その仕組みによって、(b)攻撃への耐性も向上しますね。X社動画サーバでの動画配信にCDNを利用するには、どのようにすればよいでしょうか。
F氏:例えば、M社が提供しているCDNを採用した場合の利用手順は図3のようになり、動画配信時の動作は図4のようになります。
Cさん:理解しました。CDNを悪用する攻撃というのはあるのでしょうか。
F氏:X社動画サーバのCDN利用に関するものではありませんが、CDNを悪用する攻撃の一つにドメインフロンティング攻撃があります。X社内のインターネット利用者をFWと プロキシサーバで保護するセキュリティ対策では、注意が必要です。どのようにして攻撃が成功するか、その例を図5に示します。
Cさん:何か対策はあるのでしょうか。
F氏:攻撃者 サーバに割り当てられたIPアドレスを宛先とする通信をFWで拒否しても、Z-FQDNをプロキシサーバの拒否リストに登録しても、図5の⑸の通信は遮断できません。①Y-CDN-U-FQDNを名前解決したIPアドレスを宛先とする通信をFWで拒否すると、複数のWebサイトが閲覧できなくなる影響があります。通信内容を監視して遮断するなどセキュリティ強化を進めているCDN事業者もありますが、進めていない事業者もあります。X社では、FW又はプロキシサーバを、アウトバウンド通信の復号及び高機能な通信解析ができるものに替え、(d)とHTTPリクエスト中の(c)ヘッダの値が一致していることを検証して、一致していなければ遮断するという対策を検討してもよいでしょう。
Cさん:わかりました。
システム部は、X社動画サーバのクラウドサービスへの移行及びCDNの利用案について経営陣に報告した。この案は経営陣に承認され、X社動画サーバの移行が開始された。