「クラウドサービス」のセキュリティ対策検討に関する問題の解法
要件4(SaaSへのアクセス制御)
続けて、要件4です。要件4は下記のとおりです。
要件4:業務で利用するSaaSは、総務Gが契約したSaaSだけに制限する。ただし、業務での情報収集は妨げないようにする
問題文によると、現行は業務で新たにSaaSを使用する際、会社で統一された承認ルールはなく、各部の判断でSaaSの利用契約を締結しているため、会社全体としてどのようなSaaSが利用されているか把握できていません。この状態では、各SaaSへ接続するためのアカウント管理も部門任せとなってしまうため、パスワードの使いまわしや退職者のアカウント削除漏れ等が発生する可能性が高くなります。また、SaaSで取り扱う情報の統制も図れないため、企業にとって重要な情報が漏えいしたり、漏えいしたこと自体に気づかない可能性もあります。
なお、これもトラブル2防止の目的になっています。
要件4に関連する問題は、設問4(1)です。
設問4(1) 本文中の下線⑤で示した、C社において支障が出る業務とは何か。一つ挙げ25字以内で述べよ。
下線部⑤とその付近には下図のように記載されています。
下線部⑤の内容
この設問では、総務Gが契約したSaaS、企業情報検索、出張先への経路検索、C社の情報システムへのアクセスだけを許可してそれ以外のアクセスをすべて遮断すると支障が出る業務は何か問われているので、C社の業務でこれ以外に外部へのアクセスが必要な業務はないか、問題文から判断していきます。
問題文では、C社の業務について下図のように記載されていました。
C社の業務についての記載
ここから、上記でアクセス制御する業務以外には、事業部や企画部で顧客への提案や企画の立案時にインターネットから情報を収集して加工する業務があるとわかります。そのため、解答例は「インターネットを使って情報収集する業務」もしくは「事業部や企画部の顧客への提案や企画の立案」などになります。
また、要件4を実現するには利用できるSaaSを制限するための製品やサービスを導入する必要がありますが、本問題ではサービスNを利用するとあります。サービスNはプロキシ型のクラウドサービスで、下図のような機能を有していると記載があるので確認しておきましょう。
サービスNの機能
サービス内容から、サービスNはCASB(Cloud Access Security Broker)を実現するものと考えられます。CASBは、利用者とクラウドサービス事業者との間にコントロールポイントを設けて、クラウドサービス利用の「可視化」「コンプライアンス」「データセキュリティ」「脅威防御」を提供する仕組みです。CASBを導入することで、管理者はシャドーITを発見し従業員のクラウドサービス利用の管理・制御を行うことが可能となります。
サービスNの機能のうち、要件4を満たす機能についての問題が出題されています。
設問4(2) 要件4は、表3中のどの機能で実現できるか。表3中の番号で一つ答えよ。
要件4は、実際には総務Gが契約したSaaSのWebサイトへのアクセスを制限することになるので、この設問の回答は「2 (URLフィルタリング機能)」になります。
要件5(認証IDの制限)
続いて、要件5です。要件5は下記のとおりです。
要件5:総務Gが契約したSaaSには、総務Gが管理するアカウントでアクセスする。C-PCからは、従業員が個人で管理するアカウントでのアクセスができないようにする
要件4は接続させるSaaSの制限でしたが、今度はさらにそのSaaSへ接続するアカウントを制限することになります。要件5は同じSaaSサービスで、個人のアカウントと企業のアカウント2種類を持っている場合を想定しています。例えば、Microsoft365やBOXなどを想像いただけるとわかりやすいと思います。企業のネットワーク内からこれらのSaaSに個人アカウントでの接続を制限することで情報漏えい等を防ぐことができます。自社のテナント以外へのアクセスを制限することから、テナント制限とも呼ばれています。
これを実現できるサービスNの機能については、設問4(3)で問われています。
設問4(3) 要件5は、表3中のどの機能で実現できるか。表3中の番号で一つ答えよ。
サービスNの機能のなかで、SaaSのアカウントつまり利用者IDの制限をかけられるものを選択すれば良いので、解答は「1(利用者IDによるフィルタリング機能)」となります。
また、本問題ではIDaaSであるサービスQと、セキュリティ対策を提供するサービスNの2つを組み合わせて要件4と5を実現しています。これは設問4(4)で触れられています。
設問4(4) 本文中の下線⑥について、図3中のどの段階で遮断されるかを、解答群から選び、記号で答えよ。また、総務Gが管理していない機器かどうかはどのような方法で判定するか。判定の方法を30字以内で具体的に述べよ。
解答群
ア 1.~2. イ 3.~4. ウ 5.~6. エ 7.~8. オ 9.~10.
下線⑥は「総務Gが管理していない機器からのサービス要求があった場合は、シーケンスが途中で遮断される」とあります。
また、問題文中の図3は下図のようになっています。
サービスQとサービスNを利用した場合の動作の概要
IDaaSを用いる場合、利用者はSaaSに直接ログインをするのではなく、IDaaSにログインし認証を受けてからSaaSに接続する流れになります。図3を上から見ていくと、まず1.〜2.で利用者からSaaSにアクセス要求があります。3.~4.でそのアクセスにSaaS側からIDaaS(サービスQ)にログインするようリダイレクトの指示があります。5.~6.で実際にIDaaS(サービスQ)へログインが行われています。ここで認証に必要な情報を提示しますが、提示できないとログインできず終了となります。ここまでの流れを遮断すると正規の利用者でもログイン可否の判断ができなくなってしまうため、解答は「ウ」となります。
また、総務Gが管理していない機器かを判定するためには、サービスQにログインする際にそれぞれの機器に固有の情報で認証する必要があります。サービスQの概要に「2.接続元の認証で利用できる認証方式」と記載があるので、この中の機器固有の情報を用いた認証方式が解答になります。よって、解答は「TLSクライアント認証で検証」です。なお、他の認証方式について、利用者ID及びパスワードやワンタイムのパスワードは知識による認証で知っている人は誰でもログインできるため誤りです。また、生体認証は人に紐づく認証であり機器固有ではないため誤りです。
また、要件4、5を満たし、維持するための方法について設問6(2)で問われています。
設問6(2) 本文中の下線部⑧について、要件4,5を満たし、それを維持すためには、どのソフトウェアをどのように設定する必要があるか。40字以内で述べよ。
下線部⑧は要件2のところでも記載しましたが、「持出C-PCは、セキュリティ設定とソフトウェアなどの導入を行ってから従業員に貸与する」です。
まず、持出C-PCで導入されるソフトウェアは何かを考えます。持出C-PCはオフィス外で業務に利用するモバイルPCであり、インターネット接続を伴います。持出C-PCで要件4、5を満たすためには接続制限が必要なのでサービスNを利用します。サービスNを利用する場合、本文中に「機器からインターネットへの通信を全てサービスN経由で行うなどの制御を行う端末制御エージェントソフトウェア(Pソフト)を機器に導入する必要がある」とあります。そのため、持出C-PCに導入するのはPソフトと分かります。要件4、5を維持するにはPソフトで制御し続ける必要があるので、ソフトウェアの停止やアンインストールはできないようにしておかなければなりません。これについて、本文には「管理者が、Pソフトを、一般利用者権限では動作の停止やアンインストールができるように設定することができる」とあるので、解答はこの内容を40文字以内で記載できればよいです。解答例としては、「管理者が、Pソフトを、一般利用者権限では変更できないように設定する。」となります。
要件6 (責任範囲の明確化)
続いて、要件6です。要件6は下記のとおりです。
要件6:業務で利用するSaaSは、その安全性を総務Gが判断した上で契約する
SaaSはアプリケーションまでをクラウドサービス提供者が提供するため、ハードウェア、ネットワーク、OS、ミドルウェア、アプリケーションに関わるセキュリティ対策もクラウドサービス提供者が責任を負う必要があります。利用者側から見ると、これらの領域のセキュリティ対策は自分自身でコントロールできないため、利用者側のセキュリティ要件を満たすように対策できているかを、セキュリティ規格に準拠していることの第三者による認証で確認する必要があります。
その規格および認証については、設問5(1)で触れられています。
設問5(1) 本文中の下線部⑦について、規格又は認証の例を20字以内で答えよ。
下線部⑦は「SaaS又はSaaS事業者が何らかのセキュリティ規格に準拠していることの第三者による認証」となっています。クラウドサービスのセキュリティに関する代表的な国際認証規格は次のとおりです。この設問では下記の名称が答えられれば正解となります。
| 名称 | 概要 |
|---|---|
| ISAE3402/SSAE16 | 「ISAE3402」はサービスを提供する受託会社の内部統制の有効性を証明する各国会計士による保証業務の国際基準。また「SSAE16」はISAE3402に準拠した米国公認会計士協会の基準。内部統制状況の報告の様式としてSOC(Service Organization Control)がある |
| ISMSクラウドセキュリティ認証 (ISO/IEC 27017) |
クラウドサービスの提供や利用に適用されるクラウドセキュリティの第三者認証。ISMSとして知られるISO27001認証を補完する「アドオン認証」としての位置づけとなっている |
【Tips】ISMAPについて
上記以外に国内で多く参照されているのがISMAP(政府情報システムのためのセキュリティ評価制度です。ISMAPは政府が求めるセキュリティ要求を満たすクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。この制度では、クラウドサービス事業者がISMAPの管理基準を満たしているかを第三者によって監査し、認められた事業者のみがISMAPクラウドサービスリストに登録されます。
実務でも、クラウドサービス事業者の選定にあたって上記の認証を取得しているかは、信頼できる事業者かを見極めるうえで必要になってきます。
要件7 (情報漏えい対策)
最後に要件7です。要件7は下記のとおりです。
要件7:業務で利用するSaaSからの情報漏えいを防ぐための技術的対策を導入する
SaaSを利用するにあたって最終的な脅威となるのは情報漏えいです。要件6までを満たすための対策によりID管理やアクセス制御を実施できるため、データにアクセスされる前までは対策できます。ただし、万一不正アクセス等を受けた場合には効果がありません。そのため、情報漏えいにはデータを直接守る技術的対策を検討していく必要があります。
本要件については、設問5(2)で触れられています。
設問5(2) 本文中のdに入れる適切な番号を表3中の番号で一つ答えよ。
本文中でdが出てくる箇所は下図のとおりです。
【d】の付近の文章
ここには、dの機能を利用することで「サービスNを経由しない不正アクセスによるSaaSからの情報漏えいを防ぐ」とあります。不正アクセスによるSaaSからの情報漏えい対策はデータそのものの暗号化が挙げられるので、解答は「4 (保管時の自動暗号化機能)」です。
おわりに
今回は、令和3年度 春期試験 午後Ⅱ問題 問2のクラウドサービスに関する問題を解説しました。クラウドサービスの形態と責任共有モデルを意識し、その具体的な対策法をしっかりと理解しておきましょう。
実務でも、社外のクラウドサービスを社内で利用させるためのセキュリティを検討する機会は今後ますます増えていくと思われるので、今回の解説が参考になれば幸いです。
次回も引き続き、情報処理安全確保支援士試験の午後問題について解説して行きます。
