[平成２８年度秋] 午後2 問1 解説②

[問題文・解答]

平成２８年度１０月に実施された情報セキュリティスペシャリスト試験の午後２問題 問１の解説を２回に分けて行います。今回は２回目（後半）です。
平成２８年度１０月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H28秋 午後2 問題文]　　　[H28秋 午後2 解答]

[問題概要]

題材は、ICカードを用いた認証システムについてです。

概要は以下の通りで、今回は後半部分の解説を行います。

（前半部分）P.3〜P.8下段　設問1〜2該当範囲

• D社はグループ各社の業務効率向上の為に事業用システムを統合する事を決定し、現行の事業用システムの現状や問題点を調査した。
• 調査結果を基に新システムの基本要件や認証カードの方式設計・運用設計を実施した。

（後半部分）P.8下段〜P.11中段　設問3〜4該当範囲

• 認証にはPKIを用いた公開鍵暗号によるエンティティ認証を採用するため、認証局の階層構成やサーバ証明書の発行・登録手順について検討した。
• 新システムは、社外（取引先）の従業者にも使用してもらうため、取引先従業者への認証カードの貸与方式について検討した。

[設問3]

(1)

ルートCAの公開鍵証明書を登録しなければ、その配下にあるサーバCA-3の発行するサーバ証明書の正当性を確認することが出来ません。この状態でCA-3が発行したサーバ証明書を利用するサーバへWebブラウザでアクセスしようとすると、ブラウザの機能として「サーバ証明書の確認が出来ない旨の警告メッセージが表示されます。
[答] サーバ証明書の正当性を確認できず警告が表示される。

(2)

例えば、D社ルートCAに攻撃者が用意した不正なサーバのサーバ証明書が登録されてしまった場合、D社ルートCAの公開鍵証明書をインストールしているPCから不正なサーバにアクセスしてしまう恐れがあります。そこで、取引先に対してはD社ルートCAの公開鍵証明書を登録したPCは、アクセスするサーバを制限したPCのみとすることで不正なサーバにアクセスしてしまうリスクを軽減出来ます。
[答] PCのWebブラウザが不正なサーバ証明書を信頼し、不正なサーバにアクセスするリスク

[設問4]

(1)

表3のシステムの権限管理の説明より、事業用システムの利用権限はプロジェクトへの参加基幹だけ有効な権限を登録しています。従って、プロジェクトへの参加期間が過ぎると当該システムの利用権限も無くなる為、認証カードによる認証が成功しますが、事業用システムの利用は認可されない状態となります。（カードの紛失時は事業用システムの利用も可能なため、即時失効処理を行う必要があります）
[答] 認証を成功させても、事業用システムの利用の認可が得られないから

(2)

P.9下段〜P.10上段「方式の選択に際して優先される妃機能要件は、第１に事業部門での管理工数が少ないこと、第２にシステム部での管理工数がすくないこと」とあります。
まず、第１優先の事業部門での管理工数についての比較では、表3より管理責任者が方式Aではプロジェクト責任者となっているのに対して、方式Bではシステム部となっています。注記にあるように管理責任者は認証カードの配布・回収・失効処理を行う必要があるため、方式Bの方が優位です。
次にシステム部での管理工数の比較では、方式Aでは貸与枚数がプロジェクトごとに１枚、貸与期間がプロジェクト期間となっているのに対して、方式Bでは貸与対象者ごとに１枚、プロジェクトへの参加期間（プロジェクト間のインターバルが短い場合は継続）となっています。従って、方式Bの方が認証カードの枚数自体も少なくなり、配布・回収の回数も少なくなるため優位です。
[答]
・事業部門は管理責任者の役割を担わず、認証カードの配布・回収を担当しないから
・プロジェクトをまたいで認証カードを共用され、配布・回収の回数が少ないから

(3)

P.11上段に挙げられている試験フェーズ2での問題は、認証カードをオフィスに置き忘れたり、現場事務所に保管しており、他人の認証カードを利用するケースが発生したことです。
認証カードを入退室カードとしても利用することで、認証カードの置き忘れや保管自体が出来なくなるため、上記のような問題を防止出来ます。
[答] 入退室に必要なため、認証カードの置き忘れ及び現場事務所内での保管がなくなる。

上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。