サーバ移設に伴う設計とリスク検討【情報処理安全確保支援士試験 平成30年度 春期 午後2 問1 設問3】

情報処理安全確保支援士試験 平成30年度 春期 午後2 問1 設問3

問1 セキュリティ対策の評価に関する次の記述を読んで、設問1〜4に答えよ。

(略)

f:id:aolaniengineer:20200403043847p:plain

(略)

f:id:aolaniengineer:20200403044351p:plain

(略)

 また、Rポータルは、フロントエンドのWebAPサーバと、会員組織情報、要求仕様書や図面が保存されるバックエンドのDBサーバで構成され、WebAPサーバとDBサーバはODBC(Open Database Connectivity)を用いて特定のポート間で通信しているR団体のセキュリティ対策基準にのっとり、DBサーバには、システム運用課員によるログインと、WebAPサーバからの接続だけが許可されている。利用者セグメントからDBサーバへのアクセスは、FWによって運用管理PCのIPアドレスからのアクセスだけが許可されている。

 人事サーバ管理での人事データの更新には二つの方法がある。通常の更新は、人事サーバのWebインタフェースを使用してPC上で行う。期初などの大量の人事異動が発生するタイミングでは、PCからリモートデスクトップ機能を使い、一度、踏み台サーバの利用者ID(以下、管理IDという)を用いて踏み台サーバにログイン後、さらに、踏み台サーバからリモートデスクトップ機能を使い、共通の利用者IDとパスワード(以下、共通管理者アカウントという)で人事サーバにログインして、一括で更新している。管理IDは職員ごとに異なっている。R団体では、踏み台サーバを除き、サーバセグメントとDMZに置くサーバでは、運用負荷軽減の観点から、共通管理者アカウントが設定されている。

 サーバセグメント内のサーバでは、表3のアクセスだけを許可している。

f:id:aolaniengineer:20200403050230p:plain

(略)

f:id:aolaniengineer:20200403050739p:plain

(略)

f:id:aolaniengineer:20200403051712p:plain

(略)

【検出事項3の対応方針の検討】

 M主任は、DBサーバをDMZとは別のセグメントに移動する案を検討するようにNさんに指示した。Nさんが、二つの案を検討した。

 案1は、DMZ内に新たにL3SWを設置して、DBサーバ専用のセグメントを設け、L3SWでDBサーバへの通信を業務上必要なものだけに限定する案である。

 案2は、DBサーバをサーバセグメントに移動し、表5に示すルールを追加するなど、FWのフィルタリングルールを変更するとともに、図2のL3SWによって、利用者セグメントからのアクセスを禁止する案である。

f:id:aolaniengineer:20200405134736p:plain

a:WebAPサーバ、b:DBサーバ、c:ODBC

DBサーバの通信要件を確認すると、「WebAPサーバとDBサーバはODBC(Open Database Connectivity)を用いて特定のポート間で通信している」「DBサーバには、システム運用課員によるログインと、WebAPサーバからの接続だけが許可されている」とあります。

したがって、FWを通過する新たな通信である、WebAPサーバとDBサーバのODBCによる通信を許可するルールを追加すれば良さそうです。通信の方向としては、WebAPサーバからDBサーバへリクエストすることになりますので、送信元がWebAPサーバ、宛先がDBサーバとなります。

表4のルールのうち不要となるものを項番で答えよ。:9

同じくDBサーバの通信要件のうち、DBサーバの移動によりFWを通過しなくなる通信は何かというと、「DBサーバへのシステム運用課員によるログイン」であることが分かります。この通信については、DBサーバ移動後はL3SWによって利用者セグメントからのアクセスを禁止するとしています。

「DBサーバへのシステム運用課員によるログイン」について具体的に説明されている箇所を探すと、表2に「システム運用課員が運用管理PCからSSHでWebAPサーバやDBサーバにアクセスし、設定情報変更などを行う」とあります。

これらに該当する表4のルールは、項番9「送信元:運用管理PC、宛先:DBサーバ、サービス:SSH、動作:許可」ですので、この設定が不要となりそうです。

 次は、二つの案についてのNさんとM主任との会話である。

Nさん:新たにL3SWを導入する必要もないですし、案1よりも案2が良いと思います。

M主任:案2は、FWのフィルタリングルール変更の他にもいろいろと考慮すべき点があるね。例えば、⑤DBサーバに関してR団体のセキュリティ対策基準に違反するおそれがある。そのため、案2を採用する場合は、検出事項(d)の対策と併せて実施する必要がある。

⑤について、誰がどのようなアクセス経路で何を行うと、セキュリティ対策基準違反になるか。違反になる行為を本文の内容を基に、55字以内で具体的に述べよ。:人事総務課の職員が踏み台サーバを経由してDBサーバに共通管理者アカウントでログインする行為

セキュリティ対策基準について問題文中の記述を探すと、「R団体のセキュリティ対策基準にのっとり、DBサーバには、システム運用課員によるログインと、WebAPサーバからの接続だけが許可されている。利用者セグメントからDBサーバへのアクセスは、FWによって運用管理PCのIPアドレスからのアクセスだけが許可されている。」とあります。

DBサーバへシステム運用課員以外の職員がアクセスすることは、FWで許可されていないため不可能でした。しかし、DBサーバ移動後はL3SWによって利用者セグメントからのアクセスを禁止するとしており、システム運用課員以外の職員もアクセスの可能性があることが想像できます。

DBサーバの移設先であるサーバセグメントへのアクセスについては、「R団体では、踏み台サーバを除き、サーバセグメントとDMZに置くサーバでは、運用負荷軽減の観点から、共通管理者アカウントが設定されている。」という記述があります。

また、表3から、利用者ID、パスワードによる認証はあるものの、人事総務課の一部の職員については、踏み台サーバ経由で、共通管理者アカウントでログインすることが可能であることが、読み取れると思います。

d:2

前の設問については、そもそもDBサーバに共通管理者アカウントでログインできてしまうことが問題としてあります。これは検出事項2に挙げられています。

各サーバごとに異なる管理者アカウントのみがログインできるようにすることで、検出事項2と検出事項3の案2での問題は発生しません。

M主任とNさんは、社内関係者の意見と集約し、現行システムへの影響などから案1を理事に提案することにした。

【出典:情報処理安全確保支援士試験 平成30年度 春期 午後2問1(一部、加工あり)】

Follow me!