情報処理安全確保支援士試験 令和2年度 秋期 午後2 問2
【出典:情報処理安全確保支援士試験 令和2年度 秋期 午後2 問2(一部、加工あり)】
[要件3への対応]
要件3への対応として、DaaS-Vの利用時は、IDaaS-Yによる2要素認証に加えて、クライアント証明書によるデバイス認証をDaaS-Vで行うことにした。社内にプライベート認証局を構築し、当該認証局の証明書によるクライアント証明書の検証が行われるようにDaaS-Vを設定することにした。クライアント証明書はMDM-Wを使用して、ノートPCのTPM(Trusted Platform Module)に格納することにした。
[要件4への対応]
要件4への対応として、VDからインターネットへのアクセスは、全てE社のネットワークを経由させることによってアクセス先の制限とアクセスの監視を行うことにした。
また、VDとノートPCとの間でクリップボード及びディスクの共有を禁止するようにDaaS-Vを設定することにした。Gさんが設定してみたところ、ノートPCからは、VDの閲覧、キーボード及びマウスによる操作、並びにマイク及びスピーカによる会話しかできなくなることが確認できた。しかし、この設定であっても③利用者が故意に社内情報を持ち出すおそれがある。これについては、簡単には技術的対策ができないので、利用規定で禁止することにした。
下線③について、ノートPCを介して持ち出す方法を30字以内で具体的に述べよ。:社内情報を表示した画面をカメラで撮影するという方法
「しかし、この設定であっても③利用者が故意に社内情報を持ち出すおそれがある。」
要件4「T環境からの情報の持ち出しは禁止する。」への対応として、技術的対策では回避できない情報の持ち出しを考えます。
ノートPCでできることは「VDの閲覧、キーボード及びマウスによる操作、並びにマイク及びスピーカによる会話」とあり、オンラインでの情報持ち出しはできないと思われます。
したがって、オフラインで利用者が故意にできることを挙げると、閲覧した情報をカメラで撮影することや、紙などに転記すること、スピーカからの音声データをICレコーダなどに録音することなどがありそうです。