【情報処理安全確保支援士試験令和5年度秋期午後問2 No.3】

情報処理安全確保支援士試験令和5年度秋期午後問2

[方法1と方法2についての対策の検討]
方法1への対策については、従業員用無線LANの認証方式としてEAP-TLSを選択し、③認証サーバを用意することにした。
次は、必要となるクライアント証明書についてのS氏とYさんの会話である。

S氏：クライアント証明書とそれに対応する（f）は、どのようにしますか。
Yさん：クライアント証明書は、CAサーバを新設して発行することにし、従業員が自身の業務PCにインストールするのではなく、ディレクトリサーバの機能で業務PCに格納します。（f）は（g）しておくために業務PCのTPMに格納し、保護します。
S氏：④その格納方法であれば問題ないと思います。

方法2への対策については、次の二つの案を検討した。

⑤FWのNATの設定を変更する。
無線LANサービスであるDサービスを利用する。

検討の結果、Dサービスを次のとおり利用することにした。

会議室に、Dサービスから貸与された無線LANルータ（以下、Dルータという）を設置する。
Dルータでは、DHCPサーバ機能及びDNSキャッシュサーバ機能を有効にする。
来客持込端末は、M社のネットワークを経由せずに、Dルータに搭載されているSIMを用いてDサービスを利用し、インターネットに接続する。

今まで必要だった、来客持込端末からDHCPサーバと（h）サーバへの通信は、不要になる。さらに、表5について不要になった設定を削除するとともに、⑥表3及び表4についても、不要になった設定を全て削除する。また、プロジェクターについては、来客用無線LANを利用せず、HDMIケーブルで接続する方法に変更する。

YさんとS氏は、ほかにも必要な対策を検討し、これらの対策と併せて実施した。

下線③について、認証サーバがEAPで使うUDP上のプロトコルを答えよ。：RADIUS

「方法1への対策については、従業員用無線LANの認証方式としてEAP-TLSを選択し、③認証サーバを用意することにした。」
EAP-TLS（Extensible Authentication Protocol Transport Layer Security）とは、認証方式の一つで、クライアント証明書を使うことで、ID・パスワードを使う方式よりも高いセキュリティを提供することができます。
EAP-TLSでは、認証サーバを使用し、RADIUS（Remote Authentication Dial-In User Service）というプロトコルでクライアントの認証や利用状況の記録を行います。

f：秘密鍵

「クライアント証明書とそれに対応する（f）は、どのようにしますか。」
「クライアント証明書は、CAサーバを新設して発行することにし、従業員が自身の業務PCにインストールするのではなく、ディレクトリサーバの機能で業務PCに格納します。（f）は（g）しておくための業務PCのTPMに格納し、保護します。」
EAP-TLSによる認証では、クライアントがクライアント証明書を認証サーバに提示しますのが、その際に、クライアント証明書を持つ本人であることを証明するために、秘密鍵でデジタル署名を作成します。
認証サーバは、デジタル署名を検証し、クライアント証明書を持つ本人であることを認識します。

g：業務PCから取り出せないように

「クライアント証明書は、CAサーバを新設して発行することにし、従業員が自身の業務PCにインストールするのではなく、ディレクトリサーバの機能で業務PCに格納します。（f：秘密鍵）は（g）しておくために業務PCのTPMに格納し、保護します。」
TPM（Trusted Platform Module）は、内部構造や内部データを解析されにくい性質を持つセキュリティの処理機能を実装した半導体チップです。
Windows11ではTPMが必須のため、現在、販売されているPCにはTPMが実装されています。
秘密鍵をTPMに格納することで、不正に読み取ることは困難になります。
したがって、前後の文脈から、秘密鍵をTPMに格納・保護する目的は、業務PCから取り出せないようにすることです。

下線④について、その理由を、40字以内で答えよ。：EAP-TLSに必要な認証情報は、業務PCにしか格納できないから

「④その格納方法であれば問題ないと思います。」
クライアント証明書と秘密鍵、つまりEAP-TLSに必要な認証情報の格納方法を改めて確認すると、「クライアント証明書は、CAサーバを新設して発行することにし、従業員が自身の業務PCにインストールするのではなく、ディレクトリサーバの機能で業務PCに格納します。（f：秘密鍵）は（g：業務PCから取り出せないように）しておくために業務PCのTPMに格納し、保護します。」です。
認証情報を業務PCに格納するのに、従業員自身ではなく、ディレクトリサーバの機能で実施することなります。
従業員自身がインストールする場合には、メールなど何らかの方法で認証情報を配布することになり、不正コピーなどのリスクがあります。
ディレクトリサーバの機能で自動的に処理することで、認証情報が不正に持ち出されることを防ぐことができます。

下線⑤について、変更内容を、70字以内で答えよ。：来客用無線LANからインターネットにアクセスする場合の送信元IPアドレスを、a1.b1.c1.d1とは別のIPアドレスにする。

「⑤FWのNATの設定を変更する。」
方法2は、「個人所有PCを来客用無線LANに接続し、Bサービスからファイルをダウンロードし、個人所有PCごと持ち出す。」でした。
来客用無線LANについては、問題文の記述を確認していきます。

執務室では従業員用無線LANが利用可能であり、会議室では、従業員用無線LANと来客用無線LANの両方が利用可能である。会議室にはプロジェクターが設置されており、来客が持ち込むPC、タブレット及びスマートフォン（以下、これらを併せて来客持込端末という）又は業務PCを来客用無線LANに接続することで利用可能である。
表1（構成要素の概要（抜粋））のAP-1〜5：AP-5には、従業員用無線LANのSSIDと来客用無線LANのSSIDの両方が設定されている。
表1（構成要素の概要（抜粋））のBサービス：M社の従業員に割り当てられた利用者IDでは、a1.b1.c1.d1¹⁾からだけ、Bサービスにログイン可能である。（¹⁾グローバルIPアドレスを示す）

3つ目の記述から、Bサービスにアクセスするには「a1.b1.c1.d1」というグローバルIPアドレスという条件のみであり、FWの内部である従業員無線LAN、来客用無線LANからのアクセスの違いはないようです。
ログインに必要な情報を持っている従業員であれば、個人所有PCを来客用無線LANに接続することでBサービスにアクセスし、ログインすることが可能になります。
そこで、FWのNAT設定を変更する対策をとるとのことですが、現状のNAT設定については、表4（FWのフィルタリング設定）の注¹⁾に「現在の設定では有効の場合、送信元IPアドレスがa1.b1.c1.d1に変換される」とあります。
つまり、従業員無線LAN、来客用無線LANともに「a1.b1.c1.d1」に変換されるところを、来客用無線LANにつては異なるIPアドレスに変換すれば、Bサービスへのアクセスを防ぐことができます。
IPアドレス「a1.b1.c1.d1」については、表3にWAN-IF1に割り当てられたもので、サブネットマスクが「255.255.255.248」であるため、最大6個程度のIPアドレスを割り当てることが可能な空間です。
したがって、同じセグメント内で「a1.b1.c1.d1」とは異なるIPアドレスを割り当てることは可能です。

h：DNS

「今まで必要だった、来客持込端末からDHCPサーバと（h）サーバへの通信は、不要になる。」
Dサービス利用後の来客持込端末の通信について、「来客持込端末は、M社のネットワークを経由せずに、Dルータに搭載されているSIMを用いてDサービスを利用し、インターネットに接続する。」とあり、M社のネットワークを経由しません。
サーバネットワークのサーバ群で、来客持込端末がアクセスしていたのは、DHCPサーバ以外に何があるでしょう。
図1を確認すると、来客用無線LAN（192.168.10.0/24）からサーバネットワーク（192.168.30.0/24）への通信はFWを経由することが分かります。