クラウドサービスのログイン記録【平成29年度 春期 情報処理安全確保支援士試験 午後1 問3 設問1】

平成29年度 春期 情報処理安全確保支援士試験 午後1 問3 設問1

問3 クラウドサービスの認証連携に関する次の記述を読んで、設問1〜3に答えよ。

 F社は、従業員数300名のソフトウェア開発会社である。F社では、社外のクラウドサービスを試行的に導入し始めており、交通費精算サービス、グループウェアサービス、オンラインストレージサービスの三つを現在利用している。これらのクラウドサービスには、各クラウドサービスの利用者IDとパスワードを用いてログインする。これらのクラウドサービスは、社内からの利用に限定するという社内ルールを定めている。

 従業員が利用する端末は、社内ネットワークに設置されており、ウィルス対策ソフトが導入され、最新のウィルス定義ファイルが毎日適用されている。社外から社内ネットワークへの通信はフォイアウォールによって禁止されている。端末からクラウドサービスを利用する際には、プロキシサーバを経由する必要がある。

〔クラウドサービスへの不正アクセス〕

 ある日、交通費精算サービスで従業員の振込先口座が勝手に変更されたとの相談が、経理部から情報システム部のC主任にあった。Rさんの振込先口座がF社指定の銀行以外の口座に変更されていたので、Rさんに確認したところ、本人による変更ではないことが分かったとのことであった。

 C主任は、社外の攻撃者による不正アクセスの可能性を考え、交通費精算サービスに記録されているログイン記録を調査した。F社で利用しているクラウドサービスではログイン記録として、アクセス日時、利用者ID、接続元IPアドレス、接続先URLが記録されている。調査の結果、Rさんの利用者IDによるログイン記録には、接続元IPアドレスとして、F社のIPアドレス以外に、海外のIPアドレスが一つあった。Rさんに話を聞いたところ、このログインに心当たりがないということであった。Rさんに更に詳しく話を聞いたところ、4月9日に交通費精算サービスから登録情報の確認を促す電子メール(以下、メールという)が1通、Rさんの私用メールアドレスに届いており、Rさんが4月10日にそのメールを自宅で読み、記載内容に従って自宅からログイン操作を行ったことが分かった。そのメールをRさんから転送してもらい、C主任がメールに記載されていたURLを確認したところ、交通費精算サービスを模したフィッシングサイトであった。C主任はこのフィッシングサイトから利用者IDとパスワードが盗まれた可能性が高いと判断した。そこで、Rさんがパスワードを使い回している可能性も考慮して、他のクラウドサービスに対するRさんのログイン記録も調査した。その結果、他のクラウドサービスに対するRさんの利用者IDを用いたログインは、F社からのものだけであることを確認した。

 今回は金銭的な損害に至らなかったが、情報システム部のB部長は早急な対策が必要と考え、C主任に暫定対策の実施と根本的な対策の検討を指示した。

〔暫定対策の実施と根本的な対策の検討〕

 C主任はまず、暫定対策として三つの対策を行うことにした。第一に、フィッシングメールに注意するよう従業員に周知した。第二に、F社で利用している各クラウドサービスに対するログイン記録をC主任が調査して、①F社以外からのログインがあった利用者IDを特定し、その利用者IDを利用する者にはパスワードを変更させることにした。第三に、F社以外からのログインを検知できるよう、ログイン記録の監視を行うことにした。C主任は暫定対策が完了したことを確認し、根本的な対策の検討を開始した。

①について、条件を満たす利用者IDを特定するためには、どのような条件を満たすログイン記録を抽出すればよいか。

接続元IPアドレスがF社のグローバルIPアドレスではないこと

クラウドサービスのログイン記録において、F社以外からのログインがあった利用者IDを特定するための条件について考える場面です。

F社からクラウドサービスを利用することに関連する記述には以下のようなものがあります。

  • 端末からクラウドサービスを利用する際には、プロキシサーバを経由する必要がある
  • F社で利用しているクラウドサービスではログイン記録として、アクセス日時、利用者ID、接続元IPアドレス、接続先URLが記録されている
  • 調査の結果、Rさんの利用者IDによるログイン記録には、接続元IPアドレスとして、F社のIPアドレス以外に、海外のIPアドレスが一つあった

これらの内容から、ログイン記録のパラーメータである「接続元IPアドレス」が、F社以外であること、具体的にはプロキシサーバに割り当てているグローバルIPアドレス以外であることが、抽出する条件であることが分かると思います。

 C主任は、今回の不正アクセスの原因の一つが、F社のIPアドレス以外からクラウドサービスへのログインが可能になっていたことにあると考え、F社のIPアドレス以外からのログインを制限することが可能か調査した。F社で利用しているクラウドサービスのうち、グループウェアサービスだけは、接続元IPアドレスを制限する機能を備えていたので、その機能を有効化し、社内からだけログインできるように設定した。しかし、残りのクラウドサービスは接続元IPアドレスの制限機能を備えていなかった。

 C主任は、接続元を制限する他の方法を検討した。その結果、クラウドサービスへログインする際、F社に既に設置してあるLDAPサーバでの認証を必要とすることにすれば、接続元を制限できるようになると考えた。そこで、F社で利用しているクラウドサービスを調べたところ、全てSAML(Security Assertion Markup Language)を用いた認証連携に対応していることが分かった。C主任は、クラウドサービスとLDAPサーバとの間で、SAMLを用いた認証連携による接続元の制限を検討することにした。

【出典:情報処理安全確保支援士試験 平成29年度春期午後1問3(一部、加工あり)】

Follow me!