情報処理安全確保支援士2018年(平成30年)秋午後2問1(6,020 文字)

問題冊子、解答例、採点講評はこれ
またIPAがリダイレクト設定せずにURL変えたりしなければつながるはずです

本文(設問1)

本文要約(設問1)

① X社は日本、米国、欧州で事業を行う重要インフラ製造業で、システムはサーバ、ネットワーク機器、PCで構成される。日本国内のネットワーク論理構成は図1の通り。
② 従業員が社内PCやWindowsの業務サーバ、人事サーバにログオンするときは認証サーバA1、Webブラウザを用いてLinux、UNIXの業務サーバにログオンするときは認証サーバB1による利用者認証が行われる。A1は人事サーバと連携しており、人事サーバの従業員情報を日次で反映する。B1はA1のLDAPサービスを利用している。
③ X社のシステムは基本要件として、情報セキュリティ標準と各国と地域の輸出管理規制と各国及び各地域の個人情報保護に関する法規制の3つに準拠することが求められる。
④ 基本要件の具体的な内容は以下の1⃣～7⃣
1⃣R&D情報は物理的入退室管理のなされたプロジェクトルーム内にあるプロジェクト専用PCからのみアクセス
2⃣プロジェクト専用サーバはプロジェクトルーム内のプロジェクト専用PCからのみアクセス
3⃣生産関連サーバは工場とデータセンタに配置
4⃣生産関連サーバは事業継続のためにバックアップを他工場やデータセンタに配置
5⃣輸出管理規制準拠のために同じ設備を製造する工場や生産管理サーバは同じ国や地域の2か所以上に配置(日本なら東西のシステムに分けてそれぞれのデータセンタにサーバを配置する)
6⃣システム機器にプライベートIPを割当
7⃣社外ネットワークとX社社内ネットワークの接続はX社管理のFWとIPSを介してFWで業務上必要な通信のみを許可してIPSとセキュリティベンダの監視サービスで攻撃が疑われる通信を検知遮断するようにして行う。
⑤ システムのクラウド環境への移行を以下の方針1, 2に従い実施する。
方針1 : メールシステムをSaaS Qに、業務システムのうち2つをSaas Sに1年以内に移行する。各所とも同じ方針での移行だが、SaaS契約は現地で行う
方針2 : 他システムはクラウドベンダH社のIaaS Cの仮想マシン上に5年間で段階的移行する。移行できない又は移行すると基本要件を満たせないものは移行しない。IaaS Cの仮想マシン上に移行したサーバのOSやミドルウェア運用管理はSIベンダの運用サービスを用いる。
⑥ IaaS Cのサービス仕様は次の通り。
1⃣データセンタが日本1か所、海外60か所にあり、それらが高速閉域網で相互接続されており。データセンタ間通信は無料。
2⃣災害対策として日本のデータセンタが被災するとシンガポールのデータセンタでサービスが継続されるオプションがある。
3⃣ネットワークと仮想サーバはH社の情報セキュリティ標準準拠でセキュリティ管理されており、顧客には監査法人によるセキュリティ監査報告書が開示される。
4⃣予約されたプライベートIPは利用者が使用できない。

問題文(設問1)

解説(設問1)

欧州の個人情報保護に関する法規制は何かという知識問題
答えはGDPRでGeneral Data Protection Regulationだそうです。
答え GDPR

本文(設問2)

本文要約(設問2)

① 以下の条件のいずれかに該当するシステム及びサーバはIaaS Cに移行できないか移行すると基本要件を満たせないので、現状のままX社の工場、データセンタ、拠点の配置してシステム部門が運用業務を担当する
条件1 : IaaS Cの仮想サーバで稼働しないOSのサーバ
条件2 : プロジェクト専用サーバ
条件3 : X社が取り扱う幸神情報を管理するシステム
条件4 : 生産管理サーバ
② IaaS CとX社社内ネットワークとの接続はX社管理のFWとIPSを介して接続することとし、IaaS Cのサービス仕様上の制約から起こる問題回避のためにFWのNAT機能を用いて一部のアドレスを変換する。

問題文(設問2)

解説(設問2)

(1)はプロジェクト専用サーバをクラウド環境に移行したらなぜダメか。基本要件でプロジェクト専用サーバが出るのは1⃣R&D情報は物理的入退室管理のなされたプロジェクトルーム内にあるプロジェクト専用PCからのみアクセス2⃣プロジェクト専用サーバはプロジェクトルーム内のプロジェクト専用PCからのみアクセスの2つです。2⃣の方は別にプロジェクト専用PCでクラウドにアクセスすれば解決なので1⃣が問題なことがわかります。
答え R&D情報は、物理的な入退室管理が行われているプロジェクトルーム内に配置されたプロジェクト専用サーバに保管する。

本文(設問3)

本文要約(設問3)

① データセンタ、オンプレミス環境(データセンタ、工場、拠点のシステム環境)にIaaS C, SaaS Q, SaaS Sを加えたハイブリッドクラウド環境におけるID管理と利用者認証は以下のとおり行う。
1⃣ IaaS Cに配置するWindowsの業務サーバに従業員がアクセスする際には認証サーバA1と同じ製品を用いたA2をIaaS C環境に新たに配置して認証サーバとする。
2⃣ A2にはIaaS Cに配置するWindowsの業務サーバのコンピュータ情報と運用管理を行うJ社の運用管理要員の利用者情報を登録し、A1とSAML2.0プロトコルで通信する。
3⃣ 認証サーバB1をアップデートして、SPNEGOプロトコルによってB1がA1と通信してA1が発行するトークンで利用者認証を行う。
4⃣ SaaS QとSaaS SはB1とSAML2.0プロトコルで通信してB1が発行するトークンで利用者認証を行う。
② B1の配置として現行構成でオンプレミス環境にB1を配置(案1)とB1をIaaS Cに移行(案2)の2案があったが、以降初期では案1で通信データ量を勘案して案2に移行する時期を見極める。案1での論理構成は図2の通り。
③ X社の各所のデータセンタはVPN経由でIaaS Cのデータセンタにアクセスする。

問題文(設問3)

解説(設問3)

(1)はSAML2.0やSPNEGOの利点。SAMLといえばどこかでアクセスしたら周囲のシステムもログインしたことになるから便利という話でこれが答えなのですが、軽く説明を加えます。SPNEGO初めて聞いたし
SAML : サムル 詳細はこの問題でどうぞ
SPNEGO : スプネゴ SAML同様シングルサインオンを実現するもので、クライアントとサーバの両者が利用可能な認証方式を決定し接続してくれます。
答え 一度のログインで全システムにアクセスできるという利便性

(2)は認証サーバB1をIaaS Cに移行すると現行の図2と比べてどこの通信負荷が増えるかについて。アプデ後B1はA1と通信するのと同時にSaaS Q, Sとも通信します。また、B1はLinux(イ, オ)とUNIX(ウ)用でした。(設問1 ②)これが現行のキからIaaS Cに移ると今までは経由していなかったIPS, FW1, FW2(ク～サ)を経由するようになるのでこちらの負荷が増えます。そして、移行前はイ,ウへのアクセスは社内PC→B1→イ, ウで、オは社内PC→B1→ク～サ→オだったのが、移行後は社内PC→ク～サ→B1→サ～ク→イ, ウでオは社内PC→ク～サ→B1→オとなり、オはむしろ通信経路が短いまでありますがイ, ウは増えてますのでこれが答えです。
答え
業務サーバ : イ, ウ
構成要素 : ク, ケ, コ, サ

本文(設問4)

本文要約(設問4)

① X社の情報セキュリティ基準をNIST CSF(重要インフラのサイバーセキュリティを向上させるためのフレームワーク)を基に改定する。
② NIST CSFでは組織のサイバーセキュリティリスク管理策がNIST CSFで定義される特性の達成度をティア1～4(4が最高)で定義している。
③ 改定1 X社内のサーバやネットワーク機器の管理責任者、機種名、シリアル番号、OS、ファームウェアを含むソフトウェア製品名とバージョンなどを登録する構成管理システムの整備。クラウドサービスはシステム名、システム管理責任者、名称、X社で管理するソフトウェア製品名、バージョンなどを登録する。PCも使用者～バジョンなどを登録する。
④ 改定2 パッチ適用状況やセキュリティ設定パラメタの設定値を定期的にチェックする。パッチ未適用や設定値が基準に満たない場合は関係者に通知して1週間以内の是正を求める。基準はNISTのリストを参考にして決定する。
⑤ サーバからクラウドサービスのX社管理ソフトウェアまでの脆弱性情報が公開されたら重要度評価、重要度に応じた期限内にパッチ適用を求める。
⑥ SIベンダJ社からはサーバとPCで使用する標準ソフトウェアの一覧を運用サービス契約時に取り決めたうえで、以下のサービスの提案がなされた。
1⃣運用サービス1 : 標準ソフトウェアの脆弱性情報の日次収集
2⃣運用サービス2 : エンドポイント管理ソフトウェアDを導入してサービス1の情報を用いてプロジェクト専用PCとプロジェクト専用サーバ以外のサーバとPCの標準ソフトウェアのパッチ適用状況とセキュリティ設定の日次監視
⑦ 製品D仕様は以下の通り
1⃣ サーバやPCに導入されるエージェントソフトウェアと各エージェントソフトウェアが通信するサーバソフトウェアで構成
2⃣ エージェントソフトウェアがサーバやPCのパッチ適用状況、セキュリティ設定パラメタ設定値を収集してサーバソフトウェアに送信
3⃣ サーバソフトウェアの管理画面で必要なパッチ、パッチ未適用サーバやPCの一覧を見られる。パラメタ設定値についても同様
4⃣ 未適用サーバやPCの一覧からパッチ強制適用ができる。パラメタについても設定値を強制適用できる。

問題文(設問4)

解説(設問4)

(1)はNIST CSFのティアについて。ティア4が最高ってことなので、1→3になるにつれて強くなっていけばいいと思います。部分的にOK(イ)→1回はOK(ウ)→何度でもOK(ア)の順番ですね
なお、正確にはPartial(部分的である)→Risk Informed(リスク所法を活用している)→Repeatable(繰り返し適用可能である)→Adaptive(適応している)だそうです。
答え ティア1 : イ, ティア2 : ウ, ティア3 : ア
(2)は脆弱性情報の収集や適用状況確認が提供されるときに標準ソフトウェア以外があるとどうなるか?それの情報は収集されないからそれを起因とした何かトラブルが発生するかもしれません。
答え 標準ソフトウェア以外のソフトウェアは、脆弱性管理がされないという不都合
(3)は設定パラメタ管理を目視とツールでやった時の差異。すぐにできるし正確なことです。なんだこの問題 正答率が低かったらしいけどそりゃ簡単すぎて逆に勘繰られただけでは
答え 正確である 作業が早くできる

本文(設問5)

本文要約(設問5)

① テレワーク用のPCとスマートフォンを写真に支給することにするが、情報漏洩やマルウェア感染のリスクがあるので以下の対策を実施する。
1⃣ スマートフォンにはモバイル機器管理ソフトウェアである製品Fのエージェントソフトウェアを導入、パッチ適用状況とセキュリティ設定を監視し、パッチ適用とセキュリティ設定強制を実施
2⃣ VPNサーバとVPNクライアントを導入、モバイル端末にクライアント証明書を組み込む。社内システムやクラウド環境にアクセスする際にはVPNサーバでクライアント証明書を用いた端末認証を実施する。モバイル端末がX社データセンタに接続後、認証サーバB1で利用者認証、トークンが発行されれるとIaaS C, SaaS Q, Sにアクセスできるようになる。
② B1による利用者認証ではリスクベース認証機能が利用され、パッチ適用状況やセキュリティ設定に問題のあるモバイル端末からのアクセスは拒否する。
③ 再び負荷の観点からB1の配置を見直すべく、
案A : 現行構成でオンプレミス環境にB1を置く
案B : B1をIaaSに移行
案C : IaaS CにB1と同じ製品を用いたB2を配置、IaaS Cに配置されたLinuxの業務サーバ上で稼働するWebAPにアクセスする際の利用者認証に利用する。B2はオンプレミス環境のB1とSAML2.0で通信する。(B1がIdP, B2がSP)
の3案を検討し、案Cを採用することにした。

問題(設問5)

解答(設問5)

(1)はオンプレ環境にB1がある場合とIaaS CにB1がある場合とIaaS CにB2がある場合の違いについて。正直よくわからない
接続元はG,H,IでLinxという話なので相手はBかDの2択です。
答え 案A : H-D, I-D, 案B : G-B, H-B, I-B

(2)はSAML2.0の流れ。まずはスマートフォンがアクセス要求をトークン無しでSaaS Qに出すとB1のトークンを出せと怒られます(カ というか矢印の長さ的にこれしかない)。怒られたのでスマートフォンはVPNクライアントを起動し、まずはVPNに接続しようとします(ウ)。するとVPNはクライアント証明書を出せ(イ)と言うので、クライアント証明書を出します(ア)。VPNでクライアント証明書を検証してOKだったので、それをスマートフォンに返します。そしてスマートフォンはトークンの発行要求(オ)をします。トークン発行要求を受けたB1は本人認証のためにIDパスワードを要求します(ク)。IDパスワードを返す(キ)とB1からA1(人事サーバ関連)にそれが正しいかを聞いてOKだったので、次はパッチ適用状況などを確認してさらにOKならトークンが発行されます(エ)。そしてそのトークンをもってアクセス要求を再び行います。
矢印もあるし穴埋めの場所がすごいやさしいので知識の問題ではないです。
答え a : カ, b : ウ, c : イ, d : ア, e : オ, f : ク, g : キ, h : エ

終わりに

コロナ前なので実はテレワークだとかなんだとかはあんまり流行ってなかった時代 まあ出張先での使用は普通にあったからそこは馴染みがあるものか
うまく書けば今でも6割届いたかもしれない
とはいえ設問5の(1)がわかってないのは申し訳ないところ

主な参考サイト

SPNEGOとは【用語集詳細】
オンプレミスからハイブリッドクラウド移行におけるシングルサインオン、通信経路の高負荷【情報処理安全確保支援士試験 平成30年度 秋期 午後2 問1 No.3】
NIST サイバーセキュリティフレームワーク(CSF)とは