平成21年秋 情報セキュリティスペシャリスト試験(SC) 午後Ⅱ 問1 解説

IT 情報処理安全確保支援士

問1

問題:2009h21a_sc_pm2_qs.pdf (ipa.go.jp)

解答:2009h21a_sc_pm2_ans.pdf (ipa.go.jp)

 

設問1

a 認証アサーション b サインオフ c リダイレクト
  • SAML(Security Assertion Markup Language)サムル
    OASYSが標準化しているセキュリティ仕様。
    認証情報などを、異なるドメインでも安全に交換することを目的とする標準規格。
    SAMLに対応したWebサイトであれば、SSOが実現できる。
  • SSO(シングルサインオン
    ID・パスワードによる認証を1度行うだけで、複数のサービスにログインできるようにする仕組み。
  • 認証アサーション
    IDP(IDプロバイダ)はSP(サービスプロバイダ)に対して認証情報やユーザー属性などの情報を発行する。これらの情報をアサーションである。
  • リダイレクト
    指定したページから自動的に他のウェブページに転送すること。 

10ページに「利用者が個別にサインオン~」という文言があるので、bは対義として「サインオフ」(オン⇔オフ)となる。※ログアウト等は相応しくない。

設問2

(1) 業務システムごとに拡張属性を定義して使用しており、スキーマが異なるから(35/40文字)

LDAP(Lightweight Directory Access Protocol)エルダップ
ユーザーやコンピュータの情報を集中管理する「ディレクトリサービス」にアクセスするためのプロトコル

スキーマ
構造。

LDAPを使用する業務システムで、 ディレクトリを容易に統合できない理由を答える。

拡張属性は、統合時に複数定義しなおすことで問題ないように見える。
しかし問題文に「容易に統合できない」とあるので、この拡張属性を複数定義することが「容易ではない」と判断できる。

(2) 退職や異動で権限がなくなったはずの者が業務システムにアクセスできてしまう(36/40文字)

 

設問3

(1) 業務対象:顧客情報、業務操作:閲覧
(2)
分離すべき理由:発注起案書申請と発注起案書承認が同一人物によって行われ、架空発注などの不正を発見できないおそれがあるから(52/60文字)
分離後:

f:id:ckpc:20210130222915j:plain

H21秋 SC 午後Ⅱ問1解答から抜粋

内部統制上の問題を答える。

アクセス権付与の原則

  • 権限分掌(責務の分離)
    複数のサブジェクトに権限を分類することで、不正防止や過失の減少につなげる。
  • 最小権限
    サブジェクトには必要最低限の権限を与える。

発注起案書処理機能には、申請と承認がある。

同一人物が申請と承認をどちらも行うことが操作上可能であるため、不正や過失が発生する可能性がある。

 

(3)
職掌変更などで役職に対する役割に変更が発生した場合に、容易に対応できるから(37/45文字)

職掌…担当の職務。
問題文中に「組織変更や職掌変更などに伴うアクセス権付与管理を~」とある。
ロールベースのアクセスでは権限を柔軟に変更することが可能であり、ロール3つで権限分離されている案4が相応しい。

② 申請と承認のような分類されるべき責務が、同じ権限として定義されていないから(37/45文字)

案1と案2は、作成と承認・申請と承認が、同じロールで定義されているため相応しくない。

アクセスコントロールの種類

  • 任意アクセス制御DAC(Discretionary Access Control)
    自分の所有するリソースに、自分でアクセス権を設定する。
    全体統制には向かない。
  • 強制アクセス制御MAC(Mandatory Access Control)
    管理者によってセキュリティポリシに基づいてアクセス権を設定する。
    機密情報管理に向く。
  • ロールベースアクセス制御 ※RBAC(Roll-Based Access Control)
    権限をロール(役割)別に付与し、利用者を適宜マッチングさせる。
    柔軟に権限を変更することが可能。

 

(4)
追加される管理項目:ロールに関する情報(9/10文字)
運用見直しの内容:人事部あるいは管理者によって、従業者の所属組織や職掌の変更の都度、遅滞なく、情報を更新する(45/50文字)

ロールベースのアクセス制御を行うため、ロール情報の追加が必要。

問題文中に「組織変更や職掌変更などに伴うアクセス権付与管理を~」とあるので、「組織変更」「職掌変更」で情報更新をする必要がある。

 

設問4

①認証方式をアプリ認証方式からプロキシ認証方式に変更する(27/40文字)
②認可ロジックをロールベースのアクセス制御に対応した実装にする(30/40文字)

SSO対応以外で、営業管理システムに必要な改修内容を2点挙げる。

11ページに下記の記載あり。

  • アプリ認証方式は、プログラムの構造をかなり変更する必要がある。
  • プロキシ認証方式は、容易に移行が可能。(Webサーバの接続先をSSOサーバに変えるだけ)

4ページの表より、営業管理システムはアプリ認証方式なので、プロキシ認証に変更する必要がある。

 

12ページに下記の記載あり。

  • ロール定義を認証・認可情報リポジトリで一元管理する。

 ロールベースのアクセス制御を行うことになったため、アクセス制御の方式を変える必要がある。