無線LANの認証サーバの設置場所、無線LANからの不正アクセスに対する構成比較【情報処理安全確保支援士試験 令和元年度 秋期 午後2 問2 設問5】

情報処理安全確保支援士試験 令和元年度 秋期 午後2 問2 設問5

問2 工場のセキュリティに関する次の記述を読んで、設問1〜7に答えよ。

(略)

f:id:aolaniengineer:20200609174432p:plain

(略)

 経営陣は、システム部のM部長をこの抜本的な見直しのプロジェクト(以下、プロジェクトWという)の責任者に任命した。プロジェクトWは、サイバー攻撃などによる生産設備の停止を防ぐことを目的とし、必要な施策を検討して実施する。例えば、A-NETで障害が発生しても生産設備の稼働を維持できるようにする。 

(略)

f:id:aolaniengineer:20200614143626p:plain

(略)

f:id:aolaniengineer:20200614145235p:plain

(略)

 調査によって発見された主要な課題を次に示す。

(略)

課題2:APは、接続を許可する機器をMACアドレス認証によって制限している。パスワードやディジタル証明書を利用した認証は行っていない。APの近くから、攻撃者が電波を傍受することでMACアドレスを入手し、この値を使用することで容易にAPに接続できてしまう。

(略)

【課題2の解決

 課題2の解決のため、今後は、APでの機器の認証方式として、WPA2エンタープライズ方式を採用することにした。同方式において必要となる認証サーバは、事務LAN用とセンサNET用をそれぞれ設置する。このうち、前者は全社で共用のサーバとし、システム部が管理する。後者はα工場が管理する。

【出典:情報処理安全確保支援士試験 令和元年度 秋期 午後2問2】

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2019h31_2/2019r01a_sc_pm2_qs.pdf

事務LAN用、センサNET用の認証サーバはどこに設置するのが適切か。それぞれ図1中の(あ)、(い)及び図5中の(う)〜(か)から選び、記号で答えよ。:事務LAN用(い)、センサNET用(か)

APでの機器の認証を行う認証サーバは、APに接続した機器が認証前に通信することになるので、最小限の範囲内にいる必要があります。

事務LAN用の認証サーバは全社で共用のサーバとなるので、全社サーバLAN内に設置されるのが良さそうです。(インターネットからアクセスできるDMZ内に配置すべきではありません)

センサNET用の認証サーバは、センサNET内に設置されればいいでしょう。

APへの不正接続を考慮した場合、図5のネットワーク構成は図4に比べ、プロジェクトWの目的の達成の面で優れている。図5が優れていると考えられる点及びその理由について、FA端末から業務サーバにデータを安全に転送するための仕組みを導入しなかった場合を想定し、60字以内で具体的に述べよ。:事務LANとセンサNETはF-NETと分離されており、APに不正接続してもFA端末を攻撃できないから。

プロジェクトWの目的については、「プロジェクトWは、サイバー攻撃などによる生産設備の停止を防ぐことを目的とし、必要な施策を検討して実施する。例えば、A-NETで障害が発生しても生産設備の稼働を維持できるようにする。 」とあります。

ここで、生産設備については、図4の注記3と図5の注記1に「FA端末には生産設備が接続されている。当該生産設備の記載は省略している」とあるように、A-NETで障害が発生しても、FA端末経由で生産設備に影響を与えないことが必要です。

また、「FA端末から業務サーバにデータを安全に転送するための仕組み」とは、設問4にある「FW方式」「USBメモリ方式」「中継用PC方式」「データダイオード方式」など、図5のネットワーク構成を一部変更することを含む仕組みです。

これを導入しなかった場合を想定するとのことで、図5のネットワーク構成を前提にして考えます。

「APへの不正接続を考慮した場合」とのことで、APのあるネットワークとFA端末の接続性をポイントに図4と図5を比較します。

図4では、工場LAN内でAPとFA端末がL2SWを介して接続しているので、APに不正接続されるとFA端末が攻撃される可能性があります。

一方、図5では、FA端末があるF-NETは、APがある事務LANとセンサNETから分離されていて、APに不正接続されてもFA端末を攻撃することができないことが分かります。

Follow me!