SAML認証連携の接続元制限方法【平成29年度 春期 情報処理安全確保支援士試験 午後1 問3 設問3】

平成29年度 春期 情報処理安全確保支援士試験 午後1 問3 設問3

 F社は、従業員数300名のソフトウェア開発会社である。F社では、社外のクラウドサービスを試行的に導入し始めており、交通費精算サービス、グループウェアサービス、オンラインストレージサービスの三つを現在利用している。これらのクラウドサービスには、各クラウドサービスの利用者IDとパスワードを用いてログインする。これらのクラウドサービスは、社内からの利用に限定するという社内ルールを定めている

 従業員が利用する端末は、社内ネットワークに設置されており、ウィルス対策ソフトが導入され、最新のウィルス定義ファイルが毎日適用されている。社外から社内ネットワークへの通信はフォイアウォールによって禁止されている。端末からクラウドサービスを利用する際には、プロキシサーバを経由する必要がある。

(略)

 C主任は、今回の不正アクセスの原因の一つが、F社のIPアドレス以外からクラウドサービスへのログインが可能になっていたことにあると考え、F社のIPアドレス以外からのログインを制限することが可能か調査した。F社で利用しているクラウドサービスのうち、グループウェアサービスだけは、接続元IPアドレスを制限する機能を備えていたので、その機能を有効化し、社内からだけログインできるように設定した。しかし、残りのクラウドサービスは接続元IPアドレスの制限機能を備えていなかった。

 C主任は、接続元を制限する他の方法を検討した。その結果、クラウドサービスへログインする際、F社に既に設置してあるLDAPサーバでの認証を必要とすることにすれば、接続元を制限できるようになると考えた。そこで、F社で利用しているクラウドサービスを調べたところ、全てSAML(Security Assertion Markup Language)を用いた認証連携に対応していることが分かった。C主任は、クラウドサービスとLDAPサーバとの間で、SAMLを用いた認証連携による接続元の制限を検討することにした。

(略)

f:id:aolaniengineer:20200212055708p:plain

a:SP、b:利用者端末のWebブラウザ、c:IdP、d:LDAPサーバ

 C主任は図1のシーケンスから、IdPを社内ネットワークに設置しても認証情報の連携が成立することを確認した。そこで、IdPは社内ネットワークに設置し、IdPのログイン画面のURLのFQDNには、社内のFQDNを割り当てることにした

(略)

〔SAMLを用いた認証連携と接続元制限の動作検証

 最後にC主任は、F社で利用しているクラウドサービスを用いて、SAMLによる認証連携の動作を検証することにした。C主任はIdPを社内ネットワークに設置して必要な設定を行い、各クラウドサービス上に、既に利用しているものとは別の検証用アカウントを作成し、社内からのクラウドサービスへのログインが可能であることを確認した。また、③社外からクラウドサービスへのログインを試みると、失敗することも確認した。

③について、社外から交通費精算サービスとグループウェアサービスにアクセスしたとき、それぞれのサービスは異なる理由でログインに失敗する。それらは、図1中のどの通信ができないことによるものか。

・交通費精算サービス:(3)、社外からIdPへの通信がファイアウォールによって遮断されるから

問題文に「グループウェアサービスだけは、接続元IPアドレスを制限する機能を備えていたので、その機能を有効化し、社内からだけログインできるように設定した。しかし、残りのクラウドサービスは接続元IPアドレスの制限機能を備えていなかった。」とあります。そこで、グループウェアサービスは、図1に示すLDAPサーバでの認証を行う方式を採用しています。

ここで早合点して、LDAPサーバでの認証で拒否されると回答してしまいそうですが、もう少し慎重に問題文全体を見ましょう。

さらに問題文を見ていくと、「IdPは社内ネットワークに設置し、IdPのログイン画面のURLのFQDNには、社内のFQDNを割り当てることにした」とあります。

ここで図1のシーケンスを再確認すると、(1)(2)の通信はWebブラウザとSP間で正常に完了しますが、次の(3)WebブラウザからIdPへのログイン画面要求の通信はどうでしょうか。社外にあるWebブラウザが社内ネットワークにあるIdPに通信するのに、何らかの制約がないか思い浮かべられれば正解も近いです。

問題文の前半に「社外から社内ネットワークへの通信はフォイアウォールによって禁止されている」とあり、(3)WebブラウザからIdPへのログイン画面要求の通信はファイアウォールで遮断されることになります。

・グループウェアサービス:(1)、クラウドサービス側で接続元IPアドレスの制限が行われているから

上記のとおり、グループウェアサービスだけは、接続元IPアドレスを制限する機能を有効化しています。グループウェアサービスは、図1の(a)SPに該当し、SP側で接続元IPアドレスによる制限が可能ということです。したがって、(1)のWebブラウザからSPへのサービス要求の通信ができないことになります。(シーケンスとしては、最初のサービス要求は到達すると思いますが、SP側で拒否され、通信が完了しないことになります)

 C主任は検証結果をB部長に説明し、承認を得て、SAMLを用いた認証連携と接続元制限を開始した。また、シングルサインオンも併せて実現したことによって、クラウドサービスを利用する従業員の利便性も向上することができた。

【出典:情報処理安全確保支援士試験 平成29年度春期午後1問3(一部、加工あり)】