【情報処理安全確保支援士試験 令和5年度 春期 午後1 問3 No.1】
情報処理安全確保支援士試験 令和5年度 春期 午後1 問3
【出典:情報処理安全確保支援士試験 令和5年度 春期 午後1 問3(一部、加工あり)】
問3 クラウドサービス利用に関する次の記述を読んで、設問に答えよ。
Q社は、従業員1,000名の製造業であり、工場がある本社及び複数の営業所から成る。Q社には、営業部、研究開発部、製造部、総務部、情報システム部がある。Q社のネットワークは、情報システム部のK部長とS主任を含む6名で運用している。
Q社の従業員にはPC及びスマートフォンが貸与されている。PCの社外持出しは禁止されており、PCのWebブラウザからインターネットへのアクセスは、本社のプロキシサーバを経由する。Q社では、業務でSaaS-a、SaaS-b、SaaS-c、SaaS-dという四つのSaaS、及びLサービスというIDaaSを利用している。Q社のネットワーク構成を図1に、図1中の主な構成要素並びにその機能概要及び設定を表1に示す。
[Lサービスの動作確認]
Q社のPCがSaaS-aにアクセスするときの、SP-Initiated方式のSAML認証の流れを図2に示す。
ある日、同業他社のJ社において、SaaS-aの偽サイトに誘導されるというフィッシング詐欺にあった結果、SaaS-aに不正アクセスされるという被害があったと報道された。しかし、Q社の設定では、仮に、同様のフィッシング詐欺のメールを受けてSaaS-aの偽サイトにLサービスの利用者IDとパスワードを入力してしまう従業員がいたとしても、①攻撃者がその利用者IDとパスワードを使って社外からLサービスを利用することはできない。したがって、S主任は、報道と同様の被害にQ社があうおそれは低いと考えた。
a:Lサービス、b:PCのWebブラウザ、c:SaaS-a
図2(SAML認証の流れ)は、SP-Initiated方式のSAML認証の流れとあります。
SAML(Security Assertion Markup Language)はシングサインオン(SSO)の規格の一つで、利用者の認証や認可に関する情報をやり取りするXMLベースの言語です。
SAMLでは、サービスを提供するSP(Service Provider)、認証を行うIdP(Identity Provider)により構成され、SPがSAML認証の開始となるSP-Initiated方式と、IdPがSAML認証の開始となるIdP-Initiated方式とがあります。
今回の場合、SPはSaaS-a、IdPはIDaaSであるLサービスとなり、SAML認証の開始はSP(SaaS-a)となります。
図2で、⑴サービス要求を行うのはPCのWebブラウザからSP(SaaS-a)への通信であり、SP(SaaS-a)は⑵認証要求(リダイレクト指示)でSAML認証を開始します。
⑶認証要求はPCのWebブラウザからIdP(Lサービス)にリダイレクトされ、PCのWebブラウザとIdP(Lサービス)間で⑷利用者の認証が行われます。
そして、IdP(Lサービス)からPCのWebブラウザに⑸認証応答(リダイレクト指示)がなされ、⑹認証応答がPCのWebブラウザからSP(SaaS-a)にリダイレクトされ、⑺サービス応答となります。
下線①について、利用できない理由を40字以内で具体的に答えよ。:送信元制限機能で、本社のUTMからのアクセスだけを許可しているから
「しかし、Q社の設定では、仮に、同様のフィッシング詐欺のメールを受けてSaaS-aの偽サイトにLサービスの利用者IDとパスワードを入力してしまう従業員がいたとしても、①攻撃者がその利用者IDとパスワードを使って社外からLサービスを利用することはできない。」
J社での被害は、「ある日、同業他社のJ社において、SaaS-aの偽サイトに誘導されるというフィッシング詐欺にあった結果、SaaS-aに不正アクセスされるという被害があったと報道された。」とあり、偽サイトにSaaS-aのアカウント情報を入力してしまったことで、攻撃者がそのアカウント情報を使用してSaaS-aに不正アクセスされてしまったようです。
Q社の場合、攻撃者がアカウント情報を使用して、社外からLサービスを利用することはできないとのことですが、Q社の設定を確認していきます。
表1で構成要素がLサービスの機能を確認します。
すると、送信元制限機能に「契約した顧客が設定したIPアドレスからのアクセスだけを許可する。それ以外のアクセスの場合、拒否するか、Lサービスの多要素認証機能を動作させるかを選択できる。」とあり、注2に「本社のUTMのグローバルIPアドレスを送信元IPアドレスとして設定している。設定しているIPアドレス以外からのアクセスは拒否する設定にしている。」とあります。
したがって、このLサービスの送信元制限機能によって本社のUTMからのアクセスだけを許可しているため、攻撃者による不正アクセスはできないことになります。