平成26年春期試験午後問題 問1

問1 情報セキュリティ

⇱問題PDF
営業支援サーバへのSSLの導入に関する次の記述を読んで,設問1~4に答えよ。
 P社は,コンピュータ関連製品の販売会社である。P社では,営業支援システムと販売管理システムを運用している。営業支援システムでは,製品資料,顧客情報,プレゼンテーション資料などが参照できる。営業支援システムは,販売管理システムと連携しており,在庫数の確認や在庫の引当てもできる。各システムは,それぞれのサーバで稼働している。
 P社では,全社員がノートPC(以下,PCという)を業務で使用している。営業員は,社内で営業支援サーバから各種資料をPCにダウンロードした後,PCを顧客先に持参して製品説明やプレゼンテーションなどを行っている。営業支援サーバへは,PCのブラウザを利用してアクセスしている。
 P社のシステム構成を図1に示す。
pm01_1.png
 P社では,情報システム部が許可したアプリケーションプログラムだけを,PCにインストールさせている。PCは,社内LANに接続されたときにPC管理サーバにアクセスして,ウイルス対策ソフトの最新のパターンファイル,及びOSとアプリケーションプログラムのセキュリティパッチを適用する。
 最近,営業員から,最新の在庫数の確認や在庫の引当てを社外からも行えるようにしてほしいとの要望が強くなった。そこで,情報システム部のQ課長は,営業支援システムをインターネット経由で利用できるようにするために,SSLの導入についての検討を,サーバ運用担当のR君に指示した。指示を受けたR君は,まず,SSLについて調査した。

〔SSLの機能概要〕
 インターネットはオープンなネットワークなので,多くの脅威が存在する。これらの脅威に対応するためにSSLが利用される。SSLでは,a,なりすまし及びbに対する対応策が提供される。
 a防止は,公開鍵暗号方式と共通鍵暗号方式を組み合わせて実現される。なりすまし防止は,サーバ認証とクライアント認証によって行われる。送受信されるメッセージのb検知は,メッセージの中に埋め込まれる,MAC(Message Authentication Code)を基に行われる。

 R君は,社外から営業支援サーバへのアクセスをSSLで行えば,営業支援システムの安全な利用が可能になると考え,営業支援サーバへのSSLの導入方法の検討を行うことにした。

〔クライアント認証の検討〕
 営業支援サーバには,信頼できる認証機関によって発行されたサーバ証明書を導入して,営業支援サーバの正当性を証明する。
 営業支援サーバにSSLを導入しても,社外から営業支援サーバへのアクセスが不特定のPCによって行われると,新たなセキュリティリスクが発生してしまう。そこで,R君は,社外から営業支援サーバにアクセスするときに,利用者IDとパスワードによる認証に加えて,SSLがもつ,クライアント証明書を用いたクライアント認証機能も利用することを考えた。クライアント認証には,クライアント証明書をインストールしたICカードやUSBトークンを利用することができるが,今回はこれらを利用せず,①クライアント証明書をPC自体にインストールする方式を採用することにした

〔営業支援サーバを社外に公開する構成〕
 次に,R君は,営業支援サーバを社外に公開する構成について検討した。
 R君が考えた営業支援サーバを社外に公開するための二つの構成案を図2に示す。案1は,営業支援サーバにSSLを導入して,DMZに移設するものであり,案2は,SSLを導入したリバースプロキシサーバを,新規にDMZに設置するものである。
pm01_2.png
 二つの案について検討した結果,案1と案2には,それぞれ,次の対応が必要になることが分かった。
 案1では,新たな機器の導入は不要だが,三つの作業が必要になる。一つ目は,営業支援サーバにSSLを導入する作業,二つ目は,営業支援サーバをDMZに移設する作業,三つ目は,②営業支援サーバにアクセスする全てのPCに対する作業である
 案2では,二つの作業が必要になる。一つ目は,社外から営業支援サーバにアクセスする全てのPCに対する,案1と同様の作業であり,二つ目は,SSLを導入したリバースプロキシサーバを新規に構築してDMZに設置する作業である。
 また,案1,案2ともに,インターネットからのDoS攻撃によって,サービスの提供が不能になるリスクがあるが,③案1と比較すると案2の被害は限定的である
 R君は,これらの検討結果を基に,案2を採用することにした。
 案2を採用すると,FWで新たに通過を許可しなければならない通信が発生する。P社が導入しているFWは,ステートフルインスペクション機能をもつので,FWが最初に受信して通過させるパケットの内容の設定だけで済む。案2を採用する場合に,FWに追加が必要なフィルタリングルールを表1に示す。
pm01_3.png
 R君は,以上の検討結果をQ課長に報告したところ,クライアント証明書の発行と運用についての追加検討を指示された。

〔クライアント証明書の発行と運用〕
 クライアント証明書は,P社内だけで使用するものなので,リバースプロキシサーバのデジタル証明書発行機能を利用して発行することにした。発行した証明書は,クライアント認証の目的を確実に達成するために,社外に持ち出して営業支援サーバにアクセスする全てのPCに,情報システム部の担当者が直接インストールすることにした。
 R君は,検討結果をQ課長に報告したところ,証明書の有効期限の満了によって社外から営業支援システムが利用できなくなったり,④PCの盗難や紛失が発生したりすることがあるので,PC管理台帳を作成して,間違いのない運用ができるようにしなければならないとの指摘があった。そこで,R君は,PC管理台帳で,証明書の発行日,有効期限,証明書の識別情報,使用者,インストールしたPCの情報などに加えて,証明書が有効かどうかを示す情報も併せて管理することにした。

 R君は,以上の検討結果を基に,SSL導入の実施策をまとめ,Q課長に報告した。Q課長は,実施策に問題がないことを確認できたので具体的な作業を進めるようR君に指示した。

設問1

本文中のabに入れる適切な字句を答えよ。

解答例・解答の要点

a:盗聴
b:改ざん

解説

SSL/TLSの機能といえば、通信の暗号化、改ざん検出、ノード認証の3つということを踏まえて適当な語句を考えていきます。

aについて〕
設問中の「a防止は,公開鍵暗号方式と共通鍵暗号方式を組み合わせて実現される」という記述より、この一文はSSL/TLSで採用されているハイブリッド暗号方式のことを説明していることが分かります。暗号化通信によって防止できることといえば盗聴です。

a=盗聴

bについて〕
設問中の「メッセージのb検知は、メッセージ中のに埋め込まれるMACを基に行われる」という記述に注目します。
MAC(Message Authentication Code)は、通信内容の改ざんの有無を検証し、完全性を保証するために通信データから生成される固定長のビット列です。SSL/TLSの機能、およびMACの目的から考えるとbには改ざんが入ります。

b=改ざん

設問2

本文中の下線①の方法によるクライアント認証の目的を,30字以内で述べよ。

解答例・解答の要点

営業支援システムを利用できるPCを限定するため (23文字)

解説

設問中にも指摘があるように、営業支援サーバが社外の不特定多数のPCからアクセス可能になっていると、不正アクセスや情報漏えいの危険性が高まります。

SSL/TLSにはクライアント証明書を使用したクライアント認証の機能があり、認証されたクライアントのみがサーバと通信を行えるようにできます。上記のセキュリティリスクを踏まえると、PCへのクライアント証明書のインストールは、社外から営業支援サーバにアクセスできるPCを限定する(不特定多数からのアクセスを禁止する)ために行われると判断できます。

∴営業支援システムを利用できるPCを限定するため

設問3

〔営業支援サーバを社外に公開する構成〕について,(1)~(3)に答えよ。
  • 本文中の下線②の作業内容を,20字以内で答えよ。
  • 本文中の下線③で,案2の方が営業支援サーバ利用における被害が限定的となる理由を,25字以内で述べよ。
  • 表1中の項番1,2において,各項番のフィルタリングルールで通過が許可されるパケットのTCPの上位層のプロトコルを答えよ。

解答例・解答の要点

  • クライアント証明書のインストール (16文字)
  • 社内LANからの利用には被害が及ばないから (21文字)
  • 項番1:HTTPS
    項番2:HTTP

解説

  • 案1,2のどちらでも必要な「営業支援サーバにアクセスするすべてのPCの対する作業」という条件、および「クライアント証明書をPC自体にインストールする方式を採用した」という記述に注目します。どちらの案でも社外から行われる不特定多数からのアクセスは禁止しなければならないことは同じであるため、クライアント証明書のインストール作業が適切です。

    ∴クライアント証明書のインストール

  • [案1]ではDoS攻撃によりDMZ上の営業支援サーバがダウンします。営業支援サーバがダウンすると、まず社外から営業支援システムへのアクセスができなくなります。さらに設問中の「営業支援システムは,販売管理システムと連携しており…」という記述から、営業支援サーバのダウンが、販売管理システムの稼働に影響を与え、P社の業務遂行に支障が出ると考えられます。

    [案2]ではDoS攻撃によりDMZ上のリバースプロキシサーバがダウンします。リバースプロキシサーバがダウンすると、社外からのアクセスが中継されなくなるため社外から営業支援システムへのアクセスができなくなります。しかし案1の場合と異なり、営業支援サーバは稼働を続けるためP社の社内LANへの影響はありません。

    このため[案2]の構成では[案1]と比べてDMZに設置する公開サーバがサービス停止になった場合の被害が限定的に留まります。

    ∴社内LANからの利用には被害が及ばないから

  • 〔項番1について〕
    項番1は、社外の任意のPCからリバースプロキシサーバへのパケットを許可するルールです。リバースプロキシサーバと社外PCとの通信はSSL/TLSで行われること、および 443/TCP はHTTPSが使用するポートであることから上位プロトコルはHTTPSとわかります。

    ∴HTTPS

    項番2は、リバースプロキシサーバから営業支援サーバへのパケットを許可するルールです。リバースプロキシサーバは社外PCからのリクエストを受けとり営業支援サーバに代理でアクセスしますが、営業支援サーバにはサーバ証明書がインストールされている訳ではないため、リバースプロキシサーバ-営業支援サーバ間のやり取りは通常のHTTP通信になると考えられます。また 80/TCP はHTTPが使用するポートであることからも上位プロトコルはHTTPとわかります。

    ∴HTTP
pm01_4.png

設問4

本文中の下線④が発生したとき,営業支援システムの不正利用を防ぐために,クライアント証明書に対して実施すべき対応策は何か。25字以内で述べよ。

解答例・解答の要点

当該PCのクライアント証明書を失効させる (20文字)

解説

PCの紛失や盗難が発生した場合、通常は以下の事後対応をとります。
  • PCを遠隔ロックする
  • ログイン用パスワードを変更する
  • 警察に被害届を出す
  • 顧客情報が保存されている場合は顧客に知らせる
しかし、この設問ではクライアント証明書に対して実施することを問うているため、これに限定して考えます。

営業支援システムを利用するにはクライアント証明書がインストールされたPCを使用して、正しいIDとパスワードの組合せを入力する必要があります。つまり、クライアント証明書が無効であれば営業支援システムにはアクセスできません。運用予定のPC管理台帳では、証明書をインストールしたPC、PCの使用者、証明書の識別情報、証明書の有効・無効などの情報が管理されるため、PC管理台帳をもとに該当する証明書を失効させる手続きをとることが可能です。
この措置によって紛失・盗難が発生したPCを悪用した営業支援システムへの不正アクセスを防止できます。

∴当該PCのクライアント証明書を失効させる
模範解答

Pagetop