情報処理安全確保支援士 - SE娘の剣 -

左門至峰による情報処理安全確保支援士試験に合格するためのサイトです。 過去問を引用しながら、試験に出る基礎知識を体系的かつ詳細に整理します。

クラウドセキュリティ

情報処理安全確保支援士の試験では、今の時代のクラウドの広がりを受けて、クラウドに関する出題が増加している。クラウドであってもセキュリティの基本は認証や暗号。根底にある技術は変わらないが、クラウドならではの新しい技術やサービスが、情報処理安全確保支援士の試験で具体的に問われている。

1.ゼロトラスト

ゼロトラストの言葉ですが、情報処理安全確保支援士の試験ではまだ登場しません。過去問(R2秋SC午後2問2)の出題趣旨に以下のように記載されただけです。

出題趣旨
また,ゼロトラストという概念をよく聞くようになった。それに基づけば,通信相手を常に認証する必要があるが,例えば多要素認証に対応した,クラウドサービスの認証基盤(IDaaS)やMDMなど,そのための技術,環境が整ってきている。

ただ、試験ではゼロトラストという言葉は出なくでも、クラウドやリモートワークにあわせたセキュリティ対策についての出題が増えています。
念のため、言葉などを確認しておきましょう。

ゼロトラストに関して、政府CIO補佐官らによる「政府情報システムにおけるゼロトラスト適用に向けた考え方(2020 年 6 月)」という資料があります。https://cio.go.jp/sites/default/files/uploads/documents/dp2020_03.pdf

抜粋しながら簡単に整理します。
❶ゼロトラストとは?
 「ゼロトラストとは利便性を保ちながら、クラウド活用や働き方の多様化に対応するため、ネットワーク接続を前提に利用者やデバイスを正確に特定、常に監視・確認する次世代のネットワークセキュリティの考え方です。」
ちなみに、従来からあるファイアウォールで守られたセキュリティを「境界型セキュリティ」と記載しています。

❷なぜゼロトラストっていうの?
 「トラスト(=信頼)」が「ゼロ」なので、誰も信用しないということ。政府資料には「内部であっても信頼しない、外部も内部も区別なく疑ってかかる」という「性悪説」に基づいた考え方。」とある。

❸ゼロトラストが求められる背景
 「パブリック・クラウドの利用、府省 LAN の外部での活動がキーとなる働き方改革、デジタル・ガバメントにおける API による官民連携等が政策上の大きな実現目標」とある。つまり、クラウドサービスの利用が推進されたことで、従来からある境界型セキュリティでは守れなくなった。(だって、クラウド上でデータが作成され、送受信されるからFWなどでは守れない)
また、リモートワークの進行で、セキュリティ対策が万全な社内ではなく、社外からシステムを利用することが増えた

❹ゼロトラストの具体策
 クラウドの利用を前提として、「3)エンドポイント・セキュリティの強化」「4)セキュリティ対策のクラウド化」「5)認証と認可の動的管理の一元化」が記載されています。

一つずつ解説します。
3)エンドポイント・セキュリティの強化
 リモートワークはセキュリティが弱いので、「デバイス単体でのセキュリティ対策の自立が要求されます。」具体的には、MDM(Mobile Device Management)、EDR(Endpoint Detectionand Response)、SOC(Security Operation Center)による監視、SIG(Secure Internet Gateway)などが記載されています。SIGに関しては、情報処理安全確保支援士の試験ではクラウドプロキシとして登場します。また、EDRやMDMに関しても、少しだけ出題があります。

4)セキュリティ対策のクラウド化
クラウドにしかデータがなければ、クラウドのセキュリティ対策を使うしかありません。たとえばCASB(Cloud Access Security Broker)です。情報処理安全確保支援士の試験でも問われたことがあります。

5)認証と認可の動的管理の一元化
複数のサービスのIDやセキュリティ管理をバラバラにすると、抜け漏れ・設定ミスがセキュリティホールにつながります。情報処理安全確保支援士の試験でよく問われるIDaaSなどが製品例です。

また、金融庁の資料は、PwCあらた有限責任監査法人による力作であり、ゼロトラストの現実および、NIST SP800-207の詳細な解説が記載されている。一読する価値があるであろう。
https://www.fsa.go.jp/common/about/research/20210630.html

2.IDaaS

SaaSやIaaSと同じように、ID管理をサービスとして提供するのがIDaaS(Identity as a Service:アイダース、アイディアース)である。

f:id:seeeko:20200818124138j:plain



なぜそんなサービスが必要なのですか?
 昔と比べてクラウドサービスが増えてきた。1つや2つならいいが、5つや6つになると
それぞれIDを管理するのは大変。ユーザを追加、変更するには、全部のサービスで変えなければいけない。そこで、SSOによる統合ID管理が便利である。
もっとも有名なのはOktaである。連携できる数が多く、たとえばOffice365やGoogle、いろいろなクラウドサービスとの連携機能が充実している。
単にIDパスワードを管理するだけでなく、クラウドサービスで必要な属性も連携できたりする。

情報処理安全確保支援士の過去問(R3SC春午後2問1)をみてみよう。

過去問(R3SC春午後2問1)
SaaSへのアクセスにおける認証と認可に,インターネット上の認証サービスであるIDaaSを利用することにした。
代表的なIDaaSであるサービスQについて調査した。サービスQの概要を表2に示す。

 C社の各部と議論を重ねた結果,幾つかのSaaSを総務Gで契約し,管理して提供 すれば,ほとんどの業務が行えることが分かった。これらのSaaSは全てSAML認証 に対応しており,サービスQと連携できることも確認できた。また,ディジタル証 明書だけで認証することもでき,従業員がパスワードを管理する負担の軽減につな がるので,サービスQを採用することにした。

3.クラウドプロキシ

 「ゼロトラスト」という言葉を耳にすることが多くなった。ゼロトラストはあくまでも概念なのだが、それを実現する方法の一つとして、クラウドプロキシサービスがある。代表的なのはZscaler社やMcAfee社やSymantec社のサービスである。セキュアウェブゲートウェイサービス(SWG)ともいわれる。

情報処理安全確保支援士の過去問(R3SC春午後2問1)をみてみよう。

過去問(R3SC春午後2問1)
機器からインターネットへの通信を中継するプロキシ型のクラウトサービスである。その一つにサービスNがある。サービスNを利用するには,機器からインターネットへの通信を全てサービスN経由で行うなどの制御を行う端末制御エージェントソフトウェア(以下,Pソフトという)を機器に導入する必要がある。管理者は,Pソフトを,一般利用者権限では動作の停止やアンインストールができないように設定することができる。
サービスNの機能を表3に示す。
f:id:seeeko:20210503124434p:plain

 従来のプロキシサーバを使ったインターネット接続と、SWGのクラウドプロキシを図にすると、以下のようになる。


クラウドプロキシへの接続は、以下のようにPCのプロキシ設定で、SWGのプロキシサーバを指定する方法もあれば、PCにソフトをインストールする場合もある。

4.クラウドサービスのセキュリティを保つ

 自社サービスであれば、セキュリティ診断が行えるが、クラウドサービスではそう簡単ではない。どのような物理的、人的、技術的対策が施されているのか、公開されていないことが多いからだ。また、セキュリティ診断としてペネトレーションテストを仕掛けることは禁止されていることもある。

Q.クラウドサービスの場合、どうやってセキュリティが確保されているかを確認すればいいか。






A.たとえば、以下がある。

①認証取得情報を確認
②公開されているセキュリティ要件から机上で監査を行う。
③セキュリティ対策状況のヒアリング

情報処理安全確保支援士の過去問をみてみよう。

❶R2SC秋午後2問2
各クラウドサービスプロバイダ(以下,CSPという)に,脆弱性対策の状況についてのヒアリング及びサービスの基盤についての脆弱性検査を実施させてもらえないか確認した。そうしたところ,各CSPともヒアリングには対応するが,利用者による脆弱性検査は,サービス提供に影響を及ぼすおそれがあるので許可していないとの回答だった。そこでF次長は,脆弱性検査を⑥別の方法とヒアリングで代替することにした。

設問4 本文中の下線⑥について,どのような方法か。35字以内で述べよ。






【試験センターの解答例】
セキュリティ対策についての第三者による監査報告書で確認するという方法

❷R3SC春午後2問2
C社では,SaaSを契約するに当たって,⑦SaaS又はSaaS事業者が何らかのセキュリティ規格に準拠していることの第三者による認証を確認するか,SaaS事業者が自ら発行するホワイトペーパを確認することにした。

設問5(1)本文中の下線⑦について,規格又は認証の例を20字以内で答えよ。

5.CASB

クラウドサービスの利用を監視し,不適切なクラウドサービスや機能を制限、必要に応じて不正行為や異常な行為を検出・通知するサービスをCASB(Cloud Access Security Broker)と呼びます。

(1)用語:シャドーIT
 過去問(H29秋SG午前問16)では、「シャドーITに該当するもの」として、「IT部門の公式な許可を得ずに,従業員又は部門が業務に利用しているデバイスやクラウドサービス」とあります。
自分のPCを持ち込んだり、外部のストレージサービスを利用することによって、情報漏えいのリスクにつながります。

(2)CASBの必要性
 MSのOffice365やGoogleAppsなど、クラウドの利用が増えてきた。
クラウドで仕事をすると、セキュリティ上の懸念がある。たとえば、社内のサーバから社外にHTTPS等でファイルをアップロードすると、FWやProxyにログが残る。しかし、クラウドではすべて社外のクラウドサービス上で実施されててしまうので、企業としては、仮に社員が不正な情報送信をしても知ることができない。そこで、CASB(Cloud Access Security Broker)を使って、クラウド上の操作を把握する。(※CASBは「キャスビー」と読むことが一般的。)
製品としては、McAfeeのMvisionCloud(旧SKY HIで、McAfeeが買収)や、Netscope、Symantecのサービスなどがある。

f:id:seeeko:20200818124138j:plain



どうやってクラウド上の操作を把握するのですか?
 情報処理安全確保支援士の試験には出ないと思うので、簡単にだけ。方法は大きく3つかある。
❶シャドーITと呼ばれるもので、UTMやProxyのログを分析する。どのクラウドサービスを使ったかを判断する。適切ではないクラウドサービスを使っていれば、それをURLフィルタ等で規制するなどにつなげる。ただ、どこにどんなファイルを送信したかなどはわからない。また、最近はHTTPS化されていることが多く、その場合は接続先がわからないのでSSL復号なども必要になる。
❷端末にエージェントを入れ、その操作ログを確認する
❸クラウドサービスと連携してログを確認する。

では、情報処理安全確保支援士の過去問(R3SC午前2問11)をみてみよう。

過去問(R3SC午前2問11)
問11 セキュリティ対策として,CASB(Cloud Access Security Broker)を利用した際の効果はどれか。
ア クラウドサービスプロバイダが,運用しているクラウドサービスに対してDDoS攻撃対策を行うことによって,クラウドサービスの可用性低下を緩和できる。
イ クラウドサービスプロバイダが,クラウドサービスを運用している施設に対して入退室管理を行うことによって,クラウドサービス運用環境への物理的な不正アクセスを防止できる。
ウ クラウドサービス利用組織の管理者が,組織で利用しているクラウドサービスに対して脆弱性診断を行うことによって,脆弱性を特定できる。
エ クラウドサービス利用組織の管理者が,組織の利用者が利用している全てのクラウドサービスの利用状況の可視化を行うことによって,許可を得ずにクラウドサービスを利用している者を特定できる。