情報処理安全確保支援士試験 平成31年度 春期 午後2 問1 設問6
【出典:情報処理安全確保支援士試験 平成31年度 春期 午後2問1(一部、加工あり)】
【対策1と対策2の検討】
P君が、対策1と対策2の検討に当たり、HTTPS復号機能の動作の詳細を確認したところ、N社のLANでは図4に示す通信の流れになることが分かった。
また、HTTPS復号機能は、図5のとおりになることが分かった。
P君がFW1の製造元に対策1の実施を検討している旨を伝えたところ、無料で30日間だけ同機能を利用できる評価用ライセンスの発行を提案されたので、早速、評価用ライセンスを適用し、CSIRTメンバのD-PCから発信される通信で評価してみた。その結果、HTTPS復号機能には、通信の種類によっては制約があることが分かった。通信の種類と制約を表5に示す。
P君は、これらの制約の回避方法を運用手順に含めることにした。表5の項番1の場合は、FW1のHTTPS復号機能の例外リストに外部Webサーバを追加することにした。例外リストにWebサーバを追加すると、例外的に復号機能を適用せず社内PCとWebサーバ間で直接HTTPS通信を行うことができる。例外とする場合には、業務上の必要性があること、及び正当なWebサーバであることを所定の手順で確認することにした。表5の項番2及び3の場合も、必要な内容を運用手順に含めた。
続いて、P君は、対策2の検討を行い、具体策をまとめた。W主任は、P君の報告を受けて、対策1と対策2の実施案をまとめた。実施案は、R課長からCSIRT責任者である情シス担当取締役に報告され、承認の上で実施された。以後、N社では、マルウェアによるインシデントは発生していない。
i:信頼するCAのディジタル証明書
一般的に社内PCと外部Webサーバとの間でHTTPS通信を行う場合、社内PCのブラウザと外部Webサーバ間でTLSコネクションを確立します。
それに先立ちTLSハンドシェイクのやり取りを行いますが、外部Webサーバから送信されるサーバ証明書を、ブラウザにあらかじめ登録されているルート証明書と照合して信頼できるサーバ証明書であるかどうかを判断します。
問題文のように、社内PCと外部Webサーバとの間にFW1が割り込んで、それぞれの区間でTLSコネクションを確立する場合、FW1が外部Webサーバに代わってサーバ証明書を社内PCに送信する必要があります。
ただその場合、FW1のルート証明書が社内PCにおいて信頼するCAのディジタル証明書として登録されていることが前提になります。
j:クライアント証明書の提示が必要な外部Webサーバにアクセスする。
この通信に対し、制約の原因、回避方法には以下の説明があります。
- 図4の流れの中で、FW1は、社内PCがもっているクライアント証明書に対応した秘密鍵を利用することができない。
- 表5の項番1の場合は、FW1のHTTPS復号機能の例外リストに外部Webサーバを追加することにした。
したがって、通信の種類としては、社内PCからクライアント認証を行う外部Webサーバへアクセスする通信と分かります。
k:FW1の製造元によって安全性が確認されていないCAが発行したサーバ証明書を使用した外部Webサーバにアクセスする。
この通信に対し、制約の原因には以下の説明があります。
- FW1には、FW1の製造元によって安全性が確認されたCAのディジタル証明書だけが、信頼されたルートCAのディジタル証明書としてインストールされている。
したがって、通信の種類としては、社内PCからFW1の製造元によって安全性が確認されていないCAが発行したサーバ証明書を使用した外部Webサーバにアクセスする通信と分かります。