サイトアイコン やさしいネットワークとセキュリティ

【情報処理安全確保支援士試験 令和2年度 秋期 午後2 問2 No.6】

情報処理安全確保支援士試験 令和2年度 秋期 午後2 問2

【出典:情報処理安全確保支援士試験 令和2年度 秋期 午後2 問2(一部、加工あり)】

[業務文書のノートPCへのダウンロード]
 二つ目の要望(以下、要望Xという)は、営業部の実験メンバから、顧客を訪問した際の業務文書の閲覧・作成について挙がったものである。持込端末のインターネット接続が禁止されている顧客を訪問した際は、VDにアクセスできない。そこで、会社を出た後、訪問前にファイルサーバ上の営業資料をノートPCにダウンロードしておき、それを閲覧したり、ノートPC上で顧客打合せの議事録の文書を作成し、訪問後、会社に戻る前にその文書をファイルサーバにアップロードしたりしたいということであった。
 要望Xを実現すると、ノートPCに対する盗難・紛失時の情報漏えい対策が必要になる。次は、この件についてのGさんとF次長の会話である。

Gさん:ノートPCの盗難・紛失時の情報漏えい対策としては、OSに搭載されたディスク暗号化機能を使えばよいのではないでしょうか。
F次長:そうだな。しかし、紛失したノートPCを第三者に取得されたときに、(g)されてディスクが復号されてしまうおそれがある。ディスク暗号化機能だけでは不十分だ。
Gさん:追加の対策はあるのでしょうか。
F次長:PINコードを利用したログイン方式を強制した場合を考えてみよう。PINコードを利用したログイン方式は、TPMを利用する。正しいPINコードが入力された場合、ディスクが復号される。今回、⑧PINコードは、6桁の数字とし、システム管理者が事前にランダムなものを設定することにしよう。
Gさん:6桁の数字だと総当たり攻撃で破られそうですが、大丈夫なのでしょうか。
F次長:誤った入力が5回連続で行われると管理者が回復用のパスワードを入力しない限りログインできなくなるように設定し、回復用のパスワードには推測困難な十分に長いランダムな文字列を設定する方法もある。
Gさん:なるほど。

 F次長は、検討の結果、要望Xには原則として対応しないが、希望者には個別に申請してもらい、⑨申請が許可された利用者のノートPCについては、E社のネットワークとのインターネットVPNでの接続を可能とする方針にした。

 F次長は、実証実験の結果、実験メンバからの要望及びそれへの対応、並びに残存するリスク及びその低減策についてシステム企画部長と経営陣に報告した。経営陣はテレワーク環境を全社に展開することを決めた。

g:パスワードの推測によってログイン

 「しかし、紛失したノートPCを第三者に取得されたときに、(g)されてディスクが復号されてしまうおそれがある。
 OSに搭載されたディスク暗号化機能については、ハードディスクが取り外されても暗号化された状態ですが、一般的にはPC(OS)にログインした時点で復号化されて読み書きが可能な状態となります。
 ノートPCが第三者に渡った場合、パスワードの推測などによってログインされる可能性があり、ハードディスクの内容が復号化され情報漏えいしてしまいます。

下線⑧について、利用者に設定させるとどのような問題が起きると考えられるか。起きると考えられる問題を25字以内で具体的に述べよ。:容易に推測可能なPINコードを設定する。

 「今回、⑧PINコードは、6桁の数字とし、システム管理者が事前にランダムなものを設定することにしよう。
 一般的に、パスワードやPINコードなどを利用者が自由に設定した場合には、6桁程度の数字であれば、利用者自身が容易に覚えやすい値(誕生日や単純な数字の並びなど)を設定してしまうことが多くなります。
 その場合、それらの値は第三者によっても推測可能であり、簡単にログインなどができてしまうことになります。

下線⑨について、DaaS-Vへのアクセスと同等のセキュリティを実現するためには、FWのVPN機能にどのような仕組みが必要か。必要な仕組みを30字以内で具体的に述べよ。:クライアント証明書によるデバイス認証を行う仕組み

 「F次長は、検討の結果、要望Xには原則として対応しないが、希望者には個別に申請してもらい、⑨申請が許可された利用者のノートPCについては、E社のネットワークとのインターネットVPNでの接続を可能とする方針にした。
 要望Xを実現するということは、ノートPCからファイルサーバ上の文書へのアクセスを行えるようにすることです。
 DaaS-VからのE社ネットワークへのアクセスについては、[T環境の要件]に「FWのVPN機能を利用して、DaaS-VとE社のネットワークをインターネットVPNで接続する。」とあります。
 さらに、DaaS-Vの利用に関しては、[要件3への対応]に「DaaS-Vの利用時は、IDaaS-Yによる2要素認証に加えて、クライアント証明書によるデバイス認証をDaaS-Vで行うことにした。」とあります。
 したがって、DaaS-Vを利用せず、ノートPCから直接、E社ネットワークへアクセスするには、FWのVPN機能にクライアント証明書によるデバイス認証を行う仕組みが必要となります。

モバイルバージョンを終了