サイトアイコン やさしいネットワークとセキュリティ

【情報処理安全確保支援士試験 令和5年度 春期 午後1 問3 No.3】

情報処理安全確保支援士試験 令和5年度 春期 午後1 問3

【出典:情報処理安全確保支援士試験 令和5年度 春期 午後1 問3(一部、加工あり)】

[ネットワーク構成の見直し]
 S主任は、Pサービスを導入する場合のQ社のネットワーク構成を図3に、表2の要件を満たすためのネットワーク構成の見直し案を表4にまとめて表2の要件を満たすネットワーク構成が可能であることをK部長に説明した。

 その後、表4のネットワーク構成の見直し案が上層部に承認され、Pサービスの導入と新しいネットワーク構成への変更が行われ、6か月後に在宅勤務が開始された。

下線②について、見直し前と見直し後のアクセス方法の違いを、30字以内で答えよ。:プロキシサーバではなく、Pサービスを経由させる。

②営業所からインターネットへのアクセス方法を見直す。
 営業所からインターネットへのアクセス方法について、見直し前の説明としては「PCの社外持出しは禁止されており、PCのWebブラウザからインターネットへのアクセスは、本社のプロキシサーバを経由する。」とありました。
 Pサービスを導入する背景としては、「Q社は、全従業員を対象に在宅勤務を導入することになった。そこで、リモート接続用PC(以下、R-PCという)を貸与し、各従業員宅のネットワークから本社のサーバにアクセスしてもらうことにした。しかし、在宅勤務導入によって新たなセキュリティリスクが生じること、また、本社への通信が増えて本社のインターネット回線がひっ迫することが懸念された。」とあるように、在宅勤務での課題に対し、Pサービスの機能によって対応しようとしています。
 そして、見直し前の構成(図1)と見直し後の構成(図3)を比較すると、プロキシサーバがなくなっていて、R-PC、Pサービス、Pコネクタが追加されています。

 したがって、見直し後の営業所からインターネットへのアクセス方法は、プロキシサーバ経由からPサービス経由に変更となることが分かります。

下線③について、Lサービスに追加する設定を40字以内で答えよ。:送信元制限機能で、営業所のグローバルIPアドレスを設定する。

Lサービスでの送信元制限機能は有効にしたまま、③営業所からLサービスにアクセスできるように設定を追加する。
 Lサービスの送信元制限機能については、表1の注2に「本社のUTMのグローバルIPアドレスを送信元IPアドレスとして設定している。設定しているIPアドレス以外からのアクセスは拒否する設定にしている。」とあります。

 営業所からのインターネットアクセスが本社を経由せず、直接Pサービスを経由することになるため、このままではLサービスを利用できません。
 そして、Pサービスの機能としては、表3にLサービス連携機能「Lサービスの送信元制限機能には、Pサービスに接続してきた送信元のIPアドレスが通知される。」とあります。

 したがって、Lサービスの送信元制限機能としては、本社のUTMのグローバルIPアドレスに加え、営業所のUTMのグローバルIPアドレスを追加設定する必要があります。

下線④について、選択する方式を、表1中の(ア)、(イ)から選び、記号で答えよ。:(イ)

さらに、多要素認証を有効にして、④方式を選択する
 Lサービスの多要素認証については、表1に記載されていて、「(ア)スマートフォンにSMSでワンタイムパスワードを送り、それを入力させる方式」」「(イ)TLSクライアント認証を行う方式」とあります。
 (ア)のワンタイムパスワードを用いる方式では、ワンタイムパスワードさえ合っていればデバイスは問いません。
 表2の要件2「Lサービスに接続できるPCを、本社と営業所のPC及びR-PCに制限する。」とあり、R-PC以外からもアクセス可能となってしまう方式は利用できません。
 (イ)のTLSクライアント認証では、クライアント証明書をデバイスにセットする必要があるため、R-PCのみアクセスさせることが可能です。

h:6、i:2

要件3:表3の項番(h)の機能を使う。
要件4:表3の項番(i)の機能を使う。
 要件3「R-PCから本社のサーバにアクセスできるようにする。ただし、UTMのファイアウォール機能には、インターネットからの通信を許可するルールを追加しない。」とあるように、R-PCから直接本社のサーバにアクセスすることはできません。
 そこで、Pサービスで使えそうな機能を表3から探すと、項番6の「リモートアクセス機能:Pコネクタを社内に導入することによって、社内と社外の境界にあるファイアウォールの設定を変更せずに社外から社内にアクセスできる」が利用できそうです。
 要件4「HTTPS通信の内容をマルウェアスキャンする。」については、項番2の「マルウェアスキャン機能:送信元からTLS通信を終端し、復号してマルウェアスキャンを行う。マルウェアスキャンの完了後、再暗号化して送信先に送信する。これを実現するために、Pサービスのサーバ証明書を発行する認証局の証明書を、信頼されたルート証明書としてPCにインストールする。」が利用できそうです。

あ:4、い:3、j:https://△△△-a.jp/、k:研究開発部の従業員、l:許可、m:外部ストレージサービス、n:全て、o:禁止

 要件5は「SaaS-a以外の外部ストレージサービスへのアクセスは禁止とする。また、SaaS-aへのアクセスは業務で必要な最小限の利用者に限定する。」でした。
 表5の注記「番号の小さい順に最初に一致したルールが適用される。」に留意すると、番号1でSaaS-aへのアクセスを必要最小限の利用者に許可し、番号2で外部ストレージサービスへのアクセスを全社員に禁止する設定を行えばいいでしょう。
 番号1では、SaaS-a(図1の注より「https://△△△-a.jp/」)をURLで指定するため表3の項番4「URL単位フィルタリング機能」を使用し、利用者は図1の注記「四つのSaaSのうちSaaS-aは、研究開発部の従業員が使用する。それ以外のSaaSは、全従業員が使用する。」にあるように、研究開発部の従業員を許可します。
 番号2では、外部ストレージサービスを指定するため表3の項番3項「URLカテゴリ単位フィルタリング機能」を使用し、利用者IDは全てが対象で、禁止とします。

モバイルバージョンを終了