【情報処理安全確保支援士試験 令和3年度 秋期 午後1 問2 No.2】

情報処理安全確保支援士試験 令和3年度 秋期 午後1 問2

【出典：情報処理安全確保支援士試験 令和3年度 秋期 午後1 問2（一部、加工あり）】

[問題への対策の検討]
Z主任は問題の解決に向けて、IRM（Information Rights Management）製品による対策を検討することにした。
Z主任は、導入実績の豊富なL社のIRM製品（以下、IRM-Lという）によって表1中の問題が解決できるかどうかを確認することにした。IRM-Lは、複数の利用者から成るグループ単位にアクセス権限の付与ができる。IRM-LはIRMクライアントとIRMサーバから構成される。IRMクライアントは、PCにインストールされ、ファイルの暗号化及び復号を行う。IRMサーバは、IRMクライアントの管理を行う。IRM-Lの概要を図1に示す。

Z主任は、次のようにIRM-Lを利用することによって、表1中の問題を表2のとおり解決できると考えた。

• 各プロジェクトにグループを一つ割り当てる。
• システム開発部門の従業員にIRM-Lの利用者アカウントを割り当てる。
• 設計秘密は、IRM-Lで保護した上で、ファイルサーバに保管する。
• T社のプロジェクトメンバもIRM-Lを利用し、IRM-Lで保護されたファイルを、クラウドストレージサービスにアップロードする。

問題2について、Pパスワードの利用状況を調査したところ、英数字と一部の記号を用いた10字程度のパスワードの利用が多いことが分かった。それに基づいて、Wソフトによって暗号化されたファイルとIRM-Lによって保護されたファイルの解読に必要な計算量を比較し、結果を図2にまとめた。

IRM-Lでは、一定時間当たりのログイン試行回数を制限する機能や、一定回数のログイン失敗でアカウントをロックする機能によって、攻撃者がログインに成功するリスクを下げることができる。しかし、利用者IDとパスワードによる認証だけでは、推測が容易なパスワードを利用者が設定してしまうと、長さが10字であったとしても（ｅ）攻撃に対して脆弱となるので、（f）への変更が可能か検討することにした。

下線①について、操作を行えるアカウントだけを解答群から全て選び、記号で答えよ。また、操作を35字以内で具体的に述べよ。：ア、イ/プロジェクト離任者の利用者アカウントをグループから削除する。
ア IRM管理者アカウント イ グループ管理者アカウント
ウ 利用者アカウント

「また、①簡単な操作でプロジェクト離任者による設計秘密の参照を禁止できるので、従来と比較して大幅に作業負荷が減る。」
IRM-Lによる問題3「プロジェクト離任者が出た場合、Pパスワードが設定されている全てのファイルに対してPパスワードの変更を行う必要があり、作業負荷が高い」に対する解決策として挙げられたものです。
IRM-Lによって利用者がどのように設計秘密へのアクセスを制御できるのか、問題文を見ていくと、以下のような記述が参考になりそうです。

• IRM-Lは、複数の利用者から成るグループ単位にアクセス権限の付与ができる。
• （図1（IRM-Lの概要）4.IRMクライアントの起動とファイル保護の処理）利用者がファイルの保護をするとファイルが暗号化され、ファイルの利用権限が自身の所属するグループのうち選択したグループに付与される。
• 各プロジェクトにグループを一つ割り当てる。
• IRM-Lでは、ファイルの保護にパスワードを利用しない。

これらの記述から、ファイル（設計秘密）へのアクセス権限はパスワードではなく、プロジェクトに割り当てられた一つのグループであることが分かります。
したがって、グループに所属する利用者だけがファイル（設計秘密）にアクセスでき、離任者によるアクセスを禁止するには、当該利用者アカウントをグループから削除する操作のみで完了します。
この操作を実行できる権限については、図1（IRM-Lの概要）の「2.アカウントの種類」の記述を確認します。

• 利用者アカウント：ファイルの保護及び保護されたファイルを開くことができる。
• グループ管理者アカウント：利用者アカウントをグループに所属させたり、グループから削除したりできる。
• IRM管理者アカウント：全てのグループに対して、グループ管理者アカウントと同様の権限をもつ。

これにより、離任者アカウントをグループから削除する操作ができるのは、グループ管理者アカウントとIRM管理者アカウントになります。

下線②について、参照不可になるのは、図1中の5.のどの処理でエラーになるからか。（ⅰ）〜（ⅵ）の記号で答えよ。：（ⅱ）

「②プロジェクト離任者に対する操作を適切に行うことによって参照不可にできる。」
IRM-Lによる問題4「プロジェクトメンバが、プロジェクト参加期間中にR社の規則に反してPCにコピーそた設計秘密は、当該メンバであれば離任後も参照できてしまう。」に対する解決策として挙げられたものです。
プロジェクト離任者に対する操作とは、前の設問から、離任者のアカウントをプロジェクトのグループから削除することであり、その環境において図1（IRM-Lの概要）の「5.保護されたファイルを開くときの処理」を確認していきます。

• （ⅰ）IRMクライアントから利用者ID、暗号化後のファイルのハッシュ値、及びIRMクライアント公開鍵がIRMサーバに送信される。：ここでは、クライアントである利用者アカウントがファイルに対するアクセス権限をもっているかどうかのチェックはされないため、エラーにはならず、正常に行われると思われます。
• （ⅱ）IRMサーバでは、暗号化後のファイルのハッシュ値が参照され、利用者アカウントがファイルに対する権限をもっている場合に、IRMサーバ秘密鍵でコンテンツ鍵が復号される。：利用者アカウントがファイルに対する権限をもっているかどうかのチェックがあります。ここで離任者アカウントは権限がないためエラーとなり、以降の処理が実行されないと想定できます。

c：60、d：196

「また、その鍵を生成するためのPパスワードが文字種64種類で長さ10字とすると、Pパスワードの推測には最大で2の（c）乗の計算量が必要になる。」
文字種64種類で長さが10字である場合の全ての組み合わせは、64¹⁰＝（2⁶）¹⁰=2⁶⁰通りになります。

「以上から、IRM-Lによって保護されたファイルの解読はWソフトによって暗号化されたファイルの解読と比較して2の（d）乗倍の計算量が必要になるので、より安全だと考えられる。」
ファイルの解読について、Wソフトでは問題文の[設計秘密の管理]で、「Wソフトでは、パスワードを基に256ビットの鍵が生成され、その鍵を使って、ファイルがAESで暗号化される。ファイルを開くときには、パスワードの入力が求められる。設計秘密には、プロジェクト単位のPパスワードを使用する。」とあるように、Pパスワードによってファイルの解読ができ、それは前述のとおり2⁶⁰乗の計算量が必要となります。
一方、IRM-Lでのファイルの解読はどうなっているでしょうか。
図1（IRMの概要）の「4.IRMクライアントの起動とファイル保護の処理」に「ファイル単位に256ビットのコンテンツ鍵が生成され、ファイルはコンテンツ鍵で暗号化される。」、「5.保護されたファイルを開くときの処理」に「IRMクライアントでは、コンテンツ鍵で対象ファイルが復号される。」とあることから、コンテンツ鍵でファイルの解読ができそうです。
そして、図2（比較結果）に「コンテンツ鍵を総当たりで特定するには、最大で2の256乗の計算量が必要になる。」とあり、コンテンツ鍵特定の計算量は2²⁵⁶乗の計算量が必要となります。
したがって、IRM-LはWソフトと比較して、2²⁵⁶/2⁶⁰=2^256-60＝2¹⁹⁶倍の計算量が必要になります。

ｅ：辞書、f：多要素認証

「しかし、利用者IDとパスワードによる認証だけでは、推測が容易なパスワードを利用者が設定してしまうと、長さが10字であったとしても（ｅ）攻撃に対して脆弱となるので、（f）への変更が可能か検討することにした。」
推測が容易なパスワードへの攻撃としては、辞書攻撃が該当します。
「利用者IDとパスワードによる認証だけ」とあるように、これらは知識情報のみを使う認証方式です。
認証を強化するには、知識情報だけではなく、スマートフォンやトークンを利用した所持情報や、指紋や虹彩などを利用した生体認証を組み合わせた多要素認証が必要です。