情報処理安全確保支援士 - SE娘の剣 -

左門至峰による情報処理安全確保支援士試験に合格するためのサイトです。 過去問を引用しながら、試験に出る基礎知識を体系的かつ詳細に整理します。

シンクライアント

10.クライアントセキュリティ

1.シンクライアントとは?

(1)情報漏えい対策としても期待されるシンクライアント

新クライアントではなくThin (薄い,痩せた)Clientで,Citrix社のXenAppが有名です。
従来のようなパソコンは,アプリケーションを入れて処理するのでFat(太った)クライアントと呼ばれることもあります。それに対して,ほとんどの処理をサーバで行うためにThin クライアントと考えることができます。
シンクライアントを導入すると,利用者が使うPC側にデータを持たない(そもそもハードディスクが無い)ので,セキュリティの向上が期待されます。PCが盗まれたり,社員がPCからデータを抜き出そうとしても,データが無いので情報漏えいにつながりません。
情報セキュリティスペシャリスト試験を目指す女性SE


でも、ハードディスクが無かったら、サーバに接続することもできないのでは?
ハードディスクはありませんが、代わりに、フラッシュメモリなどにOSやアプリケーションを格納しています。OSといっても、通常のOSと違い、たとえば、Windows Embeddedなどの必要最小限の機能しか持たないOSです。

(2)シンクライアントの目的

シンクライアント化する目的は,大きく以下の2つです。
 ❶セキュリティ強化
 ❷運用負荷の軽減
セキュリティの強化に関しては,情報処理安全確保支援士試験の過去問で次のように述べられています。

セキュリティの強化に関して(H23SC春PM1問3より)
情報漏えい対策として、ハードディスクなどの記憶装置をもたずUSBメモリなどの外部記憶媒体も利用できないシンクライアント端末を利用する

2.シンクライアントの方式

大きく4つあります。当初はSBC型が中心だったが、今は仮想PC型が主軸であろう。
❶画面転送型
[概要]
 SBC(Server Based Computing)型とも言われます。いわゆるメタフレームまたはリモートデスクトップです。サーバで処理を行い,クライアントには画面情報のみを転送します。
[問題・課題]
 例えば,サーバをWindows 2003とする場合,アプリケーションをWindows 2003サーバ上にインストールしなければなりません。しかし,アプリケーションの対応OSがWindows XPや7の場合,アプリケーションが使えないこともあります。

❷ブレードPC型
[概要]
 ブレードPCを一人1枚ずつ割り当てる方式です。SBC型のデメリットである対応OSの問題を解決します。サーバをブレードサーバとし,PCと同じ数だけブレードPCを用意します。各ブレードPCには,Windows XPや7などの通常クライアントOSをインストールします。クライアントに画面転送するところはSBC型と同じです。
[問題・課題]
 SBCは極端な話サーバ一台でも良いが,ブレードPC型の場合はPCの台数分のブレードPCが必要です。加えてThin Client の仕組みも必要です。コストがやや高くなり,それほど導入されていないのが現実です。

❸仮想PC型
[概要]
 PCを仮想化し,一人に1台の仮想PCを割り当てます。ブレードPCを仮想化したものと考えればよいでしょう。仮想した上で,SBCと同じく画面転送を行います。VDIと言われたら、一般的にはこれを指します。

❹ネットワークブート型
[概要]
 ログインするたびにPXEによるネットワークブートを行い,OSイメージをサーバからダウンロードします。この方式ではOSイメージを起動するたびに端末側にダウンロードし,処理は端末側で行います。Thin Clientというよりは,Fat Client になります。インターネットカフェなどでよく利用されます。
[問題・課題]
 太いネットワーク帯域が必要です。

3.VDIによるセキュリティ対策

未知のマルウェア対策には限界があります。ウイルス対策ソフトでの検知は期待できないからです。
そこで、マルウェアに感染したとしても、情報漏えいが起こらない仕組みとしてVDIがあります。
情報処理安全確保支援士試験の過去問(H28SC春午後Ⅱ改)をもとに、機能を確認しましょう。

過去問(H28SC春午後Ⅱ改)
図8のように,仮想端末上でゲストOSを動かす,画面転送型の仮想デスクトップ環境(以下,  VDIという)があります。

ad


D部長:VDI端末には,どのような要件が必要ですか。
Cさん:要件は,次の四つです。
要件1 : VDI サーバにログインできる。
要件2:仮想端末との間では,画面及びキーボード・マウスの操作データだけの送受信を許可する。
要件3:マルウェア感染を防ぐ仕組みがある。
要件4 :要件1~要件3を満たすのに必要な通信だけを許可する。
D部長:要件3が満たせずに,VDI端末がマルウェアに感染しても,要件2が満たされていれば,仮想端末には影響がないですよね。
Cさん:いいえ。⑤要件2が満たされても、VDI端末上のマルウェアによる仮想端末からの情報の搾取は可能です。
D部長:そうですか。
Cさん:そういった情報の窃取を防ぐためには,VDI端末の徹底的な要塞化が必要です。VDI端末に汎用OSを使う場合,VDI端末の保護のための仕組みが必要になります。一方,VDI専用OSを使用する場合,読取り専用のUSBメモリにVDI専用OSを入れておきます。VDI端末のハードディスクの中身は全て消去し,USBメモリからだけブートできるようにします。ブートするとVDIに接続するためのソフトウェアが自動的に起動します。

設問5(3)本文中の下線⑤について、どのような攻撃を想定しているのか。20字以内で述べよ。






VDI端末がマルウェアに感染しても、そのマルウェアがゲストOSに影響を及ぼすことはありません。なので、マルウェアの感染が拡大したり、ファイルを外部に流出させられることもありません。ただ、画面情報だけは攻撃者に伝わりますので、ログインID/パスワードなどの情報が漏えいする危険があります。

解答例:画面などの情報からのデータ搾取

DRM(Digital Rights Management)とIRM(Information Rights Management)

10.クライアントセキュリティ

DRM(ディジタル著作権管理)は、「コンテンツの著作権を保護し,利用や複製を制限する技術の総称(H27秋IP問46)」です。H23年NW午後Ⅰでも穴埋めでこのキーワードが問われました。

一方、セキュリティの観点では、IRMがあります。ファイルを暗号化したり、アクセス権を管理するものです。
たとえば、攻撃者がファイルを抜き出したとしても、アクセス権が無いのでファイルの暗号化を解除できません。情報漏えい対策として有効な方法の一つです。
Microsoft社のRMS(Rights Management Services)もその一つです。
情報セキュリティスペシャリスト試験を目指す女性SE


それ、いいですね。
標的型攻撃にあっても、情報漏えいの危険がありません。

ただ、取引先とこの仕組みでやり取りをする場合、取引先にもIRMのシステムを入れてアカウント管理をする必要があるなど、実行面での課題もあります。

【4/19Web開催】情報処理安全確保支援士の確認テスト

確認テストの概要
・内容:情報処理安全確保支援士の学習度合いを確認するための左門至峰によるオリジナル確認テスト
・日程:本試験と同じ4/19(日)
 開始時間は本番の午前Ⅱの開始に合わせ、10:50スタートとします。
・試験方法:SECCONなどで使われるCTFの仕組みを活用します。つまり、オンラインです。各問題は、1回しか答えられません。間違えたらその問題は不正解となります。
・試験時間:まだ問題を検討中ですので、どれくらいの時間がかかるかは把握できておりません。3時間くらいを予定しています。
 →スコアがでますので、3時間でスコア集計は一旦おしまいとします。ただ、試験そのものは継続してその日はできるようにします。
・解答・解説:当日の18時くらいから、サイトで発表します。ZOOMで簡単な解説を予定しております。
・お願い:Webで調べるなどをせず、実力でお願いします。

申込みはconnpassからお願いします。
https://nespe.connpass.com/event/172397/

【ZOOM開催】4/4(土)19時~情報処理安全確保支援士のセミナー【最終回:マルウェアとインシデント対応】

■ZOOMを使った情報処理安全確保支援士のセミナー
・ZOOMによるWEBセミナーを開催します。
・「ネスペ」シリーズ(技術評論社)、「セスペ」シリーズ(日経BP社)の著者である左門至峰が講師を担当します。
・募集はconnpassにて行います。(以下からお申込みください)
https://nespe.connpass.com/event/171960/
・日時:4/4(土)19時~21時半
・テーマ:マルウェアとインシデント対応
・費用:4000円
・場所:ZOOM(皆さんのご自宅など)

■講義内容
(1)マルウェアと標的型攻撃
0.事前課題の送付
1.マルウェアの種類
2.マルウェアのコマンド
3.マルウェア対策
4.標的型攻撃とその流れ
5.C&Cサーバ
6.マルウェアの挙動を過去問で!
7.ログ解析
8.過去問をベースにしたオリジナル問題による問題演習

(2)インシデント対応
1.社内でマルウェア感染
2.社外からの攻撃
3.過去問をベースにしたオリジナル問題による問題演習


■講義の全体スケジュール ★今回は最終回です。
まだまだ準備中ですが、以下を想定しています。(あくまでも予定でして、準備不十分の場合は開催しませんので、その点、ご了承ください)
これらは、問われる可能性が高く、また、しっかりと学習することで、高得点が狙える分野です。
  【日程】        【テーマ】
①2月29日(土) パケットとファイアウォール (1時間、無料)【終了】
②3月7日(土) DNSセキュリティ、DoS(2時間半で4000円)【終了】
③3月14日(土) メールセキュリティ+NWセキュリティ(2時間半で4000円)【終了】
④3月21日(土) 暗号、認証(認証フェデレーション含む)、PKI(2時間半で4000円)【終了】
⑤3月28日(土) HTTP、Proxyのセキュリティ、Webセキュリティの攻撃手法(2時間半で4000円)【終了】
⑥4月4日(土) 標的型攻撃とマルウェア、外部からの攻撃とその対応(インシデント対応含む)(2時間半で4000円)
※セキュアプログラミングは開催予定がありません。セキュアプログラミング無しで合格が可能だからです。

■講義の考え方
 この試験および、その特徴をとらえ、短期間のセミナーをどのように進めていくのか、以下に記載しました。
 https://seeeko.com/2020/02/29/shienshi/

■講義の進め方
・基本は講義半分、問題演習半分です。
・動画配信のように、一方向の講義をするつもりはありません。みなさんに問いかけながら、手を動かしたり、考えてもらう講義にします。また、チャット機能で自分の考えを発表してもらいます。
・演習では、過去問をベースに作成した私のオリジナル問題を解いてもらいます。もちろん、全部解いてもらうと時間が足らないので、解説はポイントをしぼって部分的なものにします。残りは自己学習とさせてもらいます。プリントはメール等でお送りしますので、是非じっくりと復習してください。
・2時間半は長いので、お菓子を食べたり、適宜休憩しながら受講してください。次は皆さんに演習をしっかりと解いてもらう時間を設けます。その時間は、休憩・トイレなどの時間としても活用してください。