KEEP LEARNING

情報処理の学習

ハイブリッドクラウド環境におけるセキュリティ

f:id:food_blog:20200624100030p:plain

本記事ではセキスペ 過去問(H.30/秋 午後Ⅱ問1)を例題として解説する中でクラウドセキュリティの理解を深めます。

※IPA公式サイトから実際の問題を使用しております。 

 

1.前提知識

  • IaaS
  • SaaS

 

2.知識のインプット

GDPR(General Data Protection Regulation)

GDPRとはEU一般データ保護規則のことであり、EUが策定した個人情報保護の枠組み

個人データを収集処理をする事業者に対して多くの義務が課されている

GDPRではIPアドレスやCookieも個人情報として扱われる。又、それらの個人情報を取得する際はユーザの同意が必要と定められている

SAML認証

ユーザがサービス(SP)にログイン時SPは認証サーバ(Idp)リダイレクトすることで認証を検証する方式で実現するシングルサインオン

Idpに認証を任せるので一回のログインで様々なサービスへのログイン認証が実施できる。

3.背景

クラウドサービスが普及している一方、企業、組織にはクラウド環境に移行できないシステムも存在している。このような背景からオンプレミスとクラウド環境が併存するハイブリットクラウド環境にてシステムを運用する必要性に迫られている。

ハイブリットクラウド環境におけるセキュリティ設計に関する知識と能力を問う

 

4.過去問の要約

f:id:food_blog:20200623233400p:plain

f:id:food_blog:20200623233538p:plain

f:id:food_blog:20200623233648p:plain

f:id:food_blog:20200623233741p:plain

f:id:food_blog:20200623233838p:plain

f:id:food_blog:20200623233932p:plain

f:id:food_blog:20200623234145p:plain

f:id:food_blog:20200623234242p:plain

f:id:food_blog:20200623234315p:plain

f:id:food_blog:20200623234348p:plain 

5.解説

〔クラウド環境への移行〕

条件2についてプロジェクト専用サーバをクラウド環境に移行した場合に満たせなくなる基本要件としては以下です。

R&D情報は、物理的な入退室管理が行われているプロジェクトルーム内に配置されたプロジェクト専用サーバに保管する

 

条件4について生産管理サーバをクラウド環境に移行し、かつIaaS Cの本文中に示したサービスを全て利用した場合に満たせなくなる基本要件は以下の三つです。

 生産管理サーバは、X社の工場及びデータセンタに配置する。
生産管理サーバのバックアップを他の工場又はデータセンタに配置する。
同じインフラ設備を製造する工場及び生産関連サーバは同一の国又は地域内の2箇所以上に配置する。

又Iaas Cの仕様として以下が挙げられます。

日本国内のデータセンタが被災した場合はシンガポールのデータセンタでサービスが継続される 

 

X社社内ネットワークIaaS Cとの接続において、FWのNAT機能を用いることにしたのは以下のようなIaaS Cのサービス仕様の問題を回避するためです。

X社のシステムの機器に割り当てているIPアドレスが,IaaS Cで予約されているプライベートアドレスと重複する可能性があるという問題 

 

 〔ID管理及び利用者認証の検討〕

SAML2.0プロトコルやSPENGOプロトコルで通信することによるX社従業員のメリットしては以下が挙げられます。

一度のログインで全システムにアクセスできるという利便性 

 

案2を選択した場合、案1と比べて、利用者の通信経路上の構成要素の負荷が高くなるのは、社内PCから以下の業務サーバにアクセスした場合になります。

イ と ウ

又、負荷が高くなる構成要素は以下になります。

ク ケ コ サ

 

〔エンドポイント管理の検討〕

フレームワーク・インプレメーション・ティアに関してティア1からティア4はそれぞれ以下になります。

ティア1:部分的である

ティア2:リスク情報を活用している

ティア3:繰り返し適用可能である

ティア4:適応している

 

運用サービス1及び2が提供される場合、標準ソフトウェア以外のソフトウェアがサーバまたはPCに導入されていたとすると、セキュリティの管理上以下の不具合が生じます。

標準ソフトウェア以外のソフトウェアは、脆弱性管理がされないという不具合

 

情報セキュリティ基準を基に手作業及び目視でセキュリティ設定パラメータの設定値をチェックする方法と比べて、製品Dによる方法は以下の利点があります。

  • 正確である
  • 作業が早くできる

 

〔モバイル環境の検討〕

SAML認証を用いたSaaS Qへのログイン認証は以下のようになります。

  1. SaaS Qへのアクセス要求(トークンなし)
  2. 認証サーバB1が発行したトークン要求
  3. 認証サーバB1へのアクセスに必要なVPNクライアントの起動
  4. 接続要求
  5. クラインと証明書の要求
  6. クライアント証明書提示
  7. クライアント証明書の検証
  8. VPNサーバへの接続確立
  9. 認証サーバB1へのトークン発行要求
  10. 認証サーバB1:利用者ID、パスワードの要求
  11. 利用者ID、パスワードの入力
  12. 認証サーバB1からSaaS Qへの利用者ID、パスワードの検証要求
  13. 検証確認
  14. SaaS Qからトークン発行
  15. 上記の発行トークンを用いてSaaS Qへアクセス要求