情報処理安全確保支援士試験 令和5年度 春期 午後1 問3
【出典:情報処理安全確保支援士試験 令和5年度 春期 午後1 問3(一部、加工あり)】
[ネットワーク構成の見直し]
S主任は、Pサービスを導入する場合のQ社のネットワーク構成を図3に、表2の要件を満たすためのネットワーク構成の見直し案を表4にまとめて表2の要件を満たすネットワーク構成が可能であることをK部長に説明した。
その後、表4のネットワーク構成の見直し案が上層部に承認され、Pサービスの導入と新しいネットワーク構成への変更が行われ、6か月後に在宅勤務が開始された。
下線②について、見直し前と見直し後のアクセス方法の違いを、30字以内で答えよ。:プロキシサーバではなく、Pサービスを経由させる。
「②営業所からインターネットへのアクセス方法を見直す。」
営業所からインターネットへのアクセス方法について、見直し前の説明としては「PCの社外持出しは禁止されており、PCのWebブラウザからインターネットへのアクセスは、本社のプロキシサーバを経由する。」とありました。
Pサービスを導入する背景としては、「Q社は、全従業員を対象に在宅勤務を導入することになった。そこで、リモート接続用PC(以下、R-PCという)を貸与し、各従業員宅のネットワークから本社のサーバにアクセスしてもらうことにした。しかし、在宅勤務導入によって新たなセキュリティリスクが生じること、また、本社への通信が増えて本社のインターネット回線がひっ迫することが懸念された。」とあるように、在宅勤務での課題に対し、Pサービスの機能によって対応しようとしています。
そして、見直し前の構成(図1)と見直し後の構成(図3)を比較すると、プロキシサーバがなくなっていて、R-PC、Pサービス、Pコネクタが追加されています。
したがって、見直し後の営業所からインターネットへのアクセス方法は、プロキシサーバ経由からPサービス経由に変更となることが分かります。
下線③について、Lサービスに追加する設定を40字以内で答えよ。:送信元制限機能で、営業所のグローバルIPアドレスを設定する。
「Lサービスでの送信元制限機能は有効にしたまま、③営業所からLサービスにアクセスできるように設定を追加する。」
Lサービスの送信元制限機能については、表1の注2に「本社のUTMのグローバルIPアドレスを送信元IPアドレスとして設定している。設定しているIPアドレス以外からのアクセスは拒否する設定にしている。」とあります。
営業所からのインターネットアクセスが本社を経由せず、直接Pサービスを経由することになるため、このままではLサービスを利用できません。
そして、Pサービスの機能としては、表3にLサービス連携機能「Lサービスの送信元制限機能には、Pサービスに接続してきた送信元のIPアドレスが通知される。」とあります。
したがって、Lサービスの送信元制限機能としては、本社のUTMのグローバルIPアドレスに加え、営業所のUTMのグローバルIPアドレスを追加設定する必要があります。
下線④について、選択する方式を、表1中の(ア)、(イ)から選び、記号で答えよ。:(イ)
「さらに、多要素認証を有効にして、④方式を選択する。」
Lサービスの多要素認証については、表1に記載されていて、「(ア)スマートフォンにSMSでワンタイムパスワードを送り、それを入力させる方式」」「(イ)TLSクライアント認証を行う方式」とあります。
(ア)のワンタイムパスワードを用いる方式では、ワンタイムパスワードさえ合っていればデバイスは問いません。
表2の要件2「Lサービスに接続できるPCを、本社と営業所のPC及びR-PCに制限する。」とあり、R-PC以外からもアクセス可能となってしまう方式は利用できません。
(イ)のTLSクライアント認証では、クライアント証明書をデバイスにセットする必要があるため、R-PCのみアクセスさせることが可能です。
h:6、i:2
「要件3:表3の項番(h)の機能を使う。」
「要件4:表3の項番(i)の機能を使う。」
要件3「R-PCから本社のサーバにアクセスできるようにする。ただし、UTMのファイアウォール機能には、インターネットからの通信を許可するルールを追加しない。」とあるように、R-PCから直接本社のサーバにアクセスすることはできません。
そこで、Pサービスで使えそうな機能を表3から探すと、項番6の「リモートアクセス機能:Pコネクタを社内に導入することによって、社内と社外の境界にあるファイアウォールの設定を変更せずに社外から社内にアクセスできる」が利用できそうです。
要件4「HTTPS通信の内容をマルウェアスキャンする。」については、項番2の「マルウェアスキャン機能:送信元からTLS通信を終端し、復号してマルウェアスキャンを行う。マルウェアスキャンの完了後、再暗号化して送信先に送信する。これを実現するために、Pサービスのサーバ証明書を発行する認証局の証明書を、信頼されたルート証明書としてPCにインストールする。」が利用できそうです。
あ:4、い:3、j:https://△△△-a.jp/、k:研究開発部の従業員、l:許可、m:外部ストレージサービス、n:全て、o:禁止
要件5は「SaaS-a以外の外部ストレージサービスへのアクセスは禁止とする。また、SaaS-aへのアクセスは業務で必要な最小限の利用者に限定する。」でした。
表5の注記「番号の小さい順に最初に一致したルールが適用される。」に留意すると、番号1でSaaS-aへのアクセスを必要最小限の利用者に許可し、番号2で外部ストレージサービスへのアクセスを全社員に禁止する設定を行えばいいでしょう。
番号1では、SaaS-a(図1の注より「https://△△△-a.jp/」)をURLで指定するため表3の項番4「URL単位フィルタリング機能」を使用し、利用者は図1の注記「四つのSaaSのうちSaaS-aは、研究開発部の従業員が使用する。それ以外のSaaSは、全従業員が使用する。」にあるように、研究開発部の従業員を許可します。
番号2では、外部ストレージサービスを指定するため表3の項番3項「URLカテゴリ単位フィルタリング機能」を使用し、利用者IDは全てが対象で、禁止とします。