ハイブリッドクラウド環境におけるモバイル環境の考慮【情報処理安全確保支援士試験 平成30年度 秋期 午後2 問1 設問5】

情報処理安全確保支援士試験 平成30年度 秋期 午後2 問1 設問5

問1 クラウド環境におけるセキュリティ対策に関する次の記述を読んで、設問1〜5に答えよ。

(略)

【モバイル環境の検討】

 X社システム部門は、従業員が出張先や自宅からでも社内にいるのと同様に業務ができるよう、モバイルPCとスマートフォン(以下、二つを併せてモバイル端末という)を従業員に貸与し、インターネット経由で社内システムやクラウド環境にWebのインタフェースを介してアクセスできるモバイル環境を検討した。モバイル環境においては、モバイル端末からの情報漏えい、モバイル端末のマルウェア感染などのリスクが懸念されることから、次の対策を実施することにした。

対策1 スマートフォンにモバイル機器管理ソフトウェアである製品Fのエージェントソフトウェアを導入し、スマートフォンのパッチ適用状況及びセキュリティ設定を監視し、パッチ適用及びX社の情報セキュリティ標準が定めるセキュリティ設定を強制する。

対策2 VPNサーバ及びVPNクライアントを導入し、モバイル端末にクライアント証明書を組み込む。従業員がモバイル端末からインターネット経由で社内システム及びクラウド環境にアクセスする際、VPNサーバでクライアント証明書を用いた端末認証が行われる。モバイル端末が、X社のデータセンタに接続した後、認証サーバB1による利用者認証が行われ、トークンが発行される。トークンが発行された後、従業員は、IaaS C、SaaS Q及びSaaS Sにアクセスできる。

 認証サーバB1による利用者認証においては、認証サーバB1が提供するリスクベース認証の機能が利用され、パッチ適用状況やセキュリティ設定に問題のあるモバイル端末からのアクセスを拒否する。

 X社システム部門は、モバイル環境の導入に伴い、負荷の観点から再度認証サーバB1の配置を見直すことにし、次の三つの案を比較検討した。

案A 現行の構成のまま、オンプレミス環境に認証サーバB1を配置する。

案B 認証サーバB1をIaaS Cに移行する。

案C 新たにIaaS Cに認証サーバB1と同じ製品を用いた認証サーバB2を配置し、従業員がIaaS Cに配置されたLinuxの業務サーバ上で稼働するWebアプリケーションにアクセスする際の利用者認証に用いる。認証サーバB2は、オンプレミス環境の認証サーバB1とSAML 2.0プロトコルによる通信を行う。この場合、認証サーバB1がIdP、認証サーバB2がSPになる。

 X社システム部門は、三つの案を、社内PC及びモバイル端末から業務サーバへの利用者認証後のアクセスにおける通信経路上の構成要素ごとの負荷の観点から比較し、案Cを選択した。

 X社が設計した、モバイル環境を含む日本国内のハイブリッドクラウド環境の論理構成を図3に示す。

f:id:aolaniengineer:20200429135549p:plain

案A及びBにおける利用者認証後の通信経路のうち、案Cに比べて通信経路上の構成要素の負荷が高くなるのは、どのクライアントからどの業務サーバへの通信か。案Aについては2組み、案Bについては3組み挙げ、それぞれ図3中の記号A〜Iで答えよ。:(案A)H-D、I-D(案B)G-B、H-B、I-B

設問3で説明したように、認証サーバB1はリバースプロキシであり、利用者認証後の通信も目的のサーバへのアクセスには認証サーバB1を常に通過します。

また、目的のサーバは、認証サーバB1で認証するLinuxと商用UNIXの業務サーバになります。(図3のB、D)

なお、SaaS Q/SのE、Fについては業務サーバに相当すると思われますが、Linux、商用UNIXであるかは判断できませんので、除外します。

そうすると、クライアントとしてはG、H、I、業務サーバとしてはB、Dの組み合わせで、案A、案Bと案Cの比較となり、違いとしてはインターネットを介する通信かどうかということになります。

これを前提に、比較していきます。

案Aと案Cでは、明らかに、インターネットを介する案Aの「H/I→(認証サーバB1)→D」が負荷が高くなる構成要素となりそうです。

案Bと案Cでは、まず、インターネットを介する案Bの「G→(認証サーバB2)→B」が負荷が高くなる構成要素となりそうです。また、「H/I→B」の経路も、案BがIaaS Cの認証サーバB2を介する分、案Cでの直接データセンタの認証サーバB1にアクセスすることに比べ、負荷が高くなります。

 図3において、従業員がスマートフォンからSaaS Qにアクセスする際の通信シーケンスを図4に示す。

f:id:aolaniengineer:20200429135719p:plain

 X社システム部門は、モバイル端末からの利用を想定したハイブリッドクラウド環境の設計、及びSaaS Sに移行する二つの業務システムについて経営層の承諾を得て、システムのクラウド環境への移行とモバイル環境の導入を開始した。

【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後2問1(一部、加工あり)】

図4中の(a)〜(h)に入れる適切な通信メッセージを、解答群の中から選び、記号で答えよ。:(a)、(b)、(c)、(d)、(e)、(f)、(g)、(h)

f:id:aolaniengineer:20200429140447p:plain

図4は、クライアント証明書を用いた端末認証についての通信シーケンスです。問題文の対策2に「VPNサーバ及びVPNクライアントを導入し、モバイル端末にクライアント証明書を組み込む。従業員がモバイル端末からインターネット経由で社内システム及びクラウド環境にアクセスする際、VPNサーバでクライアント証明書を用いた端末認証が行われる。モバイル端末が、X社のデータセンタに接続した後、認証サーバB1による利用者認証が行われ、トークンが発行される。トークンが発行された後、従業員は、IaaS C、SaaS Q及びSaaS Sにアクセスできる。」

これを参考に、通信シーケンスを確認していきます。

最初に、スマートフォンからSaaS Qへのアクセス要求(トークン無し)です。上記から、SaaS Qへのアクセスには認証サーバB1が発行したトークンが必要ですので「a:カ(認証サーバB1が発行したトークン要求)」が該当します。

「b、c、d」は、スマートフォンのVPNクライアントの起動からVPNサーバでのクライアント証明書の検証で行う処理です。上記からVPNサーバでのクライアント証明書を用いた端末認証に相当する処理ですので、「b:ウ(接続要求)」「c:イ (クライアント証明書の要求)」「d:ア(クライアント証明書)」が該当します。

こうして、スマートフォンは、VPNサーバで接続OKとなり、X社の内部ネットワークのIPアドレスが割り当てられます。

次の処理は、認証サーバB1による利用者認証です。したがって、「e:オ(トークン発行要求)」「f:ク(利用者ID及びパスワードの入力要求)」「g:キ(利用者ID及びパスワード)」が該当します。

そして認証サーバB1、A1による検証が行われ、パッチ適用状況及びセキュリティ設定の確認が行われた後、認証サーバB1からスマートフォンに「h:エ(トークンの発行)」が行われることになります。