ファイナンス、情報通信技術のスキル・アグリゲーション・サイト

' . iseeit.jp 情報通信技術 . '
 

【平成27年度春期 SC 午後Ⅱ 問2】~情報セキュリティスペシャリスト試験(SC)の過去の出題より~

情報処理推進機構(IPA)が実施する情報処理技術者試験の「情報セキュリティスペシャリスト試験」(SC)午後Ⅰ試験・午後Ⅱ試験の過去の出題から、情報セキュリティへの考えを深めていきます。

過去の試験問題の全文と解答例、講評が、 https://www.jitec.ipa.go.jp/1_04hanni_sukiru/_index_mondai.html にて公開されています。ここから、各問における問題文内の見出し、図や表の標題、設問と公表されている解答例、そして、設問に関係すると思われる問題文中の文章を書き出しています。なお、関係する図については、上記の公開されている試験問題をご覧ください。

試験対策以外にも、情報セキュリティ学習をさらに進めるためのきっかけとなれば、と思います。

問2 製造業におけるネットワーク構築に関する次の記述を読んで,設問1~4に答えよ。

〔 K 工場の工場内ネットワークの構成と運用〕

図1 K エ場の工場内ネットワ一クの構成

表1 K 工場の機器の概要(抜粋)

〔製造装置における脆弱性の問題〕
〔製造装置における脆弱性への対策〕

表2 製造装置に被書が及ぶと考えられるマルウェアの感染方法 < p>

図2 エ場内 LAN の構成見直し案

表3 ファイル転送方式案

表4 ファイル転送方式案の安全性の評価結果

名称 脆弱性攻撃型マルウェア ファイルばらまき型マルウェア
USB メモリ方式
結 論 : 製造装置ヘの感染を防止できる
理 由 : (省略)
結 論 : 条件付きで,製造装置ヘの感染を防止できる
理 由 : マルウェアの複製が USB メモリに書き込まれることは防げないが,そのファイルを起動しないように徹底することによって,製造系 LAN 上の製造装置ヘの感染を防止できる。
中継 PC 方式
結 論 : 製造装置ヘの感染を防止できない
理 由 : a
結 論 : 条件付きで,製造装置ヘの感染を防止できる
理 由 : マルウェアによって転送用 PC ヘファイルが書き込まれないように,ファイル共有機能を確実に停止することによって,製造系 LAN 上の 製造装置ヘの感染を防止できる。

P さんは,図2の構成見直し案と,表3のうちの USB メモリ方式を R 部長に提案し,R 部長はそれを承認した。

〔協力会社との情報共有〕

表5 K サーバで提供する情報

〔セキュリティポリシの確認〕

図3 J 社の対策基準

表6 K サ一バを利用する協力会社向けの実施規程案(抜粋)

対策基準の項目 実施規程
小項目 内容
認証 利用者の限定と特定 K サーバを利用に当たっては,許可された利用者以外の利用を防止するために,利用者の認証を必須とする。アカウントの共用を禁止する。
マルウェアに感染する被害を低滅するために,K サーバを利用する際に接続端末にログインするためのアカウントは一般利用者権限とし,管理者権限は付与しない。
他人による接統端末の利用を防止するために,利用者には,接統端末から離れる場合, b するように指導する。可能であれば,指導だけでなく強制する仕組みを整備する。
パスワードの管理 パスワードは c ものを使用するよう指導するとともに、技術的に可能であれば,強制する仕組みを整備する。また,他人に d 管理するよう指導する。
接続端末の限定 K サーバから取得した情報が漏えいする可能性を低減するために,K サーバを利用する接続端末を限定する。
アクセス制御 ファイルへのアクセス制御 K サーバからダウンロードしたファイルを保存する際には,必要最小限のアクセス権を付与する。
証跡管理 ログ取得設定 接続端末では,次の操作又は動作の際にログを取得するように設定する。
  • ・ ログイン(失敗/成功を問わず),ログアウト
  • ・ 脆弱性修正プログラムの適用
  • ・ マルウェアの検出
ログの改ざん防止 一般利用者権限のアカウントには,ログの修正権限及び削除権限を付与しない。
ログの消失防止 接続端末上のログ保存領域は,十分な領域を確保する。
接続端末の管理者は,接続端末のログを定期的に収集して,磁気テープ,DVD などの外部記憶媒体に保存する。
脆弱性対策 速やかな対策 接続端末に関する脆弱性が公開された場合には, e
〔 K サーバの設計・構築〕

図4 K サ一パ及び関連機器の構成

〔 K サーバ経由のマルウェア感染対策〕

表7 K サ一バ及ぴ関連機器の構成の安全性の評価結果(抜粋)

脆弱性攻撃型マルウェア ファイルばらまき型マルウェア
結 論 : 製造装置ヘの感染を防止できる
理 由 : f
結 論 : 製造装置ヘの感染を防止できる
理 由 : g
〔 K サーバを利用する接続端末の制限〕

P さんは,表6の実施規程において K サーバを利用する接続端末を限定するとしているものの,それを実現する技術的な仕組みがないことが気になっていた。そこで,K サーバにおいて接続端末を限定する仕組みについて,(1)~(4)の順に検討した。

  • (1) アクセス元 IP アドレスによる端末認証の採用

    実装が容易であることから,アクセス元の IP アドレスに基づく端末認証の仕組みを検討した。しかし,この仕組みでは,①実施規程に示された,K サーバを利用する接続端末の限定は実現できないことが分かった。

  • (2) クライアント証明書による端末認証の採用

    続いて,クライアント証明書(以下,証明書という)による端末認証の採用を検討した。この仕組みであれぱ,接続端末の限定が実現できると考えられたので,実装に向けた検討を続けた。

  • (3) 証明書の発行

    証明奮による端末認証を行う上で必須となる証明書の発行の流れを検討した。証明書の発行に必要な CA(認証局)の機能のうち、IA(発行局)については J 社本社のプライベート CA を利用し,RA(登録局)については K 工場が担当する。

    なお,] 社本社のプライベート CA は,証明書発行業務を,ー切,他に委任していない。また,] 社本社のプライべート CA は,中間 CA ではなく,ルート CA である。この分担に基づくと,証明書の発行の流れは,図5のようになる。

図5 証明讐の発行の流れ

表8 証明書の発行及ぴ利用に関する役剖分担

役割 責任をもつ組織
鍵ペアの作成 K 工場
証明書で証明する Subject(識別名)の一意性の確保 h
CSR(Certificate Signing Request)の発行 K 工場
証明書の発行可否の判断 i
証明書の発行者としてディジタル署名の付与 j
接続端末への証明書のインストール 協力会社
K サーバへアクセスしてきた接続端末が提示した証明書の有効性検証 k
CRL(Certificate Revocation List)の発行 l
  • (4) その他の手続の検討

    証明書の発行以外に,更新及ぴ失効についての手続を検討した。証明馨の失効処理は,②協力会社が K サーバの利用を取りやめる申請をした場合以外にも行う必要があり,その点も考慮して手続を検討した。また,秘密鍵の機密性を保つために, 協力会社ヘ周知すベき技術的事項を検討した。

設問1 表4 中の a に入れる適切な記述を, マルウェアの感染方法を踏まえて,75 字以内で具体的に述ベよ。
設問 解答例・解答の要点
 設問1   a  事務系 LAN への接続時にマルウェアに感染した転送用 PC を,その状態のままで製造系 LAN へ接続すると,製造装置へマルウェアの感染が広がる。
設問2 〔セキュリティポリシの確認] について,(1),(2) に答えよ。
(1) 表6 中の b d に入れる適切な字句を,それぞれ 10 字以内で答えよ。
設問 解答例・解答の要点
設問2 (1) b 操作禁止状態に
c 他人が推測できない
d 知られないように
(2) 表6 中の e に入れる適切な字句を,35 字以内で具体的に述ぺよ。
設問 解答例・解答の要点
設問2 (2) e 影響を評価し,必要であれば脆弱性修正プログラムを適用する
設問3 表7 中の f g に入れる適切な理由を, f は 40 字以内で, g は 60 字以内でそれぞれ述ベよ。
設問 解答例・解答の要点
 設問3   f 情報共有系 LAN と製造系 LAN の間で通信が成立することがない。
  g 情報共有系 LAN 上の機器へ実行形式ファイルが書き込まれても,製造系 LAN にファイルが転送されることがない。
設問4 〔 K サーバを利用する接続端末の制限〕 について,(1)~(4) に答えよ。
(1) 本文中の 下線① について,アクセス元の IP アドレスでは接続端末が限定できないと P さんが考えた根拠を二つ挙げ,それぞれ 50 字以内で述ベよ。
設問 解答例・解答の要点
設問4 (1)
・ IP アドレスが動的に割り当てられるインターネット回線を利用している協力会社に対応できない。
・ プロキシサーバを利用している協力会社の場合,社内の接続端末の個別識別ができない。
(2) 表8 中の h l に入れる適切な組織を,協力会社, K エ場,J 社本社の中から選ぴ,答えよ。
設問 解答例・解答の要点
設問4 (2) h K 工場
i K 工場
j J 社本社
k K 工場
l J 社本社
(3) 証明耆の発行に当たっては,鍵ペアを利用する主体が鍵ベアを作成するのが原則であるが,接続端末用の証明書の発行の際は K 工場にて鍵ペアを作成している。K エ場で作成してもよい理由を 35 字以内で述べよ。
設問 解答例・解答の要点
設問4 (3) K サーバへのアクセスだけに使用する鍵ペアだから
(4) 本文中の 下線② の場合以外に,失効処理が必要な場合を二つ挙げ,それぞれ 30 字以内で述ベよ。
設問 解答例・解答の要点
設問4 (4)
・ 証明書に対応した秘密鍵の漏えいが疑われる場合
・ 接続端末を廃棄する場合

ファイナンシャル・プランニング
6つの係数

終価係数 : 元本を一定期間一定利率で複利運用したとき、将来いくら になるかを計算するときに利用します。

現価係数 : 将来の一定期間後に目標のお金を得るために、現在いくら の元本で複利運用を開始すればよいかを計算するときに利用します。

年金終価係数 : 一定期間一定利率で毎年一定金額を複利運用で 積み立て たとき、将来いくら になるかを計算するときに利用します。

年金現価係数 : 元本を一定利率で複利運用しながら、毎年一定金額を一定期間 取り崩し ていくとき、現在いくら の元本で複利運用を開始すればよいかを計算するときに利用します。

減債基金係数 : 将来の一定期間後に目標のお金を得るために、一定利率で一定金額を複利運用で 積み立て るとき、毎年いくら ずつ積み立てればよいかを計算するときに利用します。

資本回収係数 : 元本を一定利率で複利運用しながら、毎年一定金額を一定期間 取り崩し ていくとき、毎年いくら ずつ受け取りができるかを計算するときに利用します。

積み立て&取り崩しモデルプラン

積立金額→年金額の計算 : 年金終価係数、終価係数、資本回収係数を利用して、複利運用で積み立てた資金から、将来取り崩すことのできる年金額を計算します。

年金額→積立金額の計算 : 年金現価係数、現価係数、減債基金係数を利用して、複利運用で将来の年金プランに必要な資金の積立金額を計算します。