情報処理安全確保支援士 2015年 秋期 午後2 問01

解答の論理構成

1. 【問題文】の「TC端末及びビューアからTCサーバまでの間は、TCサーバ製品独自のプロトコルで通信」より、TC端末・PCが操作するたびに表1「項番1 送信元『PC又はTC端末』―宛先『TCサーバ』」が必ず発生します。
2. (a)では「グループウェアサーバから添付ファイルをダウンロードし…ファイルサーバに転送」と記載されています。
   ・ダウンロードは表1「項番3 送信元『TCサーバ』―宛先『グループウェアサーバ』」
   ・ファイル保存は表1「項番2 送信元『TCサーバ』―宛先『ファイルサーバ』」
   したがって①②③すべてを用いるので「1, 2, 3」となります。
3. (b)は「インターネット上のメールサーバ」から届いたメールを閲覧する流れです。
   ①受信：表1「項番7『インターネット上のメールサーバ』→『メールゲートウェイA』」
   ②社内搬送：表1「項番8『メールゲートウェイA』→『メールゲートウェイB』」
   ③グループウェア格納：表1「項番9『メールゲートウェイB』→『グループウェアサーバ』」
   ④閲覧動作：表1「項番3『TCサーバ』→『グループウェアサーバ』」でメール本文を取得
   ⑤画面転送：前述の「項番1」
   これを項番順に並べると「1, 3, 7, 8, 9」です。
4. (c)は「海外支店のPCを利用して、インターネット上のWebサイトにアクセス」する場面です。
   ・PCはTC端末同様にサーバベース方式を採用しているため、まず「項番1」でTCサーバに接続します。
   ・Webブラウザ（TCサーバ上で稼働）が外部へ出る際は「必ず認証プロキシサーバを経由させる」とあるので「項番10 送信元『TCサーバ』―宛先『認証プロキシサーバ』」が発生します。
   ・認証プロキシサーバはインターネット上のWebサーバと「項番11 HTTP及びHTTPS」で通信します。
   以上より「1, 10, 11」となります。

誤りやすいポイント

FAQ

解答の論理構成

1. 添付ファイルが実行される場所
   • 問題文は「グループウェアクライアントは、グループウェアクライアントの実行環境であるTCサーバの作業フォルダに、グループウェアサーバから添付ファイルをダウンロードし、OSの設定でファイルタイプに関連付けられたクライアントアプリケーションを起動する」と記載しています。
   • したがって、マルウェアが仕込まれた添付ファイルを開いた場合、そのプロセスはTCサーバ上で実行されます。
   • よって「構成要素」は図2中の「TCサーバ」です。
2. 機密ファイルを盗み出すまでの通信
   ① ファイルサーバへのアクセス
   • 表1 項番2「TCサーバ → ファイルサーバ　Windowsファイル共有プロトコル」は、TCサーバ上のアプリケーションがファイルサーバ上のデータを読み書きする経路です。
     ② グループウェアサーバへのアクセス
   • 表1 項番3「TCサーバ → グループウェアサーバ　グループウェア独自プロトコル」は、メール添付や共有文書などグループウェア領域のファイル取得に使われます。
     ③ インターネットへの流出経路
   • TCサーバは直接インターネットへは出られず、表1 項番10「TCサーバ → 認証プロキシサーバ　HTTP及びHTTPS」を通過する必要があります。
   • 認証プロキシサーバは次に表1 項番11「認証プロキシサーバ → インターネット上のWebサーバ　HTTP及びHTTPS」で外部Webサーバへ中継します。
     以上より、マルウェアが利用できる全通信は「2, 3, 10, 11」です。

誤りやすいポイント

• 「画面が表示される＝実行環境」と誤解し、マルウェアがTC端末側で動くと思い込む。実際の実行環境はTCサーバです。
• 表1 項番1（TC端末↔TCサーバ）を含めてしまうミス。画面転送プロトコルはファイル窃取にも外部送信にも使われません。
• 認証プロキシサーバ経由通信を1本とみなして「10だけ」または「11だけ」を答える誤答。必ず2段階の通信が必要です。

FAQ

解答の論理構成

• 【問題文】には「指摘1. 要件2のウイルススキャンが行われない場合がある」とあります。要件2は「ウイルスフィルタリングサーバによって、受信メールの添付ファイル及びWebサイトからダウンロードしたファイルに対するウイルススキャンを行う」と定義されています。
• ウイルスフィルタリングサーバがスキャンするには、対象ファイルの内容が可視であることと、通信内容を解読できることが前提です。

1. 暗号化通信の場合

• TCサーバが「認証プロキシサーバ」「SSLプロキシサーバ」を経由して【通信10】【通信11】【通信12】【通信13】などの「HTTPS」を利用します。
• しかしウイルスフィルタリングサーバは暗号化前のペイロードを取得できないためスキャン不能となります。よって「通信が暗号化されている場合」に該当します。

1. 暗号化ファイルの場合

• 受信メールにパスワード付き ZIP などの「暗号化された添付ファイル」が含まれると、ウイルスフィルタリングサーバは内部を展開できずマルウェア検体を検出できません。
• 同様にWebサイトからダウンロードした自己解凍型暗号ファイルでも同じ問題が生じるため「ファイルが暗号化されている場合」に該当します。
• 以上より、模範解答の2ケースが成り立ちます。

誤りやすいポイント

• 「ウイルス対策ソフトが各PCやサーバにあるから大丈夫」と考え、ゲートウェイ型スキャンの死角を見逃す。
• 「SSLプロキシサーバがあるから通信は必ず復号される」と誤解し、実際の配置（ウイルスフィルタリングサーバより後段）を読み落とす。
• 暗号化添付ファイル＝安全と誤認し、ウイルス検査をバイパスしてしまう。

FAQ

解答の論理構成

1. 要件3は「利用者IDとパスワードによる利用者認証及びアクセスログの取得」を求めています。
   引用：
   「要件3. 認証プロキシサーバを新設し、利用者IDとパスワードによる利用者認証及びアクセスログの取得を行う。」
2. 認証プロキシの方式2は
   「方式2. 認証が成功すると、設定された時間が経過するまでは、クライアントのIPアドレスによって認証済みの利用者とみなす。」
   とあり、認証状態を“IPアドレス”で管理します。
3. ところが TC サーバでは
   「クライアントアプリケーションのプロセスは、仮想IPアドレスプールの中から他のプロセスで利用されていない仮想IPアドレスを一つ選択して利用する。」
   とあるように、アプリケーションを起動するたびに仮想 IP が動的に割り当て／解放されます。
4. そのため
   ・同一利用者でもアプリケーションごとに IP が変わる
   ・逆に別利用者が先ほど解放された IP を再利用する
   という状況が発生します。
5. 結果として、認証プロキシは「IP アドレス＝利用者」と誤認し、未認証の利用者が“既に認証済み”とみなされる恐れがあるため、方式2では要件3を満たせません。

誤りやすいポイント

• 「IP アドレスは端末単位で固定」と思い込み、仮想 IP の動的割当てを見落とす。
• 方式2を“シングルサインオン的で便利”とメリットだけ評価し、IP 共有による誤認証リスクを考慮しない。
• アクセスログ取得と認証を分離して考え、IP 変動がログの正確性にも影響する点を失念する。

FAQ

解答の論理構成

1. TCサーバの役割分担
   【問題文】には「設計案2では、TCサーバを、用途によってオフィス環境用TCサーバ（以下、OA用TCサーバという）とインターネットアクセス用TCサーバ（以下、IA用TCサーバという）に分けている。」とある。よって、Web閲覧は IA 用 TC サーバ 側で行う設計になっている。
2. インターネットへの経路
   表2 項番11～13 において、 ・「送信元 IA 用 TC サーバ」「宛先 認証プロキシサーバ」「プロトコル HTTP 及び HTTPS」
   ・その後 SSL プロキシサーバ経由で「インターネット上の Webサーバ」に到達
   と記載されている。つまりインターネットへ到達できるのは IA 用 TC サーバ 発の通信のみであり、OA 用 TC サーバ は外部 Web サイトに接続できない。
3. OA 用 TC サーバ は外部に出られない
   設計案2に関して「利用者が受信メール中のURLをクリックした場合、OA用TCサーバ上でWebブラウザが起動されるが、当該URLへのアクセスは失敗する。」と明示されている。したがって実際に外部 Web サイトを閲覧する際には IA 用 TC サーバ 上でブラウザを起動する必要がある。
4. マルウェアが動作する場所
   ブラウザを介してダウンロード・実行されるファイルは、そのブラウザが稼働する OS 上で動作する。【問題文】の画面転送型シンクライアントの説明から、クライアント PC／TC端末はあくまで画面・操作を転送するだけで、実行プロセスはサーバ側で動く。よって Web サイトから取得したマルウェアが実際に動くのは IA 用 TC サーバ である。
5. 結論
   以上より、設問が問う「マルウェアはどの構成要素上で動作するか」の答えは
   「IA用TCサーバ」である。

誤りやすいポイント

• 「ブラウザを開くのは自分のPCだからPC上で感染する」と考えてしまう
  → 画面転送型シンクライアントではアプリはサーバ側で実行される。
• OA 用 TC サーバ と IA 用 TC サーバ を混同する
  → OA 用 TC サーバ は外部 HTTP/HTTPS が FW で遮断されている。
• 「プロキシサーバがあるからマルウェアはプロキシ上で動く」と誤解する
  → プロキシは通信を中継・検査するのみで、マルウェアの実行主体ではない。

FAQ

解答の論理構成

1. 受信メールはグループウェアクライアントで閲覧
   【問題文】には「グループウェアサーバは、メールサーバの機能ももっている。」とあるため、メール閲覧はグループウェアクライアント上で行われます。
2. グループウェアクライアントの実行場所
   設計案2ではTCサーバを用途で分割し、「OA用TCサーバ」と「IA用TCサーバ」を用意しています。メール閲覧は業務系アプリケーションなので「OA用TCサーバ」側で動作します。
3. 添付ファイルを開く処理
   【問題文】「グループウェアクライアントは、グループウェアクライアントの実行環境であるTCサーバの作業フォルダに…添付ファイルをダウンロードし、…クライアントアプリケーションを起動する。」
   つまり添付ファイル（マルウェア）がダウンロード・実行されるのはグループウェアクライアントと同じTCサーバ上です。
4. どのTCサーバか
   「設計案2では、TCサーバを、用途によってオフィス環境用TCサーバ（以下、OA用TCサーバという）とインターネットアクセス用TCサーバ（以下、IA用TCサーバという）に分けている。」
   メール閲覧はインターネット閲覧ではないためIA用TCサーバではなくOA用TCサーバです。
5. よって、マルウェアが動作する構成要素は図3中の「OA用TCサーバ」となります。

誤りやすいポイント

• 「IA用TCサーバ」と誤答する
  URLクリック時の失敗例が強調されているため、インターネット関連＝IAと早合点しやすいです。
• 「PC又はTC端末」と誤答する
  画面だけが端末に表示されるシンクライアント方式では実処理はTCサーバ側で行われます。
• 「グループウェアサーバ」と誤答する
  添付ファイルはグループウェアサーバから取得されるだけで、実行はTCサーバ上です。

FAQ

解答の論理構成

1. 目的遂行段階でマルウェアが行う通信
   問題文では「(5) 目的遂行段階」で
   ・「ファイルサーバ又はグループウェアサーバから機密ファイルを盗み出す」
   ・「盗み出した機密ファイルをC&Cサーバ…に送信する」
   と説明されています。したがって
   a) 機密ファイルを取り出す内部向き通信
   b) 機密ファイルを外部へ持ち出す外向き通信
   の二種類が発生します。
2. 設計案2に許可されている通信経路
   【表2　設計案2における通信】を見ると、内部サーバへ接続できるのは
   ・「項番2　OA 用 TC サーバ → ファイルサーバ」
   ・「項番3　OA 用 TC サーバ → グループウェアサーバ」
   のみです。外部へ出る経路は
   ・「項番10〜13　IA 用 TC サーバ → … → インターネット上の Webサーバ」
   だけです。
3. Web サイト閲覧でマルウェアが実行された場合
   マルウェアは「IA 用 TC サーバ」上で動きます。内部サーバへ接続するには
   ・送信元：IA 用 TC サーバ
   ・宛先：ファイルサーバ／グループウェアサーバ
   ・プロトコル：Windows ファイル共有プロトコル／グループウェア独自プロトコル
   となります。しかし【表2】に IA 用 TC サーバからこれらサーバへの通信行は存在せず、 「表及び注記1に記載のない通信は FW によって禁止されている」
   と明記されているため、FW で遮断されます。
4. 受信メール添付ファイルでマルウェアが実行された場合
   マルウェアは「OA 用 TC サーバ」で動作します。外部に持ち出すには
   ・送信元：OA 用 TC サーバ
   ・宛先：インターネット上の Web サーバ
   ・プロトコル：HTTP 及び HTTPS
   ですが、OA 用 TC サーバは【表2】に外部宛て HTTP/HTTPS の行を持ちません。
   よってこの通信も FW で遮断されます。
5. 以上を整理すると、FW によって禁止されている通信は
   ●Web サイト経由の場合
   ①「IA 用 TC サーバ → ファイルサーバ／Windows ファイル共有プロトコル」
   ②「IA 用 TC サーバ → グループウェアサーバ／グループウェア独自プロトコル」
   ●メール添付ファイル経由の場合
   ③「OA 用 TC サーバ → インターネット上の Web サーバ／HTTP 及び HTTPS」
   となります。

誤りやすいポイント

• 「IA 用 TC サーバ」は“インターネットアクセス専用”とあるため外部へは出られると誤解しがちですが、内部サーバへの経路は切られています。
• 「OA 用 TC サーバ」からインターネットへ直通できない点を見落とすと、HTTP/HTTPS が許可されていると思い込みやすいです。
• 表にない通信＝FW で遮断という注記を見逃すと、許可／拒否の判断を誤ります。

FAQ

解答の論理構成

1. 共同融資業務・幹事業務の手順
   問題文には（1）a～d、（2）e～hの8手順が示されています。
2. 設計案2での OA 用 TC サーバの制限
   引用：「設計案2において、利用者が受信メール中のURLをクリックした場合、OA用TCサーバ上でWebブラウザが起動されるが、当該URLへのアクセスは失敗する。」
   ── OA 用 TC サーバはインターネットへ出られないため、(b) のオンラインストレージ閲覧は不可。これが失敗すると (c) のダウンロードも不可能です。
3. 設計案2での IA 用 TC サーバの制限
   表2より IA 用 TC サーバは
   「送信元：IA 用 TC サーバ → 宛先：認証プロキシサーバ → プロトコル：HTTP 及び HTTPS」
   のみであり、ファイルサーバへの Windows ファイル共有通信はありません。
   よって IA 環境からは (c) の「ファイルサーバにダウンロード」や (f) の「ファイルサーバからアップロード」が行えません。
4. メール操作の可否
   表2の SMTP 経路（項番4～9）は生きているため、(d) と (h) のメール送信は問題なく実行可能です。
5. URL コピー＆貼り付けの可否
   (g) は
   ・ブラウザでオンラインストレージのリストを表示（IA 環境が実行）
   ・グループウェアクライアントでメール作成（OA 環境が実行）
   という “ブラウザとメールクライアントの同居” が必要です。設計案2では OA と IA が別 TC サーバに分離されており、同一デスクトップでのコピー＆ペーストができないため失敗します。
6. 以上より、設計案2で実現できない項目は (b)、(c)、(f)、(g) です。

誤りやすいポイント

• 「メールが読める＝URLも開ける」と思い込む
  OA 用 TC サーバがインターネット非接続である点を見落としがちです。
• IA 用 TC サーバなら何でもできると勘違いする
  表2に “Windows ファイル共有プロトコル” が無いことを確認しましょう。
• コピー＆ペーストを論点から外す
  OA/IA 分離により操作系が異なることが要件達成可否に直結します。

FAQ

解答の論理構成

1. TC 方式では、利用者が操作している端末側には画面と入力情報だけが流れ、実処理は TC サーバで行われます。問題文には
   「TC 端末及びビューアからTCサーバまでの間は、…デスクトップ及びTCサーバ上で動作するクライアントアプリケーションの画面」を送受信するとあります。
2. Web 閲覧時の動作について
   「Webブラウザ…は、インターネット上のWebサーバからWebブラウザの実行環境であるTCサーバ上の作業フォルダに当該ファイルをダウンロードし、該当するクライアントアプリケーションを起動する。」
   ─ すなわちファイル取得・実行は TC サーバ側で行われるため、マルウェアが動作するのは TC サーバです。
3. メール添付ファイルを開く場合の動作について
   「グループウェアクライアントは、…実行環境であるTCサーバの作業フォルダに…添付ファイルをダウンロードし、OSの設定で…クライアントアプリケーションを起動する。」
   ─ 添付ファイルも TC サーバに保存・実行されるため、マルウェアは同じく TC サーバで動作します。
4. 設計案3で海外支店 X が接続する先は図4の「海外支店X用TCサーバ」です（表3 項番14も同名）。
5. 以上より、 ・Web サイトのファイルで感染した場合にマルウェアが動作する構成要素
   ・メール添付ファイルで感染した場合にマルウェアが動作する構成要素
   のどちらも「海外支店X用TCサーバ」となります。

誤りやすいポイント

• 端末側（PC）でファイルを開くと誤解し、「PC 又は TC 端末」と答えてしまう。画面転送型であることを忘れないことが重要です。
• Web-経由は IA 用 TC サーバ、メールは OA 用 TC サーバと混同するケース。設計案3では海外支店 X 用に専用 TC サーバが追加されている点に注意。
• 図番号の読み間違いにより設計案2や4の構成要素を書いてしまう失点も多発します。

FAQ

解答の論理構成

1. 同時利用者と案件数の把握
   【問題文】には
   「海外支店Xでは、業務の最繁時間帯の9:00～10:00の間、100名の従業員が、1名当たり最大3件の共同融資業務を行っており」とあります。
   したがって 1 時間内に処理すべき案件ファイル数は
   100 名 × 3 件 ＝ 300 件 です。
2. 1 件当たりのファイル容量
   同じく【問題文】に
   「1融資案件当たりの案件ファイルの合計サイズは、最大500Mバイトである」とあります。
3. 1 時間内に転送する総データ量
   300 件 × 500M バイト ＝ 150,000M バイト
   バイトをビットに換算すると
   150,000M バイト × 8 ＝ 1,200,000M ビット です。
4. 必要な実効伝送速度（70% 使用率考慮前）
   転送は 9:00～10:00 の 1 時間（3600 秒） で完了させる必要があります。
   $\frac{1、200、000\text{、}\text{Mビット}}{3、600\text{、}\text{秒}}\approx 333\text{、}\text{Mビット/秒}$
5. 回線使用率を考慮
   【小問説明】には「回線使用率は70%とする」とあります。
   実リンク速度 $R$ は
   $R\times 0.7=333$
   $R=\frac{333}{0.7}\approx 475.7$
6. 指定の丸め処理
   「小数第1位を四捨五入して整数で答えよ」とあるため
   475.7 → 476
7. 結論
   求める回線速度は 476 Mビット/秒 となります。

誤りやすいポイント

• ダウンロードとアップロードを二重に数えてしまう
  今回の最大同時転送は手順 c のダウンロードのみ。アップロードは別時間帯なので合算不要です。
• バイト／ビットの変換ミス
  500M バイト → 4,000M ビット、ではなく 500M×8＝4,000M ビットと計算する点に注意します。
• 使用率 70% の扱い
  333M ビット/秒を 0.7 で「掛ける」誤りが多いですが、実速度は 333 ÷ 0.7 で求めます。

FAQ

解答の論理構成

1. 前提確認
   • 海外支店Ｘは「PC及び支店固有のインターネット接続回線を図1の現状のまま継続利用」しますが、情報セキュリティ管理部からは「①他の支店と同等の技術的対策」を求められています。
2. 他支店で実装されている“技術的対策”とは何か
   • 設計案2・設計案3を見ると、データセンタ側ＤＭＺに下記5装置が配置されており、これがマルウェア感染防止と情報漏えい防止の中心です。
     1. 「ウイルスフィルタリングサーバ」 ― 要件2対応
     2. 「認証プロキシサーバ」 ― 要件3対応
     3. 「SSLプロキシサーバ」 ― HTTPS復号・再暗号化で要件4補完
     4. 「IPS」 ― 不正通信の遮断で要件4補完
     5. 「DLPサーバ」 ― ファイル送信時の情報漏えい検査
   • すなわち、この5要素を海外支店ＸのＤＭＺにも設置すれば「同等の技術的対策」になります。
3. 解答群との突合
   • ア：DLPサーバ　→〇
   • イ：IA用TCサーバ →ＴＣ導入は見送られたため×
   • ウ：IPS　→〇
   • エ：OA用TCサーバ →同上×
   • オ：SSLプロキシサーバ　→〇
   • カ：TCサーバ →同上×
   • キ：ウイルスフィルタリングサーバ　→〇
   • ク：認証プロキシサーバ　→〇
4. よって選択すべき記号は
   • 「ア、ウ、オ、キ、ク」です。

誤りやすいポイント

• 「TCサーバがないと同等にならない」と誤解しやすいですが、下線①は“セキュリティ対策”の同等性を指しています。ＴＣ方式そのものの統一を求めているわけではありません。
• 「URLフィルタリングサーバ」も必要と考えがちですが、設計案4で海外支店ＸのＤＭＺには既に「URLフィルタリングサーバＢ」が描かれているため追加対象ではありません。
• 「IA用TCサーバ」を追加するとHTTPS検査がデータセンタ依存となり、支店固有回線での帯域課題が解消されず要件外となります。

FAQ

解答の論理構成

• 【問題文】では、設計案4を承認する条件として
  「・①他の支店と同等の技術的対策を行うこと
  　・新しいOAシステムは、国内、海外ともに情報システム部が構築、運用及びセキュリティ管理を行い、情報セキュリティ管理部がセキュリティ管理状況を定期的に監査すること」
  と明記されています。
• ここから分かるように、 ①「情報システム部＝セキュリティ管理」、②「情報セキュリティ管理部＝監査」
  という役割分担（職務分掌）で“牽制”を利かせる仕組みになっています。
• もし監査とセキュリティ管理を同一組織が担うと、 • 自部署が実施した対策を自部署で監査する
  • 監査結果の改ざん・隠蔽が起きても発見が困難
  • 客観性・独立性が損なわれ利害相反が発生
  という問題が発生し、要求されたガバナンスを満たせません。
• よって設問の不都合は
  「セキュリティ管理の状況を客観的に監査できない」という一点に集約され、模範解答に合致します。

誤りやすいポイント

• 「技術的対策が不足する」と考えがちだが、問題は“体制の独立性”であり技術項目ではない。
• 「監査部門が無くなる＝監査不能」と極端に書くと、“客観性”というキーワードが抜け得点を落とす。
• セキュリティ運用と監査の同一部門化は小規模組織では容認されると誤認しがちだが、本設問では要件として分離が明文化されている。

FAQ