2016年9月29日木曜日

[平成27年度秋] 午後2 問1 解説③

[問題文・解答]


平成27年度10月に実施された情報セキュリティスペシャリスト試験の午後2問題 問1の解説を3回に分けて行います。今回は3回目(終盤)です。
平成27年度10月の情報セキュリティスペシャリスト 午後2試験の問題・解答はIPA公式ページからダウンロード出来ます。(以下リンク)
[H27秋 午後2 問題文]   [H27秋 午後2 解答]



[問題概要]

題材は、マルウェアによる情報漏えいへの対策、シンクライアント技術及びその他のセキュリティ対策技術についてです。

概要は以下の通りで、今回は終盤部分の解説を行います。
(序盤部分)P.2〜P.7上段 設問1該当範囲
  • A社では、社内の全PCをシンクライアント端末へ移行予定であり、マルウェア対策を考慮に入れた新しいシステム構成を設計中である。
  • マルウェア感染のシナリオとしてメールの添付ファイル又はメール本文中のURLを開かせる事による感染を想定している。
  • 設計案1は、複数に分けたネットワーク間の通信をFWで制限し、シンクライアント用サーバ(TCサーバ)から画面転送型でシンクライアントを利用する構成である。
(中盤部分)P.7中段〜P.9中段 設問2該当範囲
    • 設計案1はマルウェア対策の要件を満たせない場合があるとの指摘を受ける。
    • 設計案2として、Webアクセス用TCサーバとオフィス環境用TCサーバを用途によって使い分ける構成を提案する。
    (終盤部分)P.9下段〜P.13 設問3〜5該当範囲
    • 海外支店の行っている共同融資業務で、他の金融機関とオンラインストレージを用いたファイル共有が必要であるため、設計案2の修正が求められる。
    • 海外支店専用のTCサーバ・ファイルサーバを用意する設計案3を提案する。
    • 設計案3では、NWの帯域幅の問題から共同融資業務のパフォーマンス要件を満たすのが厳しいため、海外支店は例外的にシンクライアントに移行しない設計案4で運用することとした。

    [設問3]

    (1)

    b) P.9中段「設計案2において利用者が受信メール中のURLをクリックした場合、OA用TCサーバ上でWebブラウザが起動されるが、当該URLへのアクセスは失敗する」とあるため、b)の業務は実現できません。

    c) 設計案2ではWebブラウザからのファイルのダウンロードは、IA用TCサーバに保存されます。IA用TCサーバからファイルサーバへのアクセスは許可されていないため、ファイルサーバへの保存は出来ません。

    f) OA用TCサーバやファイルサーバからインターネット上のサーバへのアクセスは許可されていないため実現できません。

    g) 設計案2ではメール操作とWebブラウザ操作は完全に別のサーバで分けて処理されます。メール作成はOA用TCサーバで行うのに対して、WebブラウザはIA用TCサーバで起動する必要があるため、Webブラウザの画面上のURLをメール文面に貼付ける操作は出来ません。

    a, d, hは全てメールの送受信のみなので実現可能です。
    また、eはOA用TCサーバ上でオフィスソフトウェアを使ってファイルを作成し、OA用TCサーバからファイルサーバにファイルを転送できるため実現可能です。
    [答] b, c, f, g

    (2)

    表3より海外支店XのPC又はTC端末からアクセスが許可されているのは、項番14のみで宛先は海外支店X用TCサーバとなります。
    また、海外支店X用TCサーバからアクセスが許可されているのは項番15,16,17で宛先は海外支店X用ファイルサーバ、グループウェアサーバ、認証プロキシサーバとなります。
    従って、Web閲覧時もメール閲覧時も海外支店Xの端末から行う場合は海外支店X用TCサーバ経由で行い、他のTCサーバへのアクセスはありません。このことから、マルウェアが動作するのはいずれの場合も海外支店X用TCサーバ上と考えられます。
    [答] Webサイトのファイルを閲覧した場合:海外支店X用TCサーバ
      受信メールの添付ファイルを開いた場合:海外支店X用TCサーバ

    [設問4]

    (1)

    P.10中段に記載されている共同融資業務のパフォーマンス要件は以下の通りです。
    • 1融資案件当たりの案件ファイルの合計サイズは最大500Mバイト
    • 1時間(9:00~10:00)に100名の従業員が1名当たり最大3件の共同融資業務を行う
    • 幹事業務は9:00~10:00は行われない
    これらの条件と問題文中の「回線使用率は70%」の条件から、必要な回線速度(Mビット/秒)は以下の式で求められます。
    500(Mバイト) × 8(ビット/バイト) × 100(名) × 3(件/名) ÷ 3600(秒) ÷ 0.7 = 476.19..

    [答] 476

    (2)

    下線部①他の支店と同等の技術敵対策は、P.4の各要件を満たす為に行われている対策です。
    従って、要件2を満たす為にウイルスフィルタリングサーバとSSLプロキシサーバ、要件3を満たす為に認証プロキシサーバ、要件4を満たす為にDLPサーバとIPSが必要となります。TCサーバはシンクライアントを使用しないため必要ありません。
    [答] ア、ウ、オ、キ、ク

    [設問5]

    この設問は特に文中に情報があるという訳ではなく、監査とセキュリティ管理を同一組織が行うと客観的に監査が行えないという一般的な問題を述べればよいみたいです。
    [答] セキュリティ管理の状況を客観的に監査できないという不都合

    上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。

    0 件のコメント:

    コメントを投稿