基本情報技術者試験 令和6年度 科目B 公開問題(過去問) 問6 について解説します。
問題
問6 A社は従業員450名の商社であり、昨年から働き方改革の一環として、在宅でのテレワークを推進している。A社のシステム環境を図1に示す。
テレワークの定着が進むにつれて、社内PCからインターネットへの接続が極端に遅くなり、業務に支障をきたしているので改善できないかと、従業員から問合せがあった。A社の社内ネットワークとインターネットとの間の通信量を調査したところ、テレワーク導入前に比べ、業務時間帯で顕著に増加していることが判明した。そのため、情報システム部では、テレワークでA社利用クラウドサービスに接続する場合には、A社の社内ネットワークも社内PCも介さずに直接接続することを可能にするネットワークの設定変更を実施することにした。
設定変更に当たり、情報セキュリティ上の問題がないかをA社の情報セキュリティリーダーであるBさんが検討したところ、幾つか問題があることが分かった。その一つは、A社利用クラウドサービスへの不正アクセスのリスクが増加することである。そこでBさんは、リスクを低減するために、情報システム部に対策を依頼することにした。
設問 次の対策のうち、情報システム部に依頼することにしたものはどれか。解答群のうち、最も適切なものを選べ。
解答群
ア A社の社内ネットワークからA社利用クラウドサービスへの通信を監視する。
イ A社の社内ネットワークとA社利用クラウドサービスとの間の通信速度を制限する。
ウ A社利用クラウドサービスにA社外から接続する際の認証に2要素認証を導入する。
エ A社利用クラウドサービスのうち、A社利用グループウェアだけを直接接続の対象とする。
オ 専用アプリの保存禁止機能を無効にする。
解説・解答
元々のシステム環境
従業員は社内PCから社内ネットワーク経由でA社利用クラウドサービス(グループウェア/オンライン会議サービス)に接続していました。さらに、クラウド側の設定でA社の社内ネットワークからのアクセスだけを許可していたので、社外のPC(インターネット上の任意のPC)からはログインできない状態でした。
システム環境の変更
テレワーク利用者が増え、トラフィックが社内ネットワークに集中し、社内PCからインターネットへの接続が遅くなりました。そこで情報システム部は、テレワーク時にクラウドサービスを利用する際に、社内ネットワークも社内PCも経由せずに直接クラウドサービスへ接続できるようにする設定変更を行うことにしました。
変更で生じるリスク
Bさんが指摘した問題の一つは、A社利用クラウドサービスへの不正アクセスのリスクが増加するという点です。これは、インターネット上の攻撃者が、
・IDとパスワードの総当たり攻撃(ブルートフォース)
・パスワードリスト攻撃(他サービス漏えいパスワードの使い回し)
・フィッシングによるIDとパスワードの窃取
などを行いやすくなるからです。
以前はA社の社内ネットワークからのみアクセス可能でしたが、変更後はインターネット上のどこからでもクラウドサービスに直接アクセス可能という状態になり、インターネットにむき出しに近い状態になります。そのため、攻撃者が直接クラウドサービスにログインを試みることができるようになります。したがって、IDとパスワードだけの認証では心許ない状況になります。
この「なりすましによる不正ログイン(認証の突破)」の対策として、認証を強化することが考えられます。
それぞれの選択肢について確認します。
ア: A社の社内ネットワークからA社利用クラウドサービスへの通信を監視する。
今回の変更により、テレワーク時のアクセスは社内ネットワークを経由せずに直接クラウドサービスへ行われます。そのため、社内ネットワークからクラウドサービスへの通信の監視では、「社外のPC → インターネット → クラウドサービス」という経路の不正アクセスを防ぐことはできません。
イ: A社の社内ネットワークとA社利用クラウドサービスとの間の通信速度を制限する。
これは帯域制御の話で、「通信量を抑える」「社内ネットワークの混雑を緩和する」といった性能・可用性の対策です。しかし、問われているのは不正アクセスのリスクを減らす対策です。通信速度を制限しても不正アクセスを防ぐことはできません。
ウ: A社利用クラウドサービスにA社外から接続する際の認証に2要素認証を導入する。
2要素認証とは、「知っているもの」と「持っているもの」など、異なる種類の要素を2つ組み合わせて行う認証方式です。
(例)
1. ID・パスワード(知識情報:知っているもの)
2. ワンタイムパスワード、スマホの認証アプリ、SMSコードなど(所持情報:持っているもの)
仮に攻撃者がフィッシングなどでID・パスワードを盗んだとしても、第2要素(スマホアプリの通知やワンタイムパスワードなど)を持っていなければログインできません。
インターネットに公開されるクラウドサービスでは2要素認証・多要素認証の導入が不正アクセスへの有効な対策となります。これが正解です。
エ: A社利用クラウドサービスのうち、A社利用グループウェアだけを直接接続の対象とする。
不正アクセスのリスクはクラウドサービスにインターネットから直接ログインできることから生じます。対象サービスを1つに絞っても、そのグループウェアに対する不正ログインのリスクは残ったままです。不正アクセスを防ぐための本質的な対策になっていません。
オ: 専用アプリの保存禁止機能を無効にする。
保存禁止機能は「リモートデスクトップからPCへのファイルのダウンロード及びファイル、文字列、画像などのコピー&ペーストを禁止する機能」と問題文にあります。この機能は私有PCへ業務データを持ち出されることを防ぐための機能で、情報漏えいリスクを下げるための対策となります。この機能を無効にすると、情報漏えいリスクが増大するだけです。不正アクセスを防ぐこともできません。
以上により、この問題の解答は「ウ」になります。
