やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

情報処理安全確保支援士【H31春午後Ⅱ問2設問6】No.1

この問題のテーマは「情報セキュリティ対策の強化」

自社及び取引先を含めた情報セキュリティ対策の設計能力

設問6(1)

f:id:aolaniengineer:20191017111914p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問2設問6に関連する問題文

f:id:aolaniengineer:20191017112019p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問2設問6(1)

 該当箇所は以下になります。

(う)設計情報管理サーバへの不正ログイン対策を検討する。
(う)について、Fさんは、設計情報管理サーバへの不正なログインの経緯及び設計情報管理サーバの利用状況を踏まえ、⑥設計情報管理サーバへのアクセスを制限する設定変更案及び⑦パスワードに関する運用方法の見直し案を作成し、Jさんに提案した。

 上記にある「設計情報管理サーバへの不正アクセスの経緯」と「設計情報管理サーバの利用状況」について、アクセス制限に関連する箇所を問題文を見て整理します。

 まず、「設計情報管理サーバへの不正アクセスの経緯」については、以下の通りです。

利用者ID:ID-Kによる不審なアクセスが発生し、それは共同出品担当メンバではなく、営業係KさんのDPCであった。
その時のKさんのDPCのIPアドレスは、DHCPサーバにより割り当てられた192.168.64.3であった。

 次に、「設計情報管理サーバの利用状況」については、以下の通りです。

利用者IDとパスワードで利用者認証を行う。
フォルダごとにアクセス権限を設定できる。現在は、利用者IDごとに割り当てられたフォルダ配下のファイルにアクセスできる。
接続元のIPアドレスによってアクセスを制限する。アクセスを許可するIPアドレスには、A社で利用するプライベートIPアドレスを登録する。
設計情報管理サーバの利用者は、設計部員及び製造部員である。

 これらの内容からもう少し掘り下げます。

 設計情報管理サーバの利用者が設計部員及び製造部員のみなのであれば、アクセスを許可するIPアドレスがA社全体のアドレスである必要がないことに気付くでしょうか。

 表3(A社のネットワーク一覧)に各LANごとのネットワークアドレスが記載されており、KさんのIPアドレスは営業拠点である拠点LANのものです。

 設計情報管理サーバへのアクセスを、設計部LANと製造部LANのIPアドレスに限定することが不正ログイン対策として有効になります。

 正解は以下の通りです。

アクセスを許可するIPアドレスとして、設計部LAN及び製造部LANだけを登録する。