[問題文・解答]
平成26年度10月に実施された情報セキュリティスペシャリスト試験の午後2問題 問1の解説を3回に分けて行います。今回は1回目(序盤)です。
平成26年度10月の情報セキュリティスペシャリスト 午後2試験の問題・解答はIPA公式ページからダウンロード出来ます。(以下リンク)
[H26秋 午後2 問題文] [H26秋 午後2 解答]
[問題概要]
題材は、海外展開する金融機関におけるIAMの統合についてです。概要は以下の通りで、今回は序盤部分の解説を行います。
(序盤部分)P.3〜P.8中段 設問1該当範囲
- 海外支店を展開するN社は、各地域(日本、欧米、アジア)の社内情報システムの共通機能および利用者IDの管理・認証を一本化することにした。
(中盤部分)P.8下段〜P.11中段 設問2〜4該当範囲
- 各地域の現行システムを拡張する形でグローバルなID・アクセス管理システムの構成と利用者認証の通信シーケンスについて設計・検討する。
- 設計レビューを受け、一部修正を行った設計案で各地域の関係者に設計内容の説明を行う。
- 説明時に欧米地域から、以下の要求があり、全地域で全要求を実現するために拡張システム案を検討する。
- 一度ログオンすれば、グローバルシステム及び地域システムへのシングルサインオンが出来るようにしてほしい。
- 自宅や出張先から、個人所有のPC・タブレットを使って仮想デスクトップから社内システムにアクセスできるようにしてほしい。
[設問1]
IAM(Identity and Access Management)
業務アプリやファイルサーバなど企業内の各システムごとに設定されたアクセス権(ID情報)を一元管理することで、セキュリティを高めようとする考え方。
シングルサインオン
一度ユーザ認証に成功してログオンすれば、複数の異なるOSやアプリ、サービスなどに再度認証を行わなくても、アクセスできること。 または、それを実現するシステム。 シングルサインオンを導入すれば、ユーザは一組のIDとパスワードを覚えれば、全ての機能を利用できる。また、システム管理者はユーザ認証情報を一元管理することが出来る。
SPNEGO
HTTP経由でクライアントとサーバ間で資格情報を交換するためのプロトコルでMicrosoftによって定義されている。
(1)
図1より日本認証サーバでの認証が完了すると、日本認証サーバが「a」を発行して、その後は日本ポータル及び日本社内システムへのアクセス時に「a」の検証が行われて画面の応答が行われています。
P.4中段の日本における利用者認証の流れについての説明中にヒントがあります。
P.4中段の日本における利用者認証の流れについての説明中にヒントがあります。
- 「日本認証サーバ、利用者認証が成功すると、認証Cookieを発行し、認証成功を示すメッセージと日本ポータルへのリンクをブラウザに表示する。」
- 「利用者がそのリンクをクリックすると、日本ポータルは、認証Cookieの検証を行う。検証が成功すると、当該利用者のアクセス可能な〜」
- 「利用者が日本社内システムにアクセスすると、日本社内システムは、認証Cookieの検証を行った後、メニュー画面をブラウザに表示する。」以上より、「a」に入るのは「認証Cookie」となります。
[答] 認証Cookie
(2)
図3より、最初のHTTP要求で「b」のURIが指定されており、その後認証サーバ及びLDSでの認証を経てアジアポータルからのHTTP応答としてポータル画面が返されています。
P.7下段「ブラウザを立ち上げると、ブラウザはホームページとして設定されたアジアポータルにアクセスしようとする。」とあることから、ブラウザを起動すると「アジアポータル」へのHTTP要求を行うことが分かります。
従って、「b」には「アジアポータル」が当てはまります。
[答] アジアポータル
図3より、最初のHTTP要求で「b」のURIが指定されており、その後認証サーバ及びLDSでの認証を経てアジアポータルからのHTTP応答としてポータル画面が返されています。
P.7下段「ブラウザを立ち上げると、ブラウザはホームページとして設定されたアジアポータルにアクセスしようとする。」とあることから、ブラウザを起動すると「アジアポータル」へのHTTP要求を行うことが分かります。
従って、「b」には「アジアポータル」が当てはまります。
P.7下段「ブラウザを立ち上げると、ブラウザはホームページとして設定されたアジアポータルにアクセスしようとする。」とあることから、ブラウザを起動すると「アジアポータル」へのHTTP要求を行うことが分かります。
従って、「b」には「アジアポータル」が当てはまります。
(3)
P.8上段によるとアジア地域の正社員及び契約社員のID登録の流れは以下の通りです。
- 入社時にアジアDSにIDが登録される。
- 社員自らIDとパスワードのアジアLDSへの登録を情報システム部に依頼する。
- 情報システム部がアジアLDSにIDとパスワードを登録する。
上記の手順では、情報システム部が依頼してきた社員の確認・承認は行わず、依頼内容に従ってLDSへの登録を行うため、本来社内システムにアクセスする必要が無い者のIDを登録してしまう可能性があります。
[答] 承認が行われず、社内システムにアクセスする必要がない者もIDを登録できてしまう。
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
- 入社時にアジアDSにIDが登録される。
- 社員自らIDとパスワードのアジアLDSへの登録を情報システム部に依頼する。
- 情報システム部がアジアLDSにIDとパスワードを登録する。
上記の手順では、情報システム部が依頼してきた社員の確認・承認は行わず、依頼内容に従ってLDSへの登録を行うため、本来社内システムにアクセスする必要が無い者のIDを登録してしまう可能性があります。
[答] 承認が行われず、社内システムにアクセスする必要がない者もIDを登録できてしまう。
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
0 件のコメント:
コメントを投稿