サイトアイコン やさしいネットワークとセキュリティ

クラウド環境への移行における制約【情報処理安全確保支援士試験 平成30年度 秋期 午後2 問1 No.2】

情報処理安全確保支援士試験 平成30年度 秋期 午後2 問1 No.2

【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後2問1(一部、加工あり)】

【クラウド環境への移行に関する検討】
 X社システム部門は、次の条件のいずれかに該当するシステム及びサーバは、IaaS Cに移行できない又は移行すると基本要件を満たせなくなるとして、現状のままX社の工場、データセンタ又は拠点に配置し、X社システム部門がシステム運用業務を担当することにした。
条件1 IaaS Cが提供する仮想サーバでは稼働しないOSを用いているサーバ
条件2 プロジェクト専用サーバ
条件3 X社が取り扱う個人情報を管理するシステム
条件4 生産関連サーバ
 また、X社システム部門は、IaaS CとX社社内ネットワークとの接続においては、X社が管理するFW及びIPSを介して接続することにし、さらにIaaS Cのサービス仕様上の制約から起こる問題を回避するために、FWのNAT機能を用いて一部のアドレスを変換することにした。

条件2について、プロジェクト専用サーバをクラウド環境に移行した場合に満たせなくなる基本要件の具体的内容を、60字以内で述べよ。:R&D情報は、物理的な入退室管理が行われているプロジェクトルーム内に配置されたプロジェクト専用サーバに保管する。

 プロジェクト専用サーバに関する基本要件は、以下のとおりです。

  1. R&D情報は、物理的な入退室管理が行われているプロジェクトルーム内に配置されたプロジェクト専用サーバに保管する。
  2. プロジェクト専用サーバには、プロジェクトルーム内のプロジェクト専用PCからだけアクセスさせる。

 1項については、物理的な配置場所に関することですので、クラウド環境に移行した場合には満たせなくなります。
 ただ、物理的なセキュリティ上の脅威への対策という目的の観点では、クラウド環境でも要件と満たせると考えてもいいような気がします。
 2項については、クラウド環境にあるプロジェクト専用サーバにプロジェクト専用PCだけアクセスするよう、X社のFWで設定することで要件を満たせそうです。

条件4について、生産関連サーバをクラウド環境に移行し、かつIaaS Cの本文中に示したサービスを全て利用した場合に満たせなくなる基本要件の具体的内容を三つ挙げ、それぞれ50字以内で述べよ。:①生産関連サーバは、X社の工場及びデータセンタに配置する。生産関連サーバのバックアップを他の工場又はデータセンタに配置する。同じ重要インフラ設備を製造する工場及び生産関連サーバは同一の国又は地域内の2か所以上に配置する。

 生産関連サーバに関する基本要件は、以下のとおりです。

  1. 生産関連サーバは、X社の工場及びデータセンタに配置する。
  2. 生産関連サーバは、重要インフラ設備の製造の事業継続のために、バックアップを他の工場又はデータセンタに配置する。
  3. 各国及び各地域の輸出管理規制への準拠のために、同じ重要インフラ設備を製造する工場及び生産関連サーバは同一の国又は地域内の2か所以上に配置する。

 1項、2項については、生産関連サーバを工場、データセンタに配置するという要件を満たせなくなります。
 IaaS Cもデータセンタに配置されていて悩みますが、X社の東日本・西日本データセンタを示していると解釈します。
 3項については、IaaS Cのサービス仕様に「日本国内のデータセンタが被災した場合はシンガポールのデータセンタでサービスが継続される」とあり、同一の国又は地域内に配置する要件を満たせなくなります。

また、挙げた三つのうちの一つの理由となるIaaS Cのサービス仕様の内容を、50字以内で述べよ。:日本国内のデータセンタが被災した場合はシンガポールのデータセンタでサービスが継続される。

 上記3項のとおりです。

X社社内ネットワークとIaaS Cとの接続において、FWのNAT機能を用いることにしたのはどのような問題を回避するためだと考えられるか。IaaS Cのサービス仕様の制約から起こる問題を70字以内で述べよ。:X社のシステムの機器に割り当てているIPアドレスが、IaaS Cで予約されているプライベートアドレスと重複する可能性があるという問題

 FWのNAT機能を用いるということは、IPアドレスを変換する必要があるということです。
 IPアドレスに関して、IaaS Cのサービス仕様には、「あらかじめ予約されているプライベートIPアドレスがあり、利用者はそれらを使うことができない」とあります。
 したがって、予約されているプライベートIPアドレスが、X社のプライベートIPアドレスと重複することを避けるためにNAT機能を用いるということになります。

モバイルバージョンを終了