【情報処理安全確保支援士試験 令和2年度 秋期 午後2 問2 No.5】

情報処理安全確保支援士試験 令和2年度 秋期 午後2 問2

【出典：情報処理安全確保支援士試験 令和2年度 秋期 午後2 問2（一部、加工あり）】

[実証実験の実施]
　各CSPの脆弱性対策には大きな問題がなかった。そこで、図4のT環境を構築し、システム企画部、人事部、営業部から実験メンバをそれぞれ20名ずつ計60名募った。実験メンバには、T環境を利用できるように設定したスマホとノートPCを貸与し、期間を3か月間として、実証実験を開始した。
　実証実験後、実験メンバにアンケートを採ったところ、多くの実験メンバから、これまでより利便性・生産性が向上したとの意見が集まった。また、二つの要望が出た。

[公衆無線LANの利用]
　一つ目の要望は、出張の移動中又は宿泊先でスマホの通信回線が利用できなかった場合、公衆無線LANを利用したいというものである。国内の多くの公衆無線LAN環境では、無線LANアクセスポイントへの接続時にWebで利用者登録画面や利用規約同意画面が表示され、利用者が利用者情報を登録したり、利用規約への同意をしたりした後にインターネット接続が許可される仕組みになっている。ノートPCではアクセス先をT環境宛に制限していたので、これらの画面が表示されず、公衆無線LANを利用できなかったということであった。
　そこで、F次長は、ノートPCのアクセス先制限を緩和して利用者が公衆無線LAN環境に接続できるようにした場合のリスクを評価した。その結果、フィッシングサイトなどに誘導されるリスクが高まると考えられたが、仮にDaaS-Vのフィシングサイトで、利用者の入力が詐取されたとしても、その情報を悪用した不正アクセスは⑦検討済みの他の対策で防止できるので、ノートPCのアクセス先制限を緩和することにした。

下線⑦について、該当する対策を本文中の用語を用いて35字以内で述べよ。：DaaS-Vでのクライアント証明書によるデバイス認証

　「その結果、フィッシングサイトなどに誘導されるリスクが高まると考えられたが、仮にDaaS-Vのフィシングサイトで、利用者の入力が詐取されたとしても、その情報を悪用した不正アクセスは⑦検討済みの他の対策で防止できるので、ノートPCのアクセス先制限を緩和することにした。」
　詐取した利用者の入力を悪用した不正アクセスということから、該当する入力情報はログインに関する情報と考えることができます。
　そこで、T環境におけるログインに関する要件を確認すると、「要件2：T環境へのログインパスワードが見破られても、それだけでは不正アクセスできないように、2要素認証を行う。」「要件3：T環境へは、貸与するノートPCからだけログインできるようにする。」とあります。
　そして、要件2への対応としてスマホアプリ方式のOTP（ワンタイムパスワード）で2要素認証を行うこと、要件3への対応としてクライアント証明書によるデバイス認証を行うとしています。
　したがって、ログイン情報が詐取されたとしても、これらの対応で防止できることが分かります。