[問題文・解答]
平成26年度10月に実施された情報セキュリティスペシャリスト試験の午後2問題 問1の解説を3回に分けて行います。今回は2回目(中盤)です。
平成26年度10月の情報セキュリティスペシャリスト 午後2試験の問題・解答はIPA公式ページからダウンロード出来ます。(以下リンク)
[H26秋 午後2 問題文] [H26秋 午後2 解答]
[問題概要]
題材は、海外展開する金融機関におけるIAMの統合についてです。概要は以下の通りで、今回は中盤部分の解説を行います。
(序盤部分)P.3〜P.8中段 設問1該当範囲
- 海外支店を展開するN社は、各地域(日本、欧米、アジア)の社内情報システムの共通機能および利用者IDの管理・認証を一本化することにした。
(中盤部分)P.8下段〜P.11中段 設問2〜4該当範囲
- 各地域の現行システムを拡張する形でグローバルなID・アクセス管理システムの構成と利用者認証の通信シーケンスについて設計・検討する。
- 設計レビューを受け、一部修正を行った設計案で各地域の関係者に設計内容の説明を行う。
- 説明時に欧米地域から、以下の要求があり、全地域で全要求を実現するために拡張システム案を検討する。
- 一度ログオンすれば、グローバルシステム及び地域システムへのシングルサインオンが出来るようにしてほしい。
- 自宅や出張先から、個人所有のPC・タブレットを使って仮想デスクトップから社内システムにアクセスできるようにしてほしい。
[設問2]
(1)
P.4下段より「日本ポータル及び日本社内システムでの認証Cookieの検証では、日本認証サーバと併せて開発された、エージェントと呼ばれるJavaプログラムがアプリケーションプログラムからメソッドとして呼び出される」とあることから、GIAMシステムでも日本地域のようにエージェント型の認証サーバを採用すると、GポータルやGシステムからエージェント(Javaプログラム)を呼び出すように設定変更する必要があります。
[答] GポータルやGシステムからエージェントを呼び出すための変更
[答] GポータルやGシステムからエージェントを呼び出すための変更
(2)
Yさんが設計したGIAMシステムでは、現在各地域で使用されているID・パスワードとは別にN社全体で一意となるGIDを用意し、GIDを用いてG認証サーバにより認証を行い、認証成功するとシングルサインオンでGポータルやGシステムへのアクセスが可能となる。しかし、その後各地域のポータル・社内システムへアクセスする際は、各地域のIDを用いて再度認証する必要があります。
これをGIDの認証だけで各地域のポータル・社内システムへのアクセス可否も出来るようにするためには、主に以下の二つの変更が必要となります。
これをGIDの認証だけで各地域のポータル・社内システムへのアクセス可否も出来るようにするためには、主に以下の二つの変更が必要となります。
- GDSと各地域のDS間で信頼関係を結ぶことで、GDSでの認証成功で各地域のDSも認証成功したと判断できるようにする。
- GIDと各地域のIDを1対1で紐付けるもしくは、各地域のIDをGIDで置き換えるようにする。
[答] GDSと各地域のDS間で信頼関係を結ぶ。
(3)
下線部③「ID体系に関する変更」は、[設問2](2)の解説で述べた2つの変更のうちの2つ目、つまりGIDと各地域のIDを1対1で紐付けるもしくは、各地域のIDをGIDで置き換えることです。しかし、P.6下段に(欧米地域の)「IDの体系は日本と同じであり、日本と重複しているIDがある」とあるように日本と欧米地域でIDの重複がある点がGIDと各地域のIDの対応を取る際に問題となります。
[答] 日本と欧米地域のIDに重複があるという問題
[設問3]
(1)
下線④で、ID管理サブシステムの設計における不十分な点に対するZ主任のアドバイスとして、「各地域の人事システムとは別のサーバから利用者情報を収集する必要がある」となっています。従って、現在の設計通り、各地域の人事システムから正社員の利用者情報を収集するだけでは、利用者登録に漏れが出ると考えられます。
問題文中P.5上段やP.6下段部分の記述より、日本や欧米地域では契約社員は入社時に人事システムには登録されず、社内システム利用の際は、管理者がシステム利用申請を行い、承認を得る必要があります。従って、現在のID管理サブシステムの設計では、契約社員の利用者情報がGLDSに登録されません。
[答] 契約社員の利用者情報が取り込まれない点
問題文中P.5上段やP.6下段部分の記述より、日本や欧米地域では契約社員は入社時に人事システムには登録されず、社内システム利用の際は、管理者がシステム利用申請を行い、承認を得る必要があります。従って、現在のID管理サブシステムの設計では、契約社員の利用者情報がGLDSに登録されません。
[答] 契約社員の利用者情報が取り込まれない点
(2)
以下の記述より、日本では正社員及び契約社員の利用者情報は日本DSに登録されています。
- P.4下段「人事システムに新しい正社員情報が登録されると、情報システム部は、当該正社員の証明書を発行し、IDと証明書を日本DSに登録し、…」
- P.5上段「情報システム部は、当該契約社員の証明書を発行し、IDと証明書を日本DSに登録し、…」
以下の記述より、欧米地域では正社員及び契約社員の利用者情報は欧米DS1に登録されています。
- P.6下段「情報システム部は、新しい正社員又は契約社員のIDと初期パスワードを欧米DS1に登録し、…」
以下の記述より、アジア地域では正社員及び契約社員の利用者情報はアジアLDSに登録されています。アジアDSへの登録はアジアPCへのログインは可能にしますが、アジアポータルやアジア社内システムへのアクセスにはアジアLDSへの登録も必要となります。
- P.8上段「情報システム部は、依頼内容に沿ってアジアLDSにIDとパスワードを登録する」
[答] ・日本DS ・欧米DS1 ・アジアLDS
[設問4]
P.4及び図1より、日本ポータル及び日本社内システムはエージェントプログラムにより認証Cookieの検証を行って、アクセス可否を判断しています。従って、日本ではGポータルからリンクを辿って直接日本ポータルにアクセスしても、認証Cookieが無いためポータルへのアクセスに失敗してしまいます。これを避けるためには、Gポータルの画面に日本認証サーバのURIへのリンクを表示し、日本認証サーバで認証Cookieを発行した後に日本ポータルにアクセスするように修正する必要があります。
[答] 地域:日本 サーバ名:日本認証サーバ
P.4及び図1より、日本ポータル及び日本社内システムはエージェントプログラムにより認証Cookieの検証を行って、アクセス可否を判断しています。従って、日本ではGポータルからリンクを辿って直接日本ポータルにアクセスしても、認証Cookieが無いためポータルへのアクセスに失敗してしまいます。これを避けるためには、Gポータルの画面に日本認証サーバのURIへのリンクを表示し、日本認証サーバで認証Cookieを発行した後に日本ポータルにアクセスするように修正する必要があります。
[答] 地域:日本 サーバ名:日本認証サーバ
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
0 件のコメント:
コメントを投稿