平成21年秋 情報セキュリティスペシャリスト試験(SC) 午後Ⅱ 問1 解説
問1
問題:2009h21a_sc_pm2_qs.pdf (ipa.go.jp)
解答:2009h21a_sc_pm2_ans.pdf (ipa.go.jp)
設問1
a 認証アサーション b サインオフ c リダイレクト
10ページに「利用者が個別にサインオン~」という文言があるので、bは対義として「サインオフ」(オン⇔オフ)となる。※ログアウト等は相応しくない。
設問2
(1) 業務システムごとに拡張属性を定義して使用しており、スキーマが異なるから(35/40文字)
LDAP(Lightweight Directory Access Protocol)エルダップ
ユーザーやコンピュータの情報を集中管理する「ディレクトリサービス」にアクセスするためのプロトコル。スキーマ
構造。
LDAPを使用する業務システムで、 ディレクトリを容易に統合できない理由を答える。
拡張属性は、統合時に複数定義しなおすことで問題ないように見える。
しかし問題文に「容易に統合できない」とあるので、この拡張属性を複数定義することが「容易ではない」と判断できる。
(2) 退職や異動で権限がなくなったはずの者が業務システムにアクセスできてしまう(36/40文字)
設問3
(1) 業務対象:顧客情報、業務操作:閲覧
(2)
分離すべき理由:発注起案書申請と発注起案書承認が同一人物によって行われ、架空発注などの不正を発見できないおそれがあるから(52/60文字)
分離後:
内部統制上の問題を答える。
アクセス権付与の原則
発注起案書処理機能には、申請と承認がある。
同一人物が申請と承認をどちらも行うことが操作上可能であるため、不正や過失が発生する可能性がある。
(3)
① 職掌変更などで役職に対する役割に変更が発生した場合に、容易に対応できるから(37/45文字)
職掌…担当の職務。
問題文中に「組織変更や職掌変更などに伴うアクセス権付与管理を~」とある。
ロールベースのアクセスでは権限を柔軟に変更することが可能であり、ロール3つで権限分離されている案4が相応しい。
② 申請と承認のような分類されるべき責務が、同じ権限として定義されていないから(37/45文字)
案1と案2は、作成と承認・申請と承認が、同じロールで定義されているため相応しくない。
アクセスコントロールの種類
- ロールベースアクセス制御 ※RBAC(Roll-Based Access Control)
権限をロール(役割)別に付与し、利用者を適宜マッチングさせる。
柔軟に権限を変更することが可能。
(4)
追加される管理項目:ロールに関する情報(9/10文字)
運用見直しの内容:人事部あるいは管理者によって、従業者の所属組織や職掌の変更の都度、遅滞なく、情報を更新する(45/50文字)
ロールベースのアクセス制御を行うため、ロール情報の追加が必要。
問題文中に「組織変更や職掌変更などに伴うアクセス権付与管理を~」とあるので、「組織変更」「職掌変更」で情報更新をする必要がある。
設問4
①認証方式をアプリ認証方式からプロキシ認証方式に変更する(27/40文字)
②認可ロジックをロールベースのアクセス制御に対応した実装にする(30/40文字)
SSO対応以外で、営業管理システムに必要な改修内容を2点挙げる。
11ページに下記の記載あり。
- アプリ認証方式は、プログラムの構造をかなり変更する必要がある。
- プロキシ認証方式は、容易に移行が可能。(Webサーバの接続先をSSOサーバに変えるだけ)
4ページの表より、営業管理システムはアプリ認証方式なので、プロキシ認証に変更する必要がある。
12ページに下記の記載あり。
- ロール定義を認証・認可情報リポジトリで一元管理する。
ロールベースのアクセス制御を行うことになったため、アクセス制御の方式を変える必要がある。