[問題文・解答]
平成26年度4月に実施された情報セキュリティスペシャリスト試験の午後2問題 問1の解説を2回に分けて行います。今回は3回目(終盤)です。
平成26年度4月の情報セキュリティスペシャリスト 午後2試験の問題・解答はIPA公式ページからダウンロード出来ます。(以下リンク)
[H26秋 午後2 問題文] [H26秋 午後2 解答]
[問題概要]
題材は、海外展開する金融機関におけるIAMの統合についてです。概要は以下の通りで、今回は終盤部分の解説を行います。
(序盤部分)P.3〜P.8中段 設問1該当範囲
- 海外支店を展開するN社は、各地域(日本、欧米、アジア)の社内情報システムの共通機能および利用者IDの管理・認証を一本化することにした。
(中盤部分)P.8下段〜P.11中段 設問2〜4該当範囲
- 各地域の現行システムを拡張する形でグローバルなID・アクセス管理システムの構成と利用者認証の通信シーケンスについて設計・検討する。
- 設計レビューを受け、一部修正を行った設計案で各地域の関係者に設計内容の説明を行う。
- 説明時に欧米地域から、以下の要求があり、全地域で全要求を実現するために拡張システム案を検討する。
- 一度ログオンすれば、グローバルシステム及び地域システムへのシングルサインオンが出来るようにしてほしい。
- 自宅や出張先から、個人所有のPC・タブレットを使って仮想デスクトップから社内システムにアクセスできるようにしてほしい。
[設問5]
(1)
P.12中段「個人所有機器の業務利用を希望する利用者は、個人所有機器の利用申請を行い、所属長に承認されると、VPN接続用のVPNIDとVPNパスワードが割り当てられ、ハードウェア型のワンタイムパスワード(OTP)トークンが貸与される。」とあります。
図7のシンクライアントサーバへの接続時にはパスワードとOTPの2つを提示していることから、拡張GIAMシステムの二要素認証で使用される認証要素は「パスワード」と「OTPトークン」となります。
[答] ・パスワード ・OTPトークン
図7のシンクライアントサーバへの接続時にはパスワードとOTPの2つを提示していることから、拡張GIAMシステムの二要素認証で使用される認証要素は「パスワード」と「OTPトークン」となります。
[答] ・パスワード ・OTPトークン
(2)
P.3下段に「日本のN社では、利用者が日本PCに接続されたICカードリーダにICカードを差し込むと、ICカードからIDとディジタル証明書が読み取られ、ディレクトリサーバ製品Qを用いた日本DSにおいて利用者認証が行われる」とあるように、これまで日本ではIDカードリーダによる利用者認証を行っていました。
しかし、P.4上段で「日本PCはN社が一括調達したものであり、ICカードリーダは、日本PC専用に開発されたものである」とあることから、現行のカードリーダは日本PC以外の端末での動作保証はされていないと考えられます。
従って、今回の欧米地域の要望である様々な個人所有機器にカードリーダによる認証を導入する場合、動作検証が必要となります。
しかし、P.4上段で「日本PCはN社が一括調達したものであり、ICカードリーダは、日本PC専用に開発されたものである」とあることから、現行のカードリーダは日本PC以外の端末での動作保証はされていないと考えられます。
従って、今回の欧米地域の要望である様々な個人所有機器にカードリーダによる認証を導入する場合、動作検証が必要となります。
[答] 多種の個人所有機器での利用者認証の動作検証
(3)
この問題は、少し解答が思いつき辛いと思います。
問題文中の「ネットワークに関連する要因」が、解答のヒントになります。
利用者が自分の地域のシンクライアントサーバにアクセスする場合は、主な通信は個人所有機器⇄インターネット⇄自分の地域のDC(シンクライアントサーバ)⇄自分の地域のDC(社内システム)で発生します。
一方、利用者が他の地域のシンクライアントサーバにアクセスして、仮想デスクトップから自分の地域の社内システムにアクセスする場合、個人所有機器⇄インターネット⇄他の地域のDC(シンクライアントサーバ)⇄広域イーサネット⇄自分の地域のDC(社内システム)でデータのやり取りが発生し、DC間通信が追加される事で上記の場合に比べてネットワーク遅延が大きくなり、仮想デスクトップの操作レスポンスが悪くなる可能性が考えられます。
問題文中の「ネットワークに関連する要因」が、解答のヒントになります。
利用者が自分の地域のシンクライアントサーバにアクセスする場合は、主な通信は個人所有機器⇄インターネット⇄自分の地域のDC(シンクライアントサーバ)⇄自分の地域のDC(社内システム)で発生します。
一方、利用者が他の地域のシンクライアントサーバにアクセスして、仮想デスクトップから自分の地域の社内システムにアクセスする場合、個人所有機器⇄インターネット⇄他の地域のDC(シンクライアントサーバ)⇄広域イーサネット⇄自分の地域のDC(社内システム)でデータのやり取りが発生し、DC間通信が追加される事で上記の場合に比べてネットワーク遅延が大きくなり、仮想デスクトップの操作レスポンスが悪くなる可能性が考えられます。
[答] ネットワーク遅延が大きいことから、仮想デスクトップの操作に対するレスポンスが悪化する。
[設問6]
(1)
P.7下段に「アジア認証サーバは、SPNEGOではなくフォーム認証を利用しており、アジアPCにSPNEGOの設定はされていない。SSOの対象は、アジアポータルと、アジア社内システムである。」とあり、また表1でもアジア地域ではPCと社内システムにおけるシングルサインオンは実現されていないとあります。
この点については拡張GIAMシステムにおいても変更されていないため、アジア地域の利用者はPCの利用者認証の後、Gポータルや各地域のポータルサーバにアクセスする際にもう一度ID・パスワードによる認証が求められます。
[答] アジア地域
この点については拡張GIAMシステムにおいても変更されていないため、アジア地域の利用者はPCの利用者認証の後、Gポータルや各地域のポータルサーバにアクセスする際にもう一度ID・パスワードによる認証が求められます。
[答] アジア地域
(2)
下線部②③で記載されていたSPNEGOによるSSOを実現するための変更は、P.12上段に「GIAMシステムに下線②と下線③の変更を行うことにし、」とあることから、拡張GIAMシステムでは既に盛り込み済みです。従って、日本・欧米地域と同様にアジア地域のアジアPCとアジア認証サーバにもSPNEGOの設定をすればアジア地域でもSSOが実現できます。
[答]
・構成要素:アジア認証サーバ 設定内容:SPNEGOの設定をする。
・構成要素:アジアPC 設定内容:SPNEGOの設定をする。
・構成要素:アジア認証サーバ 設定内容:SPNEGOの設定をする。
・構成要素:アジアPC 設定内容:SPNEGOの設定をする。
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
0 件のコメント:
コメントを投稿