情報セキュリティ アドミニストレータ(セキュアド)過去出題問題

 平成17年 午後1 問4

最終更新日 2006/02/17
webmaster@tomnetwork.net

Tomのネットワーク勉強ノート
 過去問(午後)
   情報セキュリティ アドミニストレータ過去問(午後)
     情報セキュリティ アドミニストレータ過去問 平成17年 午後1 問4

4

SSLを利用したWebシステムに関する次の記述を読んで,設問1〜 4に答えよ。

 A大学は,学生と教職員を合わせて,総数4,000人規模の理工系大学である。A大
学では,一昨年度,履修管理と成績管理を主な目的とした教務支援システム(図1)
を導入した。教務支援システムは,教職員の利用を前提として,操作の利便性に配慮
し,標準的なブラウザでアクセスできるようにした。

(1)履修者名簿の参照,変更
(2)単位の取得状況と成績の参照,登録
(3)オンラインシラバス(1)の作成,参照,変更

注(1) 講義要領

図1 教務支援システムの機能

〔教務支援システムの概要〕

 教務支援システムは,基本的にオンラインですべての機能を利用できるように設計
されている。ただし,教務支援システムが扱う対象には,プライバシに関するデータ
や機密データが含まれるので,技術面と運用面の両面からセキュリティを確保するた
めの対策が施されている。例えば,学外からのアクセスも考慮し,SSLが導入された。
特に,【  a  】認証を行うクライアント認証モード(SSLの認証方式の一つ)を
採用した。

 ブラウザにインポートする必要がある“クライアント証明書",“クライアント秘密
かぎ"と“A大学の自己署名によるルート証明書"(以下, この三つを証明書セット
という)は,教務支援システムを含めた学内のコンピュータネットワークを管理する
情報センタが作成し,情報センタ職員が,ユーザである教職員の本人確認を行った後,
フロッピーディスク又はUSBメモリで手渡しすることになった。その際,情報セン
タ職員が利用方法を説明し,必要に応じて,ユーザに代わってパソコン上のブラウザ
などに基本的な設定を行うことにした。さらに,教務支援システムサーバのアクセス
ログを長期間保存することなど,関連する事項を盛り込んだ運用手順書も定めた。導
入後,順調に稼働し,教職員に好評であった。

〔ブラウザの設定〕

 この4月に,X教授がA大学へ移籍してきた。そこで,情報センタ職員のY君が,X
教授が利用するノートパソコン(以下,ノートPCという)上の電子メールの設定と
併せて,教務支援システムの説明と設定を行った。その際に交わした,ブラウザの設
定に関するやり取りを,次に示す。

Y君  :証明書セットのインポートなどの基本設定は終わりました。これで,教務支
     援システムサーバに接続する際にパスワードを入力しなくても,すべての機
     能を利用できるようになります。また,証明書セットの入っているフロッピ
     ーディスクは必要ないので,情報センタに持ち帰ります。
X教授 :了解しました。今後は, URLを指定して接続するだけで,教務支援システ
     ムのメニュー画面が表示されるわけですね。
Y君  :はい。次に,セキュリティに関する設定について説明します。設定画面(図
     2)を見てください。この設定画面で,SSLとTLSの有効/無効を選択します。

SSLv2   (有効・無効)
SSLv3   (有効・無効)
TLS     (有効・無効)

注 下線は選択されている状態を示す。

図2 セキュリティに関する設定画面

X教授 :最近,SSLやTLSという言葉を耳にしますが,よく分からないので,教えて
     ください。
Y君  :はい。SSLは,主に,Webサーバとブラウザ間の通信において,セキュリテ
     ィを確保するための技術です。バージョン2(SSLv2)とバージョン3
     (SSLv3)がありますが,SSL173の方が多機能で安全とされています。教務
     支援システムでは,SSLv2での接続の設定は,必ず“無効"を選択してくだ
     さい。
X教授 :分かりました。
Y君  :また,TLSはSSLv3とほぼ同じものです。SSLやTLSによって,@ 真正性,
     機密性,完全性
を確保できます。別の言い方をしますと,教務支援システム
     サーバとの通信において,A“なりすまし",“盗聴",“改ざん"を防ぎます。
     最後に,詳細設定は変更しなくてもよいのですが,せっかくですから,SSL
     の詳細項目に関する設定画面(図3)を,簡単に確認してみましょう。

RSA 及び128 ビットかぎとMD5 MAC による, RC4 暗号化          (有効・無効)
RSA 及び168 ビットかざとSHA - 1 MAC による, 3DES 暗号化       (有効・無効)
RSA 及び56 ビットかざとSHA-1 MACによる, DES 暗号化          (有効・無効)
RSA 及び56 ビットかぎとSHA-1 MACによる, RC4 暗号化          (有効・無効)
RSA 及び56 ビットかぎとSHA-1 MACによる, CBCモードのDES 暗号化  (有効・無効)

注 下線は選択されている状態を示す。

図3 SSLの詳細項目に関する設定画面(抜粋)

Y君  :RSAは,【  b  】かぎ暗号方式の一種です。暗号化や【  c  】を目
     的に使われています。さらに, これらのほかに,【  c  】のためにDSA,
     かぎ共有のためにDHという組合せも用意されています。それから,RC4,
     3DES,DESは,それぞれ,【  d  】かぎ暗号方式の一種です。
X教授 :SSLやTLSでは,両方の暗号方式を用いるのですか。
Y君  :はい。認証には公開かぎ暗号方式を,通信データの暗号化には共通かぎ暗号
     方式を用いています。ただし,公開かぎを用いたシステムを利用する場合は,
     B“ユーザやサーバの識別情報"と“その公開かぎ"との対応を保証するル
     ート証明書が信頼できるものでなければなりません。
図3で, MD5とSHA-
     1はメッセージダイジェストのアルゴリズムです。これらは主に,C メッセ
     ージ認証コード(MAC)
で利用されます。また,128,168,56ビットは
     【  d  】かぎ暗号方式のかぎ長を示します。一般に,同じ方式であれば,
     かぎ長は長い方が安全とされています。CBCは,【  e  】暗号の利用モ
     ー ドの一つです。現時点で教務支援システムを使う場合,ブラウザの詳細設
     定はこのままで結構です。
X教授 :難しいですね。普通に使っている分には知らなくてもいいことですよね。
Y君  :ええ。でも,将来,設定変更をお願いするかもしれませんので,記憶の片隅
     にとどめておいてください。詳細については,先日,情報センタにお越しい
     ただいた際に,私がお渡しした運用手順書にも記載されています。
X教授 :分かりました。では,ブラウザのブックマークに教務支援システムサーバの
     URLを登録しておきます。

〔X教授のノートPCの利用状況〕

 X教授は,今回,Y君が設定したノートPCを,教務支援システムサーバヘの接続
だけではなく,研究発表のプレゼンテーションや論文作成などにも活用していた。と
ころが,セキュリティ意識は低く, これまで, ノートPC起動時のパスワード認証を
設定していなかった。その点に関して,ある学生から指摘されたことがあった。しか
し,普段,かぎの掛かる自室で利用することが多く,ノートPCから目を離すことも
ほとんどないので,大丈夫だと安心していた。

〔インシデントの発生と再発防止策〕

 X教授はその年度末,地方への出張が続いた。そんなある日,出張先でノートPC
を紛失してしまった。X教授は出張から戻つた翌日に,別のノートPCを用意し,電
子メールなどの再設定をしてもらうため,Y君に連絡し,古いノートPCの紛失の経
緯も併せて伝えた。それを聞いたY君が,念のため,教務支援システムサーバのアク
セスログを調べたところ,紛失した日からこれまでに,D X教授のユーザIDのアク
セスが数件記録されていた。
幸い,プライバシに関するデータや機密データは,事務
処理のため,紛失前に別のサーバヘ移動していたおかげで大事には至らなかったが,
情報センタはX教授のアカウントを即座に無効にした。さらに,情報センタでは,
このほかにも報告されていないPC紛失などがあるかもしれないことを懸念して,当
面は学外からの教務支援システムサーバヘの接続を全面的に停止することにした。

 その後,情報センタは学外との接続を再開するに当たって,インシデントの再発防
止のため,教務支援システムサーバのアクセス制御方法や,接続するクライアントの
設定などについて検討した。その結果,“PC(ノートPCを含む)起動時のパスワー
ド認証を有効にすること"といった,PC利用に関する一般的な項目だけではなく,
E教務支援システムのユーザが利用するブラウザを対象とした新たな項目を,運用手
順書に加えることにした。また,すべてのユーザの“クライアント証明書"と“クラ
イアント秘密かぎ"を更新し,再配付した。さらに,教務支援システムサーバに接続
するPC(ノートPCを含む)が盗難に遭った場合や紛失した場合,速やかに情報セン
タに報告すべきことを運用手順書に加えた。


設問1

本文中の【  a  】 〜 【  e  】に入れる適切な字句を解答群の中から選び,記号で答えよ。

  解答群

    ア 暗号スイート   イ 共通      ウ 公開
    エ ストリーム     オ 相互      カ ディジタル署名
    キ バイオメトリクス ク 復号      ケ ブロック

設問2

本文中の下線B のように,ルート証明書を信頼できるものとするために,A
大学ではどのような運用をしているか。40字以内で述べよ。

設問3

本文中の下線C のメッセージ認証コード(MAC)を用いる目的は何か。達成
するための手段を含めて,20字以内で述べよ。ただし,下線@ と下線A から,
それぞれ用語を一つずつ選択して記述すること。

設問4

本文中の下線D のなりすましが発生した理由を考慮して,新たに運用手順書
に追加されることになった下線E の項目を,40字以内で述べよ。

Tomのネットワーク勉強ノート
 過去問(午後)
   情報セキュリティ アドミニストレータ過去問(午後)
     情報セキュリティ アドミニストレータ過去問 平成17年 午後1 問4