2024年 春期 応用情報技術者試験 問1
リモート環境のセキュリティ対策
Q社は、首都圏で複数の学習塾を経営する会社であり、各学習塾で対面授業を行っている。生徒及び生徒の保護者からはリモートでも受講が可能なハイブリッド型授業の導入要望があり、Q社の従業員からはテレワーク勤務の導入要望がある。
【Q社の現状のネットワーク構成】
Q社のネットワーク構成(抜粋)を図1に示す。
注記 学習塾2~学習塾nは学習塾1と同様の構成である。
【Q社の現状のセキュリティ対策】
Q社のセキュリティ対策は次のとおりである。
・パケットフィルタリングポリシーに従った通信だけをFWで許可し、その他の通信を遮断している。
・業務上必要なサイトのURL情報を基に、URLフィルタリングを行うソフトウェアをプロキシサーバに導入して、業務上不要なサイトへの接続を禁止している。
・PC及びサーバ機器には、外部媒体の使用ができない設定をした上で、マルウェア対策ソフトを導入して、マルウェア感染対策を行っている。
・PC、ネットワーク機器及びサーバ機器には、脆弱性に対応する修正プログラム(以下、セキュリティパッチという)を定期的に確認した後、適用する方法で、脆弱性対策を行っている。
【Q社の現状のセキュリティ対策に関する課題】
・ネットワーク機器及びサーバ機器のEOL(End Of Life)時期が近づいており、機器の更新が必要である。
・セキュリティパッチが提供されているかの調査及び適用してよいかの判断に時間が掛かることがある。
・ルータとFWを利用した①境界型防御によるセキュリティ対策では、防御しきれない攻撃がある。
・セキュリティインシデントの発生を、迅速に検知する仕組みがない。
Q社では、ハイブリッド型授業とテレワーク勤務が行えるリモート環境を実現し、Q社のセキュリティに関する課題を解決する新たな環境を、クラウドサービスを利用して構築することになり、情報システム部のR課長が担当することになった。
【リモート環境の構築方針】
R課長は、境界型防御の環境に代えて、いかなる通信も信頼しないというaの考え方に基づくリモート環境を構築することにした。
R課長は、リモート環境について次の構築方針を立てた。
・クラウドサービスへの移行に伴い、ネットワーク機器及びサーバ機器は廃棄し、今後のQ社としてのEOL対応を不要とする。
・②課題となっている作業を不要にするために、クラウドサービスはSaaS型を利用する。
・セキュリティインシデントの発生を迅速に検知する仕組みを導入する。
・従業員にモバイルルータとセキュリティ対策を実施したノートPC(以下、貸与PCという)を貸与する。今後は、本社、学習塾及びテレワークでの全ての業務において、貸与PCとモバイルルータを使用してクラウドサービスを利用する。
・貸与PCから業務上不要なサイトへの接続は禁止とする。
・生徒は、自宅などのPC(以下、自宅PCという)からクラウドサービスを利用してリモートでも授業を受講できる。
【リモート環境構築案の検討】
R課長はリモート環境の構築方針を部下のS君に説明し、構築する環境の検討を指示した。
S君はリモート環境構築案を検討した。
・リモート環境の構築には、T社クラウドサービスを利用する。
・貸与PCからWebサイトを閲覧する際は、③プロキシを経由する。
・貸与PCからインターネットを経由して接続するWeb会議、オンラインストレージ及び電子メール(以下、メールという)を利用することで、Q社の業務及びリモートでの授業を行う。
・貸与PCからT社クラウドサービスへのログインは、ログインを集約管理するクラウドサービスであるIDaaS(Identity as a Service)を利用する。従業員はIDとパスワードを用いてシングルサインオンで接続してクラウドサービスを利用する。
・④SIEM(Security Information and Event Management)の導入と、アラート発生時に対応する体制の構築を行う。
・貸与PCには、マルウェア対策ソフトを導入し、外部媒体が使用できない設定を行う。また、⑤紛失時の情報漏えいリスクを低減する対策をとる。
・生徒は、自宅PCからインターネット経由で、Web会議に接続して、リモートで授業を受講できる。
S君が検討したリモート環境構築案(抜粋)を図2に示す。
【構築案への指摘と追加対策の検討】
S君は検討した構築案についてR課長に説明した。すると、セキュリティ対策の不足に起因するセキュリティインシデントの発生を懸念したR課長は、「aでは、クラウドサービスにアクセスする通信を信頼せずセキュリティ対策を行う必要があるので、エンドポイントである貸与PCと自宅PCに対する攻撃への対策及びクラウドサービスのユーザ認証を強化する対策が必要である。追加の対策を検討するよう」と指摘した。
R課長が懸念したセキュリティインシデント(抜粋)を表1に示す。
| 項番 | 分類 | セキュリティインシデント |
|---|---|---|
| 1 | 貸与PC | ゼロデイ攻撃によるマルウェア感染 |
| 2 | ファイルレスマルウェア攻撃によるマルウェア感染 | |
| 3 | 自宅PC | マルウェア感染した自宅PCからWeb会議への不正アクセス |
| 4 | クラウドサービスのユーザ認証 | 不正ログインによる情報漏えい |
S君は、R課長の指摘に対して、表1のセキュリティインシデントに対応した次の対策を追加することにした。
・項番1、2の対策として、貸与PCに⑥EDR(Endpoint Detection and Response)ソフトを導入する。
・項番3の対策として、T社クラウドサービスは不正アクセス及びマルウェア感染の対策がとられていることを確認した。
・項番4の対策として、知識情報であるIDとパスワードによる認証に加えて、所持情報である従業員のスマートフォンにインストールしたアプリケーションソフトウェアに送信されるワンタイムパスワードを組み合わせて認証を行う、bを採用する。
S君は、これらの対策を追加した構築案をR課長に報告し、構築案は了承された。