やさしいネットワークとセキュリティ

情報処理安全確保支援士、ネットワークスペシャリスト、技術士として、資格取得を目指す方に有益な情報を発信します。

平成29年度 春期 情報処理安全確保支援士試験 午後1 問3 設問3【SAML認証連携の接続元制限方法】

 情報処理技術者試験、情報処理安全確保支援士試験の午後問題を通じて、情報セキュリティの知識を体系的に蓄積していきましょう。

 キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習できるいい機会です。

 今回は、「SAML認証連携の接続元制限方法」を取り上げた「平成29年度 春期 情報処理安全確保支援士試験 午後1 問3 設問3」です。

 問題文中、設問に該当する部分ですぐに解答を説明しています。

 ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

平成29年度 春期 情報処理安全確保支援士試験 午後1 問1 設問3

 F社は、従業員数300名のソフトウェア開発会社である。F社では、社外のクラウドサービスを試行的に導入し始めており、交通費精算サービス、グループウェアサービス、オンラインストレージサービスの三つを現在利用している。これらのクラウドサービスには、各クラウドサービスの利用者IDとパスワードを用いてログインする。これらのクラウドサービスは、社内からの利用に限定するという社内ルールを定めている

 従業員が利用する端末は、社内ネットワークに設置されており、ウィルス対策ソフトが導入され、最新のウィルス定義ファイルが毎日適用されている。社外から社内ネットワークへの通信はフォイアウォールによって禁止されている。端末からクラウドサービスを利用する際には、プロキシサーバを経由する必要がある。

(略)

 C主任は、今回の不正アクセスの原因の一つが、F社のIPアドレス以外からクラウドサービスへのログインが可能になっていたことにあると考え、F社のIPアドレス以外からのログインを制限することが可能か調査した。F社で利用しているクラウドサービスのうち、グループウェアサービスだけは、接続元IPアドレスを制限する機能を備えていたので、その機能を有効化し、社内からだけログインできるように設定した。しかし、残りのクラウドサービスは接続元IPアドレスの制限機能を備えていなかった。

 C主任は、接続元を制限する他の方法を検討した。その結果、クラウドサービスへログインする際、F社に既に設置してあるLDAPサーバでの認証を必要とすることにすれば、接続元を制限できるようになると考えた。そこで、F社で利用しているクラウドサービスを調べたところ、全てSAML(Security Assertion Markup Language)を用いた認証連携に対応していることが分かった。C主任は、クラウドサービスとLDAPサーバとの間で、SAMLを用いた認証連携による接続元の制限を検討することにした。

(略) 

f:id:aolaniengineer:20200212055708p:plain

a:SP、b:利用者端末のWebブラウザ、c:IdP、d:LDAPサーバ

 C主任は図1のシーケンスから、IdPを社内ネットワークに設置しても認証情報の連携が成立することを確認した。そこで、IdPは社内ネットワークに設置し、IdPのログイン画面のURLのFQDNには、社内のFQDNを割り当てることにした

(略)

〔SAMLを用いた認証連携と接続元制限の動作検証

 最後にC主任は、F社で利用しているクラウドサービスを用いて、SAMLによる認証連携の動作を検証することにした。C主任はIdPを社内ネットワークに設置して必要な設定を行い、各クラウドサービス上に、既に利用しているものとは別の検証用アカウントを作成し、社内からのクラウドサービスへのログインが可能であることを確認した。また、③社外からクラウドサービスへのログインを試みると、失敗することも確認した。

③について、社外から交通費精算サービスとグループウェアサービスにアクセスしたとき、それぞれのサービスは異なる理由でログインに失敗する。それらは、図1中のどの通信ができないことによるものか。

・交通費精算サービス:(3)、社外からIdPへの通信がファイアウォールによって遮断されるから

 問題文に「グループウェアサービスだけは、接続元IPアドレスを制限する機能を備えていたので、その機能を有効化し、社内からだけログインできるように設定した。しかし、残りのクラウドサービスは接続元IPアドレスの制限機能を備えていなかった。」とあります。そこで、グループウェアサービスは、図1に示すLDAPサーバでの認証を行う方式を採用しています。

 ここで早合点して、LDAPサーバでの認証で拒否されると回答してしまいそうですが、もう少し慎重に問題文全体を見ましょう。

 さらに問題文を見ていくと、「IdPは社内ネットワークに設置し、IdPのログイン画面のURLのFQDNには、社内のFQDNを割り当てることにした」とあります。

 ここで図1のシーケンスを再確認すると、(1)(2)の通信はWebブラウザとSP間で正常に完了しますが、次の(3)WebブラウザからIdPへのログイン画面要求の通信はどうでしょうか。社外にあるWebブラウザが社内ネットワークにあるIdPに通信するのに、何らかの制約がないか思い浮かべられれば正解も近いです。

 問題文の前半に「社外から社内ネットワークへの通信はフォイアウォールによって禁止されている」とあり、(3)WebブラウザからIdPへのログイン画面要求の通信はファイアウォールで遮断されることになります。

 

・グループウェアサービス:(1)、クラウドサービス側で接続元IPアドレスの制限が行われているから

 上記のとおり、グループウェアサービスだけは、接続元IPアドレスを制限する機能を有効化しています。グループウェアサービスは、図1の(a)SPに該当し、SP側で接続元IPアドレスによる制限が可能ということです。したがって、(1)のWebブラウザからSPへのサービス要求の通信ができないことになります。(シーケンスとしては、最初のサービス要求は到達すると思いますが、SP側で拒否され、通信が完了しないことになります)

 C主任は検証結果をB部長に説明し、承認を得て、SAMLを用いた認証連携と接続元制限を開始した。また、シングルサインオンも併せて実現したことによって、クラウドサービスを利用する従業員の利便性も向上することができた。

【出典:情報処理安全確保支援士試験 平成29年度春期午後1問3(一部、加工あり)】