情報処理安全確保支援士試験 令和5年度 春期 午後1 問3
【出典:情報処理安全確保支援士試験 令和5年度 春期 午後1 問3(一部、加工あり)】
[在宅勤務導入における課題]
Q社は、全従業員を対象に在宅勤務を導入することになった。そこで、リモート接続用PC(以下、R-PCという)を貸与し、各従業員宅のネットワークから本社のサーバにアクセスしてもらうことにした。しかし、在宅勤務導入によって新たなセキュリティリスクが生じること、また、本社への通信が増えて本社のインターネット回線がひっ迫することが懸念された。そこで、K部長は、ネットワーク構成を見直すことにし、その要件を表2にまとめた。
K部長がベンダーに相談したところ、R-PC、社内、クラウドサービスの間の通信を中継するP社のクラウドサービス(以下、Pサービスという)の紹介があった。Pサービスには、次のいずれかの方法で接続する。
- IPsecに対応した機器を介して接続する方法
- PサービスのエージェントソフトウェアをR-PCに導入し、当該ソフトウェアによって接続する方法
Pサービスの主な機能を表3に示す。
K部長は、Pサービスの導入によって表2の要件を満たすネットワーク構成が可能かどうかを検討するようにS主任に指示した。
d:Pサービスのサーバ証明書、e:認証局の証明書、f:信頼されたルート証明書
「送信元からのTLS通信を終端し、復号してマルウェアスキャンを行う。マルウェアスキャンの完了後、再暗号化して送信先に送信する。これを実現するために、(d)を発行する(e)を、(f)として、PCにインストールする。」
PサービスはR-PC、社内、クラウドサービスの間の通信を中継するもので、TLS通信のマルウェアスキャンを行うために復号して、再暗号化する必要があります。
具体的には、R-PC・社内のクライアントとPサービス間と、Pサービスとクラウドサービス間の二つのTLS通信となります。
このうち、最初のR-PC・社内のクライアントとPサービス間では、TLC通信で必要なPサービスのサーバ証明書をクライアントが利用可能とする準備が必要となります。
そのためには、Pサービスのサーバ証明書を発行する認証局の証明書(これもPサービス自身が発行)を、クライアントの信頼されたルート証明書としてセットします。
g:CASB
「中継する通信のログを基に、クラウドサービスの利用状況の可視化を行う。本機能は、(g)の機能の一つである。」
クラウドサービスの利用状況の可視化によって、許可しない不適切なクラウドサービス利用、いわゆるシャードITを検知するサービスをCASB(Cloud Access Security Broker)といいます。