情報処理安全確保支援士 - SE娘の剣 -

左門至峰による情報処理安全確保支援士試験に合格するためのサイトです。 過去問を多数引用しながら、基礎知識をしっかり学んでいただけるように頑張ります

クラウドセキュリティ

情報処理安全確保支援士の試験では、今の時代のクラウドの広がりを受けて、クラウドに関する出題が増加している。クラウドであってもセキュリティの基本は認証や暗号。根底にある技術は変わらないが、クラウドならではの新しい技術やサービスが、情報処理安全確保支援士の試験で具体的に問われている。

 1.IDaaS

SaaSやIaaSと同じように、ID管理をサービスとして提供するのがIDaaS(Identity as a Service:アイダース、アイディアース)である。

f:id:seeeko:20200818124138j:plain 

なぜそんなサービスが必要なのですか?

昔と比べてクラウドサービスが増えてきた。1つや2つならいいが、5つや6つになると
それぞれIDを管理するのは大変。ユーザを追加、変更するには、全部のサービスで変えなければいけない。そこで、SSOによる統合ID管理が便利である。
もっとも有名なのはOktaである。連携できる数が多く、たとえばOffice365やGoogle、いろいろなクラウドサービスとの連携機能が充実している。
単にIDパスワードを管理するだけでなく、クラウドサービスで必要な属性も連携できたりする。

情報処理安全確保支援士の過去問(R3SC春午後2問1)をみてみよう。

SaaSへのアクセスにおける認証と認可に,インターネット上の認証サービスであるIDaaSを利用することにした。
 代表的なIDaaSであるサービスQについて調査した。サービスQの概要を表2に
示す。

f:id:seeeko:20210503122401p:plain

 C社の各部と議論を重ねた結果,幾つかのSaaSを総務Gで契約し,管理して提供 すれば,ほとんどの業務が行えることが分かった。これらのSaaSは全てSAML認証 に対応しており,サービスQと連携できることも確認できた。また,ディジタル証 明書だけで認証することもでき,従業員がパスワードを管理する負担の軽減につな がるので,サービスQを採用することにした。

 2.クラウドプロキシ

「ゼロトラスト」という言葉を耳にすることが多くなった。ゼロトラストはあくまでも概念なのだが、それを実現する方法の一つとして、クラウドプロキシサービスがある。代表的なのはZscaler社やMcAfee社やSymantec社のサービスである。

情報処理安全確保支援士の過去問(R3SC春午後2問1)をみてみよう。 

機器からインターネットへの通信を中継するプロキシ型のクラウトサービスである。その一つにサービスNがある。サービスNを利用するには,機器からインターネットへの通信を全てサービスN経由で行うなどの制御を行う端末制御エージェントソフトウェア(以下,Pソフトという)を機器に導入する必要がある。管理者は,Pソフトを,一般利用者権限では動作の停止やアンインストールができないように設定することができる。
 サービスNの機能を表3に示す。

f:id:seeeko:20210503124434p:plain

3.クラウドサービスのセキュリティを保つ

自社サービスであれば、セキュリティ診断が行えるが、クラウドサービスではそう簡単ではない。どのような物理的、人的、技術的対策が施されているのか、公開されていないことが多いからだ。また、セキュリティ診断としてペネトレーションテストを仕掛けることは禁止されていることもある。

Q.クラウドサービスの場合、どうやってセキュリティが確保されているかを確認すればいいか

答えを考えてみよう

                                            



A.たとえば、以下がある。

①認証取得情報を確認
②公開されているセキュリティ要件から机上で監査を行う。
③セキュリティ対策状況のヒアリング

情報処理安全確保支援士の過去問をみてみよう。

❶R2SC秋午後2問2 

各クラウドサービスプロバイダ(以下,CSPという)に,脆弱性対策の状況についてのヒアリング及びサービスの基盤についての脆弱性検査を実施させてもらえないか確認した。そうしたところ,各CSPともヒアリングには対応するが,利用者による脆弱性検査は,サービス提供に影響を及ぼすおそれがあるので許可していないとの回答だった。そこでF次長は,脆弱性検査を⑥別の方法とヒアリングで代替することにした。

設問4 本文中の下線⑥について,どのような方法か。35字以内で述べよ。                                            





【試験センターの解答例】
セキュリティ対策についての第三者による監査報告書で確認するという方法

❷ R3SC春午後2問2 

C社では,SaaSを契約するに当たって,⑦SaaS又はSaaS事業者が何らかのセキュリティ規格に準拠していることの第三者による認証を確認するか,SaaS事業者が自ら発行するホワイトペーパを確認することにした。

設問5(1)本文中の下線⑦について,規格又は認証の例を20字以内で答えよ。