[問題文・解答]
平成27年度10月に実施された情報セキュリティスペシャリスト試験の午後2問題 問2の解説を2回に分けて行います。今回は2回目(後半)です。
平成27年度10月の情報セキュリティスペシャリスト 午後2試験の問題・解答はIPA公式ページからダウンロード出来ます。(以下リンク)
[H27秋 午後2 問題文] [H27秋 午後2 解答]
[問題概要]
題材は、クラウドサービスの利用とデータの管理についてです。概要は以下の通りで、今回は後半部分の解説を行います。
(前半部分)P.16〜P.22上段 設問1〜3該当範囲
- Y社では、従業員用PCや委託先、取引先との間で各種データを共有するためにオンラインストレージサービス(Qサービス)の導入を決定し、試験導入を実施した。
- 試験導入においてマルウェア感染ファイルが拡散してしまう問題点が発覚したため、社内にQサービスと同期する専用サーバ(同期用FS)を設置し、同期用FS上でマルウェアスキャンを行う構成で全社での利用を開始した。
- 1年後、重要顧客のJ社からJ社の開示する重要データの取扱いの厳重化について要求があった。
- J社から重要データは暗号化して保管することが求められたため、ノートPCのディスク暗号化について検討する。
- Qサービス上に保管しているファイルの暗号化措置として、同期用FSの機能を拡張し、配下のファイルは全て暗号化して保存する暗号化フォルダ機能の導入を検討する。
- 暗号化フォルダ機能について社内レビューでマルウェア感染ファイルの拡散防止対策や暗号化されずに保存されてしまうファイルについての指摘を受けたため、修正案を作成する。
[設問4]
(1)
表1 Qサービスの概要の暗号化の説明欄より「Qサーバは複数のサーバで構成されており、ファイルは、他の利用企業又は個人利用社のファイルと同じサーバに保管される場合がある。登録されたファイルは、暗号化して保管される。暗号鍵は、サーバごとに生成し、Qサービス内で管理する」とあります。
この仕様より、クラッキングなどによりQサービスで管理されている暗号鍵が漏えいした場合やQサービス関係者が暗号鍵を利用してサーバに保管されているファイルを盗聴する可能性があります。
この仕様より、クラッキングなどによりQサービスで管理されている暗号鍵が漏えいした場合やQサービス関係者が暗号鍵を利用してサーバに保管されているファイルを盗聴する可能性があります。
[答] 鍵は、サーバごとに生成し、Qサービス内で管理される。
(2)
二つの暗号鍵管理方法は以下の通りです。
- 機密フォルダごとに暗号鍵を作成し、当該フォルダに登録されるファイルの暗号化及び復号化にのみ使用する。
- 同期用FSで1つの暗号鍵を作成し、全ての機密フォルダで共有して使用する。
方法2の場合は、暗号鍵が漏えいした場合に、全ての機密フォルダ内のファイルが復号化のリスクがあるのに対して、方法1の場合は当該鍵が利用されているフォルダ以外には影響が無いため、暗号鍵漏えい時の影響範囲を限定する事が出来ます。
[答] 鍵が危殆化しても、当該鍵が利用されるフォルダ以外には影響がない。
(3)
ファイルの中身は暗号化されるため、秘匿できますが、ファイル名称やファイルサイズはフォルダにアクセスすれば確認する事が出来てしまいます。
[答] ・ファイルの名称 ・おおよそのファイルサイズ
(4)
図9中で英数字は大文字と小文字を区別するとある為、全部でアルファベット26文字×2+数字10文字=62文字となります。従って、求めるパスワードの文字数xは
62^x > 10^16
両辺の常用対数(底が10の対数)をとると
x log10(62) > 16log10(10)
x > 16 log10(10) / ( log10(31) + log10(2) ) = 16 / (0.301 + 1.491) = 8.928.. =8.9
x = 9
62^x > 10^16
両辺の常用対数(底が10の対数)をとると
x log10(62) > 16log10(10)
x > 16 log10(10) / ( log10(31) + log10(2) ) = 16 / (0.301 + 1.491) = 8.928.. =8.9
x = 9
[答] p) 9 q) 62 r) 2 s) 31 t) 8.9
[設問5]
(1)
図7の3.において「同期用FSは、暗号化されたファイルを取得してマルウェアスキャンを行い、マルウェアが検知されなければ、復号した上で、同期ディスク中の対応する機密フォルダに配置する」とありますが、暗号化された状態のファイルをスキャンしてもマルウェアは検知できないため、復号した後でマルウェアスキャンを行う必要があります。
他の回の問題でもよく出てきますが、ファイルのマルウェアスキャンやウイルススキャンは、通信経路が暗号化されている場合やファイルそのものが暗号化されている場合は基本的に検知できないと覚えておくとよいと思います。
[答] 暗号化フォルダに登録されたファイルは、復号した後で、マルウェアスキャンを行うようにする。
他の回の問題でもよく出てきますが、ファイルのマルウェアスキャンやウイルススキャンは、通信経路が暗号化されている場合やファイルそのものが暗号化されている場合は基本的に検知できないと覚えておくとよいと思います。
[答] 暗号化フォルダに登録されたファイルは、復号した後で、マルウェアスキャンを行うようにする。
(2)
図4の4.補足事項にて「Qサービスに保管されたバックアップのファイルについて、同期用FSは一切処理を行わない」とあります。また、図7の3.で説明されている処理のうち「暗号化フォルダに平文のファイルが登録された場合又は平文のファイルで既存のファイルが更新された場合、同期用FSは当該ファイルを暗号化して更新した後、利用者に警告メールを送信する」という処理でもバックアップファイルの削除は行っていません。
この設定では、利用者が平文のファイルをWebブラウザから登録した場合、一時的に保存された平文ファイルのバックアップがQサービスのサーバ上に保管され続ける可能性があります。従って、同期用FSの拡張機能として暗号化フォルダ内のファイルのバックアップのうち暗号化されていないバックアップのファイルは自動で削除するようにすべきです。
この設定では、利用者が平文のファイルをWebブラウザから登録した場合、一時的に保存された平文ファイルのバックアップがQサービスのサーバ上に保管され続ける可能性があります。従って、同期用FSの拡張機能として暗号化フォルダ内のファイルのバックアップのうち暗号化されていないバックアップのファイルは自動で削除するようにすべきです。
[答] 場合:利用者が、暗号化していないファイルをWebブラウザで登録した場合
修正内容:暗号化されていないバックアップのファイルを自動で削除する。
修正内容:暗号化されていないバックアップのファイルを自動で削除する。
[設問6]
P.26下段にも記述がありますが、IPAが公表している組織における内部不正防止ガイドラインの4-1基本方針 (16)業務委託時の確認の部分が参考となります。
IPAの組織における内部不正防止ガイドライン
IPAの組織における内部不正防止ガイドライン
[答] 委託先のデータ管理の実態を監査によって把握して監督する。
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
0 件のコメント:
コメントを投稿