【情報処理安全確保支援士試験 令和2年度 秋期 午後2 問1 No.1】

情報処理安全確保支援士試験 令和2年度 秋期 午後2 問1

【出典:情報処理安全確保支援士試験 令和2年度 秋期 午後2 問1(一部、加工あり)】

問1 百貨店におけるWebサイトの統合に関する次の記述を読んで、設問1〜5に答えよ。

 C社は、半年ほど前に旧A社と旧B社が合併してできた会社である。旧B社が存続会社となり、旧A社の事業を承継した上で、C社に改称した。C社は、旧A社の10店舗の百貨店(以下、A百貨店という)と、旧B社の5店舗の百貨店(以下、B百貨店という)を運営している。
 C社は、旧A社が発行していたクレジットカードの会員向けWebサイト(以下、サイトPという)、A百貨店の取扱商品を販売するオンラインストアWebサイト(以下、サイトQという)、及び旧B社のポイントカードを保有する会員向けWebサイト(以下、サイトRという)を運営している。
 合併後、旧A社クレジットカードのB百貨店での利用を促進したり、旧B社ポイントカードのA百貨店での利用を可能にしたりするなど、両社の顧客サービスの融合に力を入れている。表1は、サイトP、Q、Rの概要である。


[機器の集約と運用作業の効率化]
 C社では、運用作業を効率化するために、別々の場所に設置されていた各サイトを構成する機器を1か所のデータセンタに集約するとともに、これらの機器を管理するWeb管理課を新設した。機器集約後のネットワーク構成は図1のとおりである。

 サイトP、Q、Rは、それぞれ独立して運営されている。いずれのサイトも、アカウント情報はサイトごとに設置したLDAPサーバのユーザエントリとして管理されており、ログイン時の認証には、各LDAPサーバのユーザエントリ内の利用者IDとパスワードを利用している。

[サイト間でのアカウントの共通利用]
 C社では経営戦略の一環として、三つのサイトで収集した情報から顧客の購買傾向を分析することにした。そこで、サイトP、Q、Rでクロス分析などの手法を用いて購買傾向を分析する上で、各サイト間で同一の顧客を特定するために、サイトP、Q、R相互間でのアカウントの共通利用を実現することにした。
 アカウントの共通利用では、次の三つの利用方法のいずれかを各顧客に選択してもらうことにした。

  1. サイトPのアカウントを親アカウントとし、サイトQ、Rのアカウントを子アカウントとして、子アカウントを親アカウントに紐付ける。主に旧A社の顧客向けである。
  2. サイトRのアカウントを親アカウントとし、サイトP、Qのアカウントを子アカウントとして、子アカウントを親アカウントに紐付ける。主に旧B社の顧客向けである。
  3. アカウントの共通利用をしない。

 顧客がアカウントの紐付けを設定すれば、子アカウントの代わりに親アカウントを用いて各サイトにログインできる。

[アカウントの共通利用の設計]
 Web管理課のJ主任は、アカウントの共通利用の設計を任された。J主任は、アカウントの共通利用を実現するために、次の四つを行うことにした。

  1. サイトP、Q、Rのログイン処理を変更する。
  2. LDAP-P、LDAP-Rで管理するアカウント情報に、紐付け情報を保存する。具体的には、LDAP-PのユーザエントリにsiteQid、siteRid属性を追加して、当該アカウントに紐付けた子アカウントの利用者IDを保存する。LDAP-Rのユーザエントリには、sitePid、siteQid属性を追加する。
    なお、紐付け前のsitePid、siteQid、siteRidには、空文字列が設定される。
  3. Web-P、Web-RのWebアプリケーションプログラム(以下、WebアプリケーションプログラムをWebアプリという)に、アカウントの紐付け機能を追加する。
    サイトPのアカウントを親アカウントとし、サイトQのアカウントを子アカウントとして紐付けるときのサイトPの画面と処理内容は図2のとおりである。
  1. FW-P、Q、Rのルールに対して必要な変更を行う。例えば、変更後のFW-Pのルールは、表2のようにする。

a:LDAP-P、LDAP-Q、LDAP-R、b:LDAP

 サイトP、Q、R相互間でのアカウントの共通利用を実現するために、FW-Pで変更する必要があるルールについて確認していきます。
 アカウントについては、[機器の集約と運用作業の効率化]に「いずれのサイトも、アカウント情報はサイトごとに設置したLDAPサーバのユーザエントリとして管理しており、ログイン時の認証には、各LDAPサーバのユーザエントリ内の利用者IDとパスワードを利用している」とあります。
 そしてサイト間でのアカウントの共通利用を実現するのに、旧A社の顧客向けにはサイトP、旧B社の顧客向けにはサイトRのアカウントを親アカウントとして、それ以外のサイト(子アカウント)へも親アカウントでログインできるように、親アカウントと子アカウントの紐付けを行います。
 具体的には、図2(サイトPにおけるサイトQのアカウントの紐付けの画面と処理内容)に、「Web-PのWebアプリが、LDAP-Qに問合せて、入力されたサイトQの利用者IDとパスワードを用いて認証を行う」とあるように、各サイトのWebアプリが、他サイトのLDAPに問い合わせを行う通信が新たに発生します。
 したがって、この新たな通信を各サイトのFWへ追加する必要があることが分かります。
 なお、LDAP(Lightweight Directory Access Protocol)は、ディレクトリサービスにアクセスするためのプロトコルの一つで、ディレクトリツリーへのアクセス手順や、データ交換フォーマットを規定しているものです。
 表2(変更後のFW-Pのルール)を見ていくと、まず、注記3に「項番4〜14には、LDAPに関するルールは記述されていない」とあるので、項番1〜3まででLDAPに関する記述がされているものと想定できます。
 項番2で、Web-QとWeb-RからLDAP-PへのLDAP通信が許可されていることから、項番3ではそれとは逆にWeb-Pから他のサイトのLDAP(LDAP-QとLDAP-R)へのLDAP通信が許可されるものと分かります。
 ここで自分のサイトでのLDAP通信も必要だということに注意しましょう。
 Web-PからLDAP-PへのLDAP通信は、今回のサイト間での共通利用を実現する前から必要な通信ですので、このルールも忘れずに記載しましょう。