セキュリティ対策の見直しに関する次の記述を読んで,設問に答えよ。
M社は,L社の子会社であり,アパレル業を手掛ける従業員100名の会社である。M社のオフィスビルは,人通りの多い都内の大通りに面している。
昨年,M社の従業員が,社内ファイルサーバに保存していた秘密情報の商品デザインファイルをUSBメモリに保存し,競合他社に持ち込むという事件が発生した。この事件を契機として,L社からの指導でセキュリティ対策の見直しを進めている。既に次の三つの見直しを行った。
・USBメモリへのファイル保存を防ぐために,従業員に貸与するノートPC(以下,業務PCという)に情報漏えい対策ソフトを導入し,次のように設定した。
(1)USBメモリなどの外部記憶媒体の接続を禁止する。
(2)ソフトウェアのインストールを除いて,ローカルディスクへのファイルの保存を禁止する。
(3)会社が許可していないWebメールサービス及びクラウドストレージサービスへの通信を遮断する。
(4)会社が許可していないソフトウェアのインストールを禁止する。
(5)電子メール送信時のファイルの添付を禁止する。
・業務用のファイルの保存場所を以前から利用していたクラウドストレージサービス(以下,Bサービスという)の1か所にまとめ,設定を見直した。
・社内ファイルサーバを廃止した。
M社のオフィスビルには,執務室と会議室がある。執務室では従業員用無線LANが利用可能であり,会議室では,従業員用無線LANと来客用無線LANの両方が利用可能である。会議室にはプロジェクターが設置されており,来客が持ち込むPC,タブレット及びスマートフォン(以下,これらを併せて来客持込端末という)又は業務PCを来客用無線LANに接続することで利用可能である。
M社のネットワーク構成を図1に,その構成要素の概要を表1に,M社のセキュリティルールを表2に示す。
図1 M社のネットワーク構成
表1 構成要素の概要(抜粋)
表2 M社のセキュリティルール(抜粋)
FWのVLANインタフェース設定を表3に,FWのフィルタリング設定を表4に,AP-5の設定を表5に示す。
表3 FWのVLANインタフェース設定
表4 FWのフィルタリング設定
表5 AP-5の設定(抜粋)
〔Bサービスからのファイルの持出しについてのセキュリティ対策の確認〕
これまで行った対策の見直しに引き続き,Bサービスからのファイルの持出しのセキュリティ対策について,十分か否かの確認を行うことになった。そこで,情報システム部のYさんが,L社の情報処理安全確保支援士(登録セキスペ)であるS氏の支援を受けながら,確認することになった。2人は,社外の攻撃者による持出しと従業員による持出しのそれぞれについて,セキュリティ対策を確認することにした。
〔社外の攻撃者によるファイルの持出しについてのセキュリティ対策の確認〕
次は,社外の攻撃者によるBサービスからのファイルの持出しについての,YさんとS氏の会話である。
Yさん:来客用無線LANを利用したことのある来客者が,攻撃者としてM社の近くから来客用無線LANに接続し,Bサービスにアクセスするということが考えられないでしょうか。
S氏:それは考えられます。しかし,Bサービスにログインするには a と b が必要です。
Yさん:来客用無線LANのAPと同じ設定の偽のAP(以下,偽APという)及びBサービスと同じURLの偽のサイト(以下,偽サイトという)を用意し,DNSの設定を細工して, a と b を盗む方法はどうでしょうか。攻撃者が偽APをM社の近くに用意した場合に,M社の従業員が業務PCを偽APに誤って接続してBサービスにアクセスしようとすると,偽サイトにアクセスすることになり,ログインしてしまうことがあるかもしれません。
S氏:従業員がHTTPSで偽サイトにアクセスしようとすると,安全な接続ではないという旨のエラーメッセージとともに,偽サイトに使用されたサーバ証明書に応じて,図2に示すエラーメッセージの詳細の一つ以上がWebブラウザに表示されます。従業員は正規のサイトでないことに気付けるので,ログインしてしまうことはないと考えられます。
図2 エラーメッセージの詳細(抜粋)
Yさん:なるほど,理解しました。しかし,偽APに接続した状態で,従業員がWebブラウザにBサービスのURLを入力する際に,誤って“http://”と入力してBサービスにアクセスしようとした場合,エラーメッセージが表示されないのではないでしょうか。
S氏:大丈夫です。HSTSを有効にしてあるので,その場合でも,①先ほどと同じエラーメッセージが表示されます。
〔従業員によるファイルの持出しについてのセキュリティ対策の確認〕
次は,従業員によるBサービスからのファイルの持出しについての,S氏とYさんとの会話である。
S氏:ファイル共有機能では,上長はちゃんと宛先のメールアドレスとファイルを確認してから承認を行っていますか。
Yさん:確認できていない上長もいるようです。
S氏:そうすると,従業員は,②ファイル共有機能を悪用すれば,M社外からBサービスにあるファイルをダウンロード可能ですね。
Yさん:確かにそうです。
S氏:ところで,会議室には個人所有PCは持ち込めるのでしょうか。
Yさん:会議室への持込みは禁止していないので,持ち込めます。
S氏:そうだとすると,次の方法1と方法2のいずれかの方法を使って,Bサービスからファイルの持出しが可能ですね。
方法1:個人所有PCの無線LANインタフェースの e を業務PCの無線LANインタフェースの e に変更した上で,個人所有PCを従業員用無線LANに接続し,Bサービスからファイルをダウンロードし,個人所有PCごと持ち出す。
方法2:個人所有PCを来客用無線LANに接続し,Bサービスからファイルをダウンロードし,個人所有PCごと持ち出す。
〔方法1と方法2についての対策の検討〕
方法1への対策については,従業員用無線LANの認証方式としてEAP-TLSを選択し,③認証サーバを用意することにした。
次は,必要となるクライアント証明書についてのS氏とYさんの会話である。
S氏:クライアント証明書とそれに対応する f は,どのようにしますか。
Yさん:クライアント証明書は,CAサーバを新設して発行することにし,従業員が自身の業務PCにインストールするのではなく,ディレクトリサーバの機能で業務PCに格納します。 f は g しておくために業務PCのTPMに格納し,保護します。
S氏:④その格納方法であれば問題ないと思います。
方法2への対策については,次の二つの案を検討した。
・⑤FWのNATの設定を変更する。
・無線LANサービスであるDサービスを利用する。
検討の結果,Dサービスを次のとおり利用することにした。
・会議室に,Dサービスから貸与された無線LANルータ(以下,Dルータという)を設置する。
・Dルータでは,DHCPサーバ機能及びDNSキャッシュサーバ機能を有効にする。
・来客持込端末は,M社のネットワークを経由せずに,Dルータに搭載されているSIMを用いてDサービスを利用し,インターネットに接続する。
今まで必要だった,来客持込端末からDHCPサーバと h サーバへの通信は,不要になる。さらに,表5について不要になった設定を削除するとともに,⑥表3及び表4についても,不要になった設定を全て削除する。また,プロジェクターについては,来客用無線LANを利用せず,HDMIケーブルで接続する方法に変更する。
YさんとS氏は,ほかにも必要な対策を検討し,これらの対策と併せて実施した。
設問1 〔社外の攻撃者によるファイルの持出しについてのセキュリティ対策の確認〕について答えよ。
(1)本文中の a , b に入れる適切な字句を答えよ。
解答・解説
解答例
a:利用者 ID b:パスワード
解説
表1のBサービスの概要に、以下の記述があります。
従業員ごとに割り当てられた利用者IDとパスワードでログインし,利用する。
(2)図2中の c , d に入れる適切な字句を,それぞれ40字以内で答えよ。
解答・解説
解答例
c:このサーバ証明書は,信頼された認証局から発行されたサーバ証明書ではない
d:このサーバ証明書に記載されているサーバ名は,接続先のサーバ名と異なる
解説
ここでは、サーバ証明書による確認で発生しうるエラーのパターンを問われていることがわかります。
図2に既に記載されているもの以外で考えられるエラーパターンは「サーバ証明書の認証局の信頼性が不明」、「サーバ証明書の対象サーバ名と接続先サーバ名が異なる」が挙げられます。
(3)本文中の下線①について,エラーメッセージが表示される直前までのWebブラウザの動きを,60字以内で答えよ。
解答・解説
解答例
HTTPのアクセスをHTTPSのアクセスに置き換えてアクセスする。その後,偽サイトからサーバ証明書を受け取る。
解説
下線①の直前に、以下の記述があります。
HSTSを有効にしてあるので
HSTS(HTTP Strict Transport Security)は、WebサイトがWebブラウザにHTTPSでのアクセスを強制するポリシーメカニズムです。WebブラウザがHSTS指定されているWebサイトにアクセスすると、Webサーバーは次回からhttpsアクセスするようにWebブラウザに通知します。
つまり、HTTPでアクセスしようとしても、HTTPSでのアクセスに強制的に切り替わるので、偽サイトからサーバ証明書を取得することになります。
設問2 〔従業員によるファイルの持出しについてのセキュリティ対策の確認〕について答えよ。
(1)本文中の下線②について,M社外からファイルをダウンロード可能にするためのファイル共有機能の悪用方法を,40字以内で具体的に答えよ。
解答・解説
解答例
外部共有者のメールアドレスに自身の私用メールアドレスを指定する。
解説
以下の、下線②の前の会話から、メールアドレスやファイルを偽装することが想像できます。
S氏:ファイル共有機能では,上長はちゃんと宛先のメールアドレスとファイルを確認してから承認を行っていますか。
Yさん:確認できていない上長もいるようです。
S氏:そうすると,〜
従業員がファイルをダウンロードするためには、メールアドレスを自身の私用メールアドレスにして承認を得れればいいことがわかります。
(2)本文中の e に入れる適切な字句を答えよ。
解答・解説
解答例
MACアドレス
解説
表1のAP-1〜5の概要に、以下の記述があります。
従業員用無線LANだけにMACアドレスフィルタリングが設定されており,事前に情報システム部で登録された業務PCだけが接続できる。
つまり、MACアドレスを事前登録されたものに書き換えてしまいさえすれば、接続が可能になります。
設問3 〔方法1と方法2についての対策の検討〕について答えよ。
(1)本文中の下線③について,認証サーバがEAPで使うUDP上のプロトコルを答えよ。
解答・解説
解答例
RADIUS
解説
ー
(2)本文中の f に入れる適切な字句を答えよ。
解答・解説
解答例
秘密鍵
解説
ー
(3)本文中の g に入れる適切な字句を,20字以内で答えよ。
解答・解説
解答例
業務PCから取り出せないように
解説
ー
(4)本文中の下線④について,その理由を,40字以内で答えよ。
解答・解説
解答例
EAP-TLSに必要な認証情報は,業務PCにしか格納できないから
解説
ー
(5)本文中の下線⑤について,変更内容を,70字以内で答えよ。
解答・解説
解答例
来客用無線LANからインターネットにアクセスする場合の送信元IPアドレスを a1.b1.c1.d1 とは別のIPアドレスにする。
解説
ー
(6)本文中の h に入れる適切な字句を答えよ。
解答・解説
解答例
DNS
解説
ー
(7)本文中の下線⑥について,表3及び表4の削除すべき項番を,それぞれ全て答えよ。
解答・解説
解答例
表3:1
表4:1,4
解説
ー
IPA公開情報
出題趣旨
企業内ネットワークでは,無線 LAN が広く普及している。来客者用の無線 LAN が設置されている場合もあり,こういった環境では,第三者が接続しないように,セキュリティ対策を行うことが重要である。
本問では,アパレル業におけるセキュリティ対策の見直しを題材に,無線 LAN を使った環境における脅威を様々な角度から想定する能力及びセキュリティ対策を立案する能力を問う。
採点講評
問 2 では,アパレル業におけるセキュリティ対策の見直しを題材に,サーバ証明書の検証,秘密鍵の管理及び無線 LAN 環境の見直しについて出題した。全体として正答率は平均的であった。
設問 1(2)は,正答率が低かった。攻撃者が偽サイトを用意したとしても,HTTPS でアクセスするのであれば,サーバ証明書の検証に失敗する。サーバ証明書の検証は,通信の安全性を確保するうえで基本的な知識であるので,具体的にどういった事項を検証するのかということまで含めて,よく理解しておいてほしい。
設問 3(2)は,正答率がやや高かったが,“公開鍵”や“サーバ証明書”といった解答が一部に見られた。PKI は,様々なセキュリティ技術の基礎となる重要な技術であるので,どのような場面でどのように利用されているのか,よく理解しておいてほしい。
設問 3(7)は,正答率が高かった。ファイアウォールの全てのフィルタリング設定と無線 LAN 環境の見直しに伴う影響を理解して解答する必要があったが,適切に理解されていた。
