情報処理安全確保支援士試験 令和5年度 春期 午後2 問2
【出典:情報処理安全確保支援士試験 令和5年度 春期 午後2 問2(一部、加工あり)】
[機能拡張の計画開始]
W社は、サービス拡大のために、機能を拡張した日記サービス(以下、新日記サービスという)の計画を開始した。新日記サービスの要件は次のとおりである。
要件1:会員が記事を投稿する際、他社のSNSにも同時に投稿できること
要件2:スマートフォン用のアプリ(以下、スマホアプリという)を提供すること
W社は、要件1を実装した後で要件2に取り組むことに決めた。その上で、要件1を実現するために、T社のSNS(以下、サービスTという)と連携することにした。
[サービスTとの連携の検討]
OAuth 2.0を利用してサービスTと連携した場合のサービス要求から記事投稿結果取得までの流れを図3に、送信されるデータを表8に示す。
各リクエストの通信でTLS1.2及びTLS1.3を利用可能とするために、②暗号スイートの設定をどのようにすればよいかを検討した。また、サービスTとの連携のためのモジュール(以下、Rモジュールという)の実装から単体テストまでをF社に委託することにした。F社は、新技術を積極的に活用しているIT企業である。
m:新日記サービス、n:サービスT、o:サービスT
「(m)のWebサーバ」「(n)の認可サーバ」「(o)のリソースサーバ」
問題文の記述「要件1:会員が記事を投稿する際、他社のSNSにも同時に投稿できること」、「その上で、要件1を実現するために、T社のSNS(以下、サービスTという)と連携することにした。」と合わせて考えます。
最初にWebブラウザが(1)サービス要求を行うのは、新日記サービスのWebサーバでよさそうです。
そして、新日記サービスはサービスTとで連携するということで、(3)認可要求〜(6)認可コードのやり取りでWebブラウザを介してサービスTの認可サーバから認可コードを受領します。
その後、新日記サービスのWeサーバが(7)アクセストークン要求〜(8)アクセストークン応答でサービスTの認可サーバと、(9)記事投稿〜(10)記事投稿結果取得でサービスTのリソースサーバとやり取りします。
p:(3)、q:(7)
表8の送信されるデータを確認すると、(p)がGETメソッド、(q)がPOSTメソッドです。
(p)のGETメソッドでは、response_type、client_id、redirect_uriがあります。
client_idがサービスTに対して提示するもの、redirect_uri=△△△.com/callbackが新日記サービスへリダイレクトを示している((5)の基になる)ことから、(3)の認可要求であることが分かります。
(q)のPOSTメソッドでは、tokenがあることから(7)のアクセストークン要求であることが分かります。
下線②について、CRYPTRECの”電子政府推奨暗号リスト(令和4年3月30日版)”では利用を推奨していない暗号技術が含まれるTLS1.2の暗号スイートを、解答群の名から全て選び、記号で答えよ。:ウ、エ
(解答群)
ア TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
イ TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
ウ TLS_RSA_WITH_3DES_EGC_CBC_SHA
エ TLS_RSA_WITH_RC4_128_MD5
「各リクエストの通信でTLS1.2及びTLS1.3を利用可能とするために、②暗号スイートの設定をどのようにすればよいかを検討した。」
TLSの最新バージョンはTLS1.3で、その前のバージョンであるTLS1.2から3DES、RC4、SHA1、MD5のような危殆化(←計算能力の向上によって安全性が十分ではない)した古い暗号化アルゴリズムが削除されました。