情報処理技術者試験ナビ

当サイトは準備中です。

情報処理安全確保支援士 H29春 午後Ⅰ 問3

問題

クラウドサービスの認証連携に関する次の記述を読んで,設問1〜3に答えよ。

 F社は,従業員数300名のソフトウェア開発会社である。F社では,社外のクラウドサービスを試行的に導入し始めており,交通費精算サービス,グループウエアサービス,オンラインストレージサービスの三つを現在利用している。これらのクラウドサービスには,各クラウドサービスの利用者IDとパスワードを用いてログインする。これらのクラウドサービスは,社内からの利用に限定するという社内ルールを定めている。
 従業員が利用する端末は,社内ネットワークに設置されており,ウイルス対策ソフトが導入され,最新のウイルス定義ファイルが毎日適用されている。社外から社内ネットワークへの通信はファイアウォールによって禁止されている。端末からクラウドサービスを利用する際には,プロキシサーバを経由する必要がある。

〔クラウドサービスへの不正アクセス〕  ある日,交通費精算サービスで従業員の振込先口座が勝手に変更されたとの相談が,経理部から情報システム部のC主任にあった。Rさんの振込先口座がF社指定の銀行以外の口座に変更されていたので,Rさんに確認したところ,本人による変更ではないことが分かったとのことであった。
 C主任は,社外の攻撃者による不正アクセスの可能性を考え,交通費精算サービスに記録されているログイン記録を調査した。F社で利用しているクラウドサービスではログイン記録として,アクセス日時,利用者ID,接続元IPアドレス,接続先URLが記録されている。調査の結果,Rさんの利用者IDによるログイン記録には接続元IPアドレスとして,F社のIPアドレス以外に,海外のIPアドレスが一つあった。Rさんに話を聞いたところ,このログインには心当たりがないということであった。Rさんに更に詳しく話を聞いたところ,4月9日に交通費精算サービスから登録情報の確認を促す電子メール(以下,メールという)が1通Rさんの私用メールアドレスに届いており,Rさんが4月10日にそのメールを自宅で読み,記載内容に従って自宅からログイン操作を行ったことが分かった。そのメールをRさんから転送してもらい,C主任がメールに記載されていたURLを確認したところ,交通費精算サービスを模したフィッシングサイトであった。C主任はこのフイッシングサイトから利用者IDとパスワードが盗まれた可能性が高いと判断した。そこで,Rさんがパスワードを使い回している可能性も考慮して,他のクラウドサービスに対するRさんのログイン記録も調査した。その結果,他のクラウドサービスに対するRさんの利用者IDを用いたログインは,F社からのものだけであることを確認した。
 今回は金銭的な損害に至らなかったが,情報システム部のB部長は早急な対策が必要と考え,C主任に暫定対策の実施と根本的な対策の検討を指示した。

〔暫定対策の実施と根本的な対策の検討〕
 C主任はまず,暫定対策として三つの対策を行うことにした。第一に,フィッシングメールに注意するよう従業員に周知した。第二に,F社で利用している各クラウドサービスに対するログイン記録をC主任が調査して,①F社以外からのログインがあった利用者IDを特定し,その利用者IDを利用する者にはパスワードを変更させることにした。第三に,F社以外からのログインを検知できるよう,ログイン記録の監視を行うことにした。C主任は暫定対策が完了したことを確認し,根本的な対策の検討を開始した。
 C主任は,今回の不正アクセスの原因の一つが,F社のIPアドレス以外からクラウドサービスへのログインが可能になっていたことにあると考え,F社のIPアドレス以外からのログインを制限することが可能か調査した。F社で利用しているクラウドサービスのうち,グループウェアサービスだけは,接続元IPアドレスを制限する機能を備えていたので,その機能を有効化し,社内からだけログインできるように設定した。しかし,残りのクラウドサービスは接続元IPアドレスの制限機能を備えていなかった。
 C主任は,接続元を制限する他の方法を検討した。その結果,クラウドサービスへログインする際,F社に既に設置してあるLDAPサーバでの認証を必要とすることにすれば,接続元を制限できるようになると考えた。そこで,F社で利用しているクラウドサービスを調べたところ,全てSAML(Security Assertion Markup Language)を用いた認証連携に対応していることが分かった。C主任は,クラウドサービスとLDAPサーバとの間で,SAMLを用いた認証連携による接続元の制限を検討することにした。

 

〔SAMLを用いた認証連携と接続元制限方式の概要〕
 SAMLは,認証,認可などの情報を安全に交換するためのフレームワークである。SAMLを用いることによって,利用者にサービスを提供するサービスプロバイダ(以下,SPという)と,IDプロバイダ(以下,IdPという)との間で利用者の認証結果などの情報を安全に連携することができる。SAMLには複数の処理方式が存在する。今回F社で導入を検討している方式のシーケンスを図1に示す。図1中の各通信のプロトコルは,IdPとLDAPサーバ間はLDAPであり,それ以外はHTTP over TLSである。

f:id:honmurapeo:20170424135406p:plain

 SAMLを用いた認証連携を行うためには,事前にIdPとSPとの間で様々な情報を共有することによって,信頼関係を構築しておく必要がある。事前に共有する情報としては,通信の方式や連携する属性情報などが記述されたメタデータ,  e  で生成して送出するURL,  f  において必要なIdPのディジタル証明書などがある。
 図1中の処理1〜4の処理内容を表1に示す。

f:id:honmurapeo:20170424135424p:plain

 C主任は図1のシーケンスから,②IdPを社内ネットワークに設置しても認証情報の連携が成立することを確認した。そこで,IdPは社内ネットワークに設置し,IdPのログイン画面のURLのFQDNには,社内のFQDNを割り当てることにした。

〔SAMLを用いた認証連携と接続元制限の動作検証〕
 最後にC主任は,F社で利用しているクラウドサービスを用いて,SAMLによる認証連携の動作を検証することにした。C主任はIdPを社内ネットワークに設置して必要な設定を行い,各クラウドサービス上に,既に利用しているものとは別の検証用アカウントを作成し,社内からのクラウドサービスへのログインが可能であることを確認した。また,③社外からクラウドサービスへのログインを試みると,失敗することも確認した。
 C主任は検証結果をB部長に説明し,承認を得て,SAMLを用いた認証連携と接続元制限を開始した。また,シングルサインオンも併せて実現したことによって,クラウドサービスを利用する従業員の利便性も向上させることができた。

 

IPA公開情報

出題趣旨

 (公表前)

採点講評

 (公表前)