[平成２７年度秋] 午後1 問2 解説

[問題文・解答]

平成２7年度１０月に実施された情報セキュリティスペシャリスト試験の午後１試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H27秋 午後1 問題文]　　　[H27秋 午後1 解答]

[問題概要]

題材は、特権IDの管理についてです。
顧客情報管理システムの保守作業を委託しているが、委託用の特権IDの取扱いに以下の３点の問題があり、対策を検討するという内容です。
・IDが共用されており、使用者が特定出来ない恐れがある
・特権IDのアクセス制御が不十分で作業対象サーバ以外へのアクセスができてしまう
・作業計画と実際の操作履歴との突合チェックがない
専門知識はほとんど必要とされませんが、問題文をよく読み、想像力を働かせる必要がある問題がいくつかあるため、難易度は普通〜やや高めです。

[設問1]

aは、委託用特権IDの登録や使用許可・使用解除などを実施することからY社のある程度権限を持った人間であることが分かります。従って、P.8下段にある「Y社の管理者」が該当します。

[答] Y社の管理者

[設問2]

(1)

P.8中段に「各業務アプリはDBMS操作IDを用いて、DBサーバから顧客情報を取得して」とあるように、保守作業だけでなく、業務アプリからDBサーバへのアクセスにもDBMS操作IDが使用されるため、保守作業中にアクセスした者の特定が困難となります。

[答] 委託用特権ID：DBMS操作ID
　　理由：業務アプリがDBサーバにアクセスするIDと同じIDであるから

(2)

要件3：作業対象サーバだけにアクセス可能とすること

実現方式案では、上記要件を満たすために作業対象サーバへのログインは以下の流れで実施されます。（P.11上段及び表2より）

1) 保守作業者が個人IDを用いてS社PCから管理用サーバのプログラムKにログイン

2) プログラムKが個人IDに対する委託用特権IDの使用許可を確認し、作業対象サーバに自動ログイン

このとき、作業者が管理用サーバを経由せず、直接サーバLAN上の各サーバにアクセスしようとする恐れがあります。これを防ぐためにFW3でS社PCからは管理用サーバ以外への通信は遮断するように設定しておく必要があります。

[答] b) S社PC　　c) 管理用サーバ

(3)

表2の項目「操作履歴の取得」の概要に
・操作履歴（入力コマンドと画面操作）は管理用サーバに保存される。
・操作履歴（入力コマンド）は作業対象サーバにも保存される。
とあるように操作履歴は作業対象サーバだけでなく、管理用サーバにも保存されるため、作業対象サーバ上のアクセスログを書き換えられても不正操作の検知は可能です。
[答] 不正操作の記録が管理用サーバの操作履歴に残るから

[設問3]

(1)

要件2：委託用特権IDを使用した者を特定可能にすること
実現方式案で要件2を満たすためには、S社に配布した個人IDがそれぞれ本人のみが使用出来るように管理されている必要があります。
[答] 個人IDが本人以外に使われるおそれがないように管理していること

(2)

これは試験中に適当な言葉（○○効果）を思いつけるかにもよりますが、基本的に下線④の目的は特権IDを使った者は特定出来ることを周知することで不正操作をすればバレるという認識を持たせ、不正を躊躇させることです。
[答] 抑止効果

(3)

P.9中段「S社PCとFW1はS社の資産である」
P.10下段「製品Pは・・、PCにインストールするプログラムJで構成される」
とあることから、案1の場合はS社の資産であるPCにプログラムJをインストールする必要があり、このプログラムJも資産管理の対象となります。
一方、案2の場合は管理用サーバにインストールするプログラムのみであるため、資産管理は案1と比べて容易です。
[答] 委託先PCにインストールするプログラムの資産管理をせずに済むから

平成２７年度秋のSC午後１試験の他の問題の解説は下記投稿で行っています。

[平成２７年度秋]午後1 問1 解説
[平成２７年度秋]午後1 問3 解説

また、オススメ問題について下記投稿に記載しています。

[平成２７年度秋] 午後1はどの問題を選択すれば良いか？

上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。