情報処理安全確保支援士試験 2010年 秋期 午後1 問01
データ伝送のセキュリティ設計に関する次の記述を読んで,設問1~4に答えよ。
Z社は、従業員数10,000名の保険会社である。Z社は、100ある社内システムの構築をシステムごとにSIベンダのA社、B社、C社、D社のいずれかに発注している。各SIベンダは、ネットワーク機器、サーバ機器、OS及びミドルウェアを販売するとともに、業務アプリケーションの開発とシステムの構築を行い、運用をZ社情報システム部門に引き継いでいる。
Z社情報システム部門は、幾つかのシステムごとに1名の運用管理者と複数名の運用担当者からなる運用チームを編成して自社のデータセンタ(以下、DCという)内で社内システムを運用している。また、Z社情報システム部門は、システムの運用において、各製品の保守サービスに加えて、各SIベンダの拡張保守サービスを利用している。拡張保守サービスとは、障害時に業務アプリケーション又は製品の不具合が疑われる場合、保守担当者が派遣され、障害対応の支援を行うサービスである。派遣された保守担当者は、障害箇所を調査し、原因を分析するのに必要なデータ(以下、資料データという)を取得して可搬記憶媒体に保管し、社外への持出し手続きをした上で自社に持ち帰る。保守担当者は、持ち帰った資料データを自社の業務アプリケーション開発部門又は製品開発部門にイントラネット経由で送付し、原因分析と対処方法の検討を依頼する。
資料データは、業務アプリケーション、ネットワーク機器、サーバ機器、OS及びミドルウェアが出力する、ログ、内部トレースデータ、メモリダンプ及びネットワークトレースデータである。資料データは、Z社の秘密情報を含むことがあるので、Z社と各SIベンダとの秘密保持契約によって、他社への開示が禁止されている。例えば、A社の保守担当者は、取得した資料データを、B社、C社、D社及びその他の企業に開示することが禁止されている。
Z社では、運用管理者による事前承認を前提に、可搬記憶媒体を用いた社外への資料データ持出しを認めていたが、ある日、SIベンダの保守担当者が資料データの入った可搬記憶媒体を紛失する事故が発生した。Z社情報システム部門は、この事故の対応策として、Z社DCと各SIベンダ拠点との間で可搬記憶媒体を使わずにネットワーク経由で安全に資料データを伝送するシステムの検討を始めた。
〔資料データの伝送方式案〕
Z社情報システム部門のH部長は,部下のI君とJ君に,資料データの伝送方式を検討し,伝送方式のセキュリティ設計についてセキュリティエンジニアのK主任のレビューを受けるよう指示した。
I君は,セキュリティを重視した資料データの伝送方式案(以下,案1という)を作成した。案1におけるネットワーク構成を図1に示す。
案1では,資料ファイルを各SIベンダ専用のWebサーバ上にアップロードしておき,各SIベンダの複数の保守担当者が,自社の拠点に設けた専用室内の専用PCから,広域イーサネット経由でWebサーバにアクセスし,資料ファイルをダウンロードする。専用PCとベンダPCはネットワークで接続されておらず,保守担当者は,資料ファイルをダウンロードした後,専用室内で可搬記憶媒体を介してベンダPCに資料ファイルを移し,自社のイントラネット経由で開発部門に送る。必要となる機器のうち,ベンダPC以外の機器(Webサーバ,専用PC,R,FWなど)は,Z社の遊休資産を使うことで購入不要であるが,広域イーサネットの敷設と専用室の設置に関しては,Z社が費用を負担する必要がある。また、広域イーサネットの敷設には申請から回線開通まで1~2か月の期間を要する。
一方、J君は、セキュリティを考慮しつつ、費用が安い伝送方式案(以下、案2という)を作成した。案2におけるネットワーク構成を図2に示す。
案2では、各SIベンダが既に所有している、イントラネット及びインターネット接続環境を利用する。各SIベンダの複数の保守担当者は、ベンダPCからインターネット経由で共用Webサーバにアクセスし、各SIベンダ専用のディレクトリ上にある資料ファイルをダウンロードする。Z社DC内で必要となる機器は、Z社の遊休資産を使うことで購入不要である。
〔資料データの伝送方式案におけるセキュリティ設計〕
I君とJ君は、伝送方式におけるセキュリティ設計のレビューと併せてどちらの案を選択すべきかをK主任に相談した。K主任は、資料データの伝送方式の運用手順を具体化した上で、データ保護と不正使用防止に必要なセキュリティ要件を業界ガイドラインから洗い出し、そのセキュリティ要件の各項目に対する実装方法をまとめるよう、I君とJ君に指示した。I君とJ君がまとめた、両案における資料データの伝送方式の運用手順を図3に、セキュリティ要件と実装方法を表に、それぞれ示す。
K主任は,表に対して次の4点を指摘した。
指摘1 (ウ)に関して,特に案2においてはアクセス制御ルールの設計が必要である。
指摘2 (エ)に関して,通信ログの取得と保存だけでなく,運用担当者と保守担当者が行った作業の内容を事後確認する必要がある。また,事後確認を確実に行うために,図3の運用手順の修正と,通信ログとして取得するデータ項目の明確化が必要である。
指摘3 案2の場合,(ア)及び(イ)に関して,各SIベンダの情報セキュリティポリシと矛盾していないことを確認する必要がある。
指摘4 案2の場合,インターネットを利用することによってWebサーバの脆弱性をねらった攻撃を受けるリスクが大きくなるので,システム運用においてセキュリティパッチを遅滞なく適用する必要がある。
I君とJ君は,図3及び表の修正を行った。K主任は,修正後の案1と案2はどちらもセキュリティ要件を満たしていると判断し,両案におけるセキュリティ設計を承認した。また,K主任は,二つの案の選択に関してH部長の判断を仰ぐよう,I君とJ君に助言した。H部長は,資料データの伝送方式をSIベンダ以外の協業相手とのデータの受渡しにも適用することを考え,データの受渡し相手が増えた場合にも少ない費用と短い期間で対応可能な案2を選択することを決定した。Z社情報システム部門は,案2に基づいて資料データを安全に伝送するシステムの構築に着手した。
データ伝送のセキュリティ設計に関する次の記述を読んで,設問1~4に答えよ。
設問1
表中の[ a ]〜[ c ]に入れる適切な字句を, それぞれ 10 字以内で答えよ。
模範解答
a:なりすまし
b:クライアント証明書
c:盗聴
解説
解答の論理構成
-
問題文には
「相手端末確認(正規利用者への[ a ]の防止、及び誤接続の防止)」
とあります。正規利用者になりすましてアクセスする行為を防ぐ趣旨なので、[ a ] には「なりすまし」が入ります。 -
同じ行に
「SSL 通信によるクライアント認証(専用 PC 又はベンダ PC に[ b ]を設定する。)」
とあります。SSL/TLS のクライアント認証で端末に設定するものは「クライアント証明書」です。よって [ b ] は「クライアント証明書」となります。 -
「伝送データの漏えい([ c ]による漏えい)の防止」という説明から、ネットワーク経由で第三者が通信内容を盗み見る行為を指していると分かります。ここで適切な語は「盗聴」です。
以上より
a:「なりすまし」
b:「クライアント証明書」
c:「盗聴」
が導かれます。
a:「なりすまし」
b:「クライアント証明書」
c:「盗聴」
が導かれます。
誤りやすいポイント
- [ a ] に「侵入」や「不正アクセス」など広義の語を当ててしまう。設問は“正規利用者への○○の防止”と記載しており、人を装う行為=「なりすまし」が正答です。
- [ b ] を「サーバ証明書」と誤記。クライアント認証で使うのは利用端末側の「クライアント証明書」です。
- [ c ] を「改ざん」とするミス。改ざんは内容を書き換える行為であり、文中の“漏えい”を引き起こす行為としては「盗聴」が正しいです。
FAQ
Q: SSL/TLS でサーバ証明書だけでは不十分なのですか?
A: 不十分です。相手端末確認ではクライアント側の真正性を確立するため「クライアント証明書」による双方向認証が必要です。
A: 不十分です。相手端末確認ではクライアント側の真正性を確立するため「クライアント証明書」による双方向認証が必要です。
Q: 盗聴対策として暗号化以外に有効な手段はありますか?
A: 物理的に独立したネットワークを用意する、VPN トンネルを張る、無線なら電波の到達範囲を制限するなど多層防御が有効です。
A: 物理的に独立したネットワークを用意する、VPN トンネルを張る、無線なら電波の到達範囲を制限するなど多層防御が有効です。
Q: なりすまし防止はクライアント証明書だけで十分ですか?
A: 重要度によっては更に多要素認証(トークン・ワンタイムパスワード等)を組み合わせ、証明書失効管理や端末のセキュリティ強化も合わせて実施すると効果的です。
A: 重要度によっては更に多要素認証(トークン・ワンタイムパスワード等)を組み合わせ、証明書失効管理や端末のセキュリティ強化も合わせて実施すると効果的です。
関連キーワード: SSL, クライアント証明書, 盗聴, アクセス制御, 認証
設問2:指摘1について、(1)、(2)に答えよ。
(1)アクセス制御ルールの設計が特に案2において必要な理由を、案1との違いを踏まえて、25字以内で述べよ。
模範解答
WebサーバがSIベンダ間で共用されるから
解説
解答の論理構成
- 【問題文】には「指摘1 (ウ)に関して,特に案2においてはアクセス制御ルールの設計が必要である。」とあります。まず、この“特に案2”という強調の理由を探します。
- 案1の構成は「案1では,資料ファイルを各SIベンダ専用のWebサーバ上にアップロード」と記載されています。ここではベンダごとに物理的または論理的に独立した Web サーバを用意しているので、他ベンダの領域へ誤ってアクセスする恐れは小さく、アクセス制御の複雑さも限定的です。
- これに対し案2は「案2では…インターネット経由で共用Webサーバにアクセスし, 各SIベンダ専用のディレクトリ上にある資料ファイルをダウンロード」と述べられています。同一の Web サーバを複数ベンダが利用するため、ディレクトリ単位で “誰がどこに” アクセスできるかを厳密に設計しなければ、他ベンダのファイルを閲覧・取得できてしまうリスクが生じます。
- よって、案2では“共用 Web サーバ”という仕組みそのものがアクセス制御ルール設計を不可欠にしており、これが指摘1の趣旨です。
誤りやすいポイント
- 案1もディレクトリ単位のアクセス制御が必要だと早合点し、案2とのリスク差を見落とす。
- 「専用」や「共用」の語だけで判断し、実際の運用(アップロード・ダウンロードするユーザ数、ID 共有有無)を吟味しない。
- アクセス制御=認証方式と混同し、認可(権限設定)の重要性を軽視する。
FAQ
Q: 案1でも誤操作によるファイル流出は起こりませんか?
A: 専用 Web サーバであっても内部の運用担当者が誤って別ベンダ領域へコピーする可能性はあります。ただし物理的・論理的に分離されている分、案2よりはアクセス制御が単純で、設定ミスの範囲が限定されます。
A: 専用 Web サーバであっても内部の運用担当者が誤って別ベンダ領域へコピーする可能性はあります。ただし物理的・論理的に分離されている分、案2よりはアクセス制御が単純で、設定ミスの範囲が限定されます。
Q: ディレクトリ単位のアクセス制御は具体的に何を設定すればよいですか?
A: Web サーバの OS 権限(ファイルシステム ACL)に加え、Web アプリケーション層で利用者 ID とディレクトリのマッピングを行い、“A 社 ID では /A/ のみ閲覧可” といったポリシを実装します。
A: Web サーバの OS 権限(ファイルシステム ACL)に加え、Web アプリケーション層で利用者 ID とディレクトリのマッピングを行い、“A 社 ID では /A/ のみ閲覧可” といったポリシを実装します。
Q: ベンダごとに SSL クライアント証明書を用意すればアクセス制御は不要ですか?
A: 証明書は「誰が接続できるか」を保証しますが、「どこまで操作できるか」を決めるのはアクセス制御です。両者は補完関係にあり、証明書だけでは案2の指摘1を満たせません。
A: 証明書は「誰が接続できるか」を保証しますが、「どこまで操作できるか」を決めるのはアクセス制御です。両者は補完関係にあり、証明書だけでは案2の指摘1を満たせません。
関連キーワード: アクセス制御, 認可, 共用サーバ, ディレクトリ構成, セキュリティ要件
設問2:指摘1について、(1)、(2)に答えよ。
(2)案2において禁止すべきアクセスはどのようなアクセスか。 アクセス対象とアクセス元の利用者を、それぞれ 20字以内で述べよ。
模範解答
アクセス対象:各SIベンダ専用のディレクトリ
アクセス元の利用者:ほかのSIベンダの保守担当者
解説
解答の論理構成
- 表の「アクセス権限確認」には「(ウ) Web サーバにおける、ディレクトリに対するアクセス制御」と明記されています。
- さらに K 主任は「指摘1 (ウ)に関して,特に案2においてはアクセス制御ルールの設計が必要である。」と指摘しています。
- 案2では「各SIベンダの複数の保守担当者は、ベンダPCからインターネット経由で共用Webサーバにアクセスし、各SIベンダ専用のディレクトリ上にある資料ファイルをダウンロードする。」とあり、共用 Web サーバ上に「各SIベンダ専用のディレクトリ」が並立しています。
- Z社とベンダ間の秘密保持契約では「例えば、A社の保守担当者は、取得した資料データを、B社、C社、D社及びその他の企業に開示することが禁止されている。」と規定されており、他社のデータ閲覧は契約違反になります。
- よって設計すべきアクセス制御ルールは「ほかのSIベンダの保守担当者が、自社向けでないディレクトリにアクセスする行為を禁止する」ことであり、回答は以下となります。
アクセス対象:各SIベンダ専用のディレクトリ
アクセス元の利用者:ほかのSIベンダの保守担当者
アクセス元の利用者:ほかのSIベンダの保守担当者
誤りやすいポイント
- 「攻撃者による不正アクセス」と誤解し、社外の第三者を想定してしまう。問題が求めるのは“同じ共用Webサーバを使う別ベンダ”間のアクセス制限です。
- 「ファイル単位での権限制御」と答えてしまう。要件はディレクトリ(フォルダ)単位の排他制御です。
- 秘密保持契約の対象を誤り、運用担当者側の制限と混同してしまう。ここで禁止すべきはベンダ間アクセスです。
FAQ
Q: 運用担当者にもディレクトリ制限は必要ですか?
A: 運用担当者はアップロードと削除を行う立場なので自社システム全体へのアクセス権限が必要ですが、ベンダ専用ディレクトリを誤って操作しないよう権限設定と運用手順を分離すると安全です。
A: 運用担当者はアップロードと削除を行う立場なので自社システム全体へのアクセス権限が必要ですが、ベンダ専用ディレクトリを誤って操作しないよう権限設定と運用手順を分離すると安全です。
Q: ベンダごとに ID を分ければ十分ではありませんか?
A: ID 分割に加え、ディレクトリ単位のアクセス制御を実装しないと、設定ミスや共有 ID の誤使用時に他社ディレクトリへアクセスできてしまうリスクが残ります。
A: ID 分割に加え、ディレクトリ単位のアクセス制御を実装しないと、設定ミスや共有 ID の誤使用時に他社ディレクトリへアクセスできてしまうリスクが残ります。
Q: SaaS 型のファイル共有サービスでも同じ考え方ですか?
A: はい。同一基盤上で複数テナントが共存する場合は、テナント間を完全に分離するアクセス制御が最優先要件になります。
A: はい。同一基盤上で複数テナントが共存する場合は、テナント間を完全に分離するアクセス制御が最優先要件になります。
関連キーワード: アクセス制御, ディレクトリ分離, 利用者認証, 秘密保持契約, 権限管理
設問3:指摘2について、(1)〜(3)に答えよ。
(1)事後確認の具体的内容として、何と何を突き合わせるべきか。 突き合わせるべきものを二つ挙げ、それぞれ7字以内で答えよ。
模範解答
①:通信ログ
②:作業報告書
解説
解答の論理構成
- 【問題文】では、K主任の「指摘2」として
「通信ログの取得と保存だけでなく,運用担当者と保守担当者が行った作業の内容を事後確認する必要がある。」
と明示されています。 - 事後確認で用いる「通信ログ」は、表の(エ)に記載された
「Web サーバにおける、通信ログの取得及び保存」
が対象です。 - 図3の運用手順(6)では
「運用担当者が、作業報告書に、作業日時、運用担当者の氏名、保守担当者の所属と氏名…を記録する。」
とあり、作業内容の記録媒体が「作業報告書」であることが分かります。 - よって、事後確認では
・Webサーバで取得・保存した「通信ログ」
・運用担当者が作成した「作業報告書」
の二つを突き合わせることで、実際に行われたアップロード・ダウンロード・削除などの操作が正当かを検証できます。 - 以上より、解答は
①「通信ログ」
②「作業報告書」
となります。
誤りやすいポイント
- 「アップロード履歴」「ダウンロード履歴」など部分的なログ名を答えてしまう。
- 図3(6)の存在を見落とし、「運用手順書」や「チェックリスト」など別の文書を挙げてしまう。
- 事後確認=リアルタイム監視と誤解し、「アラートメール」などを答える。
- 二つとも同じ種類の資料(例:両方ともログ)を挙げ、突き合わせにならない。
FAQ
Q: 通信ログには具体的に何を残すべきですか
A: アクセス日時、利用者ID、操作種別(アップロード/ダウンロード/削除)、操作対象ファイル名など、図3(1)〜(5)の作業を一意に追跡できる項目を記録します。
A: アクセス日時、利用者ID、操作種別(アップロード/ダウンロード/削除)、操作対象ファイル名など、図3(1)〜(5)の作業を一意に追跡できる項目を記録します。
Q: 作業報告書と突き合わせるタイミングはいつですか
A: 運用管理者が図3(7)で確認印を押す前に、報告書の内容と通信ログを照合し、不一致がないことを確認します。
A: 運用管理者が図3(7)で確認印を押す前に、報告書の内容と通信ログを照合し、不一致がないことを確認します。
Q: ログの保存期間はどの程度が望ましいですか
A: 法的要件や社内規程によりますが、少なくとも障害解析や監査が想定される期間(半年〜一年程度)を基準に設定するのが一般的です。
A: 法的要件や社内規程によりますが、少なくとも障害解析や監査が想定される期間(半年〜一年程度)を基準に設定するのが一般的です。
関連キーワード: 通信ログ, アクセス制御, 利用者認証, 監査証跡
設問3:指摘2について、(1)〜(3)に答えよ。
(2)図3の運用手順に対して行った修正内容を、40字以内で述べよ。
模範解答
運用担当者と保守担当者それぞれの個人に異なる利用者IDを割り当てておく。
解説
解答の論理構成
- 図3の現行手順では
• 手順(2)で「複数の運用担当者が利用者IDを共有する。」
• 手順(3)で「SIベンダごとに、一つの利用者IDを割り当てておく。」
とあり、誰がどの操作を行ったか個人単位で特定できません。 - 指摘2は「運用担当者と保守担当者が行った作業の内容を事後確認する必要がある。」と要求しており、作業者を個人レベルで追跡できること(アカウンタビリティ)が必須です。
- 個人特定を可能にする最短の対応は、共有IDやベンダ単位IDを廃止し「運用担当者と保守担当者それぞれの個人に異なる利用者ID」を付与することです。これにより通信ログの利用者IDと人名が一対一で対応し、指摘2の要件を満たします。
- したがって修正内容は模範解答のとおりとなります。
誤りやすいポイント
- 「通信ログの項目追加」だけで十分と考え、ID共有を残したままにしてしまう。
- 運用担当者だけ個別IDにし、保守担当者をベンダ単位IDのままにする。
- 手順(6)の作業報告書で氏名を記録しているから追跡可能と誤認する。ログと報告書は突合せて整合確認するため双方で個人特定が必要です。
FAQ
Q: ログにIPアドレスが残っていれば個人特定は不要では?
A: IPアドレスはNATや共有端末の使用で複数人が同一になる場合があります。利用者IDを個別にする方が確実です。
A: IPアドレスはNATや共有端末の使用で複数人が同一になる場合があります。利用者IDを個別にする方が確実です。
Q: 個人IDを増やすと管理負荷が心配です。代替策は?
A: SSOやディレクトリサービスで一元管理すれば負荷は抑えられます。ただし個人単位のID払い出し自体は必須です。
A: SSOやディレクトリサービスで一元管理すれば負荷は抑えられます。ただし個人単位のID払い出し自体は必須です。
Q: ベンダ側の社内規定と衝突しないか?
A: 共有ID禁止は一般的な情報セキュリティポリシと整合しますが、念のため「各SIベンダの情報セキュリティポリシと矛盾していないことを確認」するよう指摘3でも求められています。
A: 共有ID禁止は一般的な情報セキュリティポリシと整合しますが、念のため「各SIベンダの情報セキュリティポリシと矛盾していないことを確認」するよう指摘3でも求められています。
関連キーワード: アカウンタビリティ, 利用者認証, ログ管理, ID管理
設問3:指摘2について、(1)〜(3)に答えよ。
(3)Web サーバにおける通信ログとして取得しなければならないデータ項目を三つ挙げ、それぞれ7字以内で答えよ。
模範解答
①:日時
②:利用者ID
③:ファイル名
解説
解答の論理構成
- 【問題文】の「指摘2」で、K主任は「通信ログとして取得するデータ項目の明確化が必要」と述べています。これは、運用後に“誰が”“いつ”“何をしたか”を追跡できるようにするためです。
- 図3の手順(6)では、運用担当者が作業報告書に「作業日時、運用担当者の氏名、保守担当者の所属と氏名、資料データの内容、資料ファイルのファイル名」を記録すると定義されています。通信ログも同じ観点で設計するのが自然です。
- Webサーバ側で自動的に取得でき、かつ事後検証に必須となる要素を抽出すると次の三つになります。
• 「作業日時」:いつアクセスがあったかを示す。
• 「利用者ID」:誰がアクセスしたかを示す。手順(2)(3)でログインを行う設定になっているため必須です。
• 「資料ファイルのファイル名」:どのファイルを操作したかを示す。手順(6)の記録内容にも含まれ、ダウンロードと削除の完了確認に不可欠です。 - 以上より、通信ログとして取得すべき項目は「日時」「利用者ID」「ファイル名」となります。
誤りやすいポイント
- IPアドレスや端末名を優先してしまう
通信経路の追跡には有用ですが、指摘2の目的は“作業の内容を事後確認”することであり、利用者を特定できる「利用者ID」の方が重要です。 - ファイルサイズやハッシュ値を挙げてしまう
機密性検証には役立ちますが、設問は「取得しなければならないデータ項目」を三つと明示しており、優先度の高い基本3要素を外すと失点につながります。 - “氏名”と回答する
図3では複数人でID共有のケースがあるため、通信ログではIDでひも付け、氏名は作業報告書で補完する運用になっています。
FAQ
Q: IPアドレスは取得しなくてもよいのですか?
A: 取得しておくと不正端末の追跡に役立ちますが、設問が求める必須三要素としては「日時・利用者ID・ファイル名」を優先します。
A: 取得しておくと不正端末の追跡に役立ちますが、設問が求める必須三要素としては「日時・利用者ID・ファイル名」を優先します。
Q: ハッシュ値をログに残す案は意味がないのでしょうか?
A: 意味はありますが、ハッシュ計算はサーバ負荷が増すため必須要件には含めず、必要に応じて別途実装する考え方です。
A: 意味はありますが、ハッシュ計算はサーバ負荷が増すため必須要件には含めず、必要に応じて別途実装する考え方です。
Q: 氏名を通信ログに残すのは不可能ですか?
A: ログイン時にIDと氏名を連携させたアプリケーションを組めば可能ですが、標準的なWebサーバログではIDまでが一般的です。
A: ログイン時にIDと氏名を連携させたアプリケーションを組めば可能ですが、標準的なWebサーバログではIDまでが一般的です。
関連キーワード: アクセス制御, ログ管理, クライアント認証, 暗号化通信, セキュリティポリシー
設問4
K 主任が指摘3の内容を指摘した理由を, 30字以内で述べよ。
模範解答
各SIベンダが所有するベンダPCへの設定が必要だから
解説
解答の論理構成
- 指摘3の原文確認
――【問題文】「案2の場合,(ア)及び(イ)に関して,各SIベンダの情報セキュリティポリシと矛盾していないことを確認する必要がある。」
ここで(ア)(イ)は案2の実装時に“各SIベンダ側”で行う設定であり、自社だけでは完結しません。 - ベンダPCが各SIベンダの資産である事実
――【問題文】「案2では、各SIベンダが既に所有している…ベンダPCからインターネット経由で共用Webサーバにアクセスし…」
したがって設定変更は Z 社ではなくベンダ側の端末(ベンダPC)に及びます。 - (ア)の具体的内容
――【表】「(ア) SSL 通信によるクライアント認証(専用 PC 又はベンダ PC に[ b ]を設定する。)」
クライアント証明書などを“ベンダPC”へ導入する必要があります。 - ベンダ側ポリシとの衝突リスク
ベンダPCは「各SIベンダの情報セキュリティポリシ」に基づいて運用されています。外部証明書の導入・設定変更が許可されているとは限らず、事前確認が不可欠です。 - よって、指摘3の理由=「ベンダPCへの設定が必要なため、ポリシに適合しているか確認する必要がある」と導かれます。
誤りやすいポイント
- 「Z社で用意するPCだからポリシ確認は不要」と思い込む
→案2の端末は「各SIベンダが既に所有している」ベンダPCです。 - 指摘3を“インターネット経由なので危険”という観点だけで説明する
→危険性ではなく“ポリシ適合確認”が核心です。 - (ア)だけを対象に考え、(イ)の存在を忘れる
→両方ともベンダPC側設定が絡むため一括して確認が必要です。
FAQ
Q: なぜ専用室を設けない案2でポリシ確認が強調されるのですか?
A: Z社が PC を貸与しないため、証明書導入などはベンダPCで行います。ベンダごとのポリシに合わなければ実施できないからです。
A: Z社が PC を貸与しないため、証明書導入などはベンダPCで行います。ベンダごとのポリシに合わなければ実施できないからです。
Q: クライアント認証の設定とは具体的に何を指しますか?
A: (ア)に記載のとおり、クライアント証明書の組み込みや秘密鍵管理など、SSL/TLS で端末を識別するための設定です。
A: (ア)に記載のとおり、クライアント証明書の組み込みや秘密鍵管理など、SSL/TLS で端末を識別するための設定です。
Q: ポリシとの矛盾があった場合はどう対処しますか?
A: SIベンダと協議し、例外申請や設定代替案(VPN 経由など)を検討・合意してから導入します。
A: SIベンダと協議し、例外申請や設定代替案(VPN 経由など)を検討・合意してから導入します。
関連キーワード: クライアント証明書, セキュリティポリシ, TLS, アクセス制御, 端末設定