情報処理安全確保支援士 - SE娘の剣 -

左門至峰による情報処理安全確保支援士試験に合格するためのサイトです。 過去問を多数引用しながら、情報処理安全確保支援士試験に出る基礎知識を整理します

リモートワーク、MDMとBYOD

10.クライアントセキュリティ

 

1.BYODとは

BYOD(Bring Your Own Device)とは、個人が所有する(Own)端末(Device)を(会社に)持ってくる(Bring)というフルスペルが意味する通り、「個人が所有するモバイル端末の業務利用(H26年春AU午後Ⅰ問3)参照)」のことです。過去問(H26年春AU午後Ⅰ問3)では、 BYODに関して以下の記載があります。

〔BYOD導入の目的〕
 Z社は,アンケート調査の結果を受けて,3月の経営会議で,Z社と従業員の双方に とってメリットが期待できるとして, BYODの導入を決定し,目的を次のように定めた。
(1)使い慣れたモバイル端末でZ社システムを利用することによる業務生産性の向上
(2)端末導入コストの低減及びモバイル端末の購入・修理に係る業務負荷の軽減
(3)通信コストの低減及び利用プランの契約・見直しに係る業務負荷の軽減
 また, BYODは従業員の任意であり,希望者は上長の承認を得た上で,モバイル端末のOSのバージョン確認など,所定の手続を経て開始できること,及びモバイル端末の購入・修理に係る費用と通信費用について,Z社が一部負担することも決定した。
 なお,営業職など,職務上,モバイル端末の業務利用を必要とするがBYODを希望しない従業員に対しては,Z社がモバイル端末を貸与することにした。

また、過去問(H25秋FE午前問40)には、BYOD (Bring Your Own Device)に関して、「従業員が私的に保有する情報端末を業務に利用することであり,セキュリティ設定の不備に起因するウイルス感染などのセキュリティリスクが増大する。」点を指摘しています。

2.MDMとは

携帯端末のセキュリティ対策の一つがMDM(Mobile Device Management)、つまり、携帯端末(Mobile Device)の管理(Management)です。MDMに関して、過去問(H26春FE午前問40)には、「会社や団体が,自組織の従業員に貸与するスマートフォンに対して,セキュリティポリシに従った一元的な設定をしたり,業務アプリケーションを配信したりして,スマートフォンの利用状況などを一元管理する仕組み」と述べられています。
過去問(H26年春AU午後Ⅰ問3)では、MDMに関する出題があります。この過去問をベースに、MDMの機能を確認しましょう。

MDMツールの次の機能を利用して,モバイル端末の一元管理・セキュリティ強化を図る。
(1)多様な機種及びOSのモバイル端末の管理機能
(2)モバイル端末の台帳管理及び使用状況のモニタとレポート機能
(3)ウイルス対策ソフトの強制インストール及びアップデート機能
(4) Z社が利用を許可していないアプリケーションの強制アンインストール機能
(5)モバイル端末の紛失時又は盗難時のリモートロック又はリモートワイプ機能

リモートワイプ機能とは、遠隔でデータを削除する機能です。

3.Jailbreak (脱獄)やroot化

Jailbreakは、「ジェイルブレイク」と読みます。
情報処理安全確保支援士試験の過去問(H25秋SC午後Ⅱ)では、「Jailbreak (脱獄)やroot化など,スマートフォンに設けられた制限を取り外す行為(以下,改造という)を禁止する。」とあります。
また、H29秋SG午後問3では、「利用者によるOSの改造(Jailbreak,root化など)」が原因で起こり得る事象として、「スマートデバイスの利用者が出荷時のセキュリティ設定を解除できるようになる」とあります。
スマートフォンに儲けられた制限を外したり、セキュリティ設定を解除することで、カメラのシャッター音を消したりすることもできるようです。しかし、バックドアを仕掛けられたり、マルウェアに感染するなどの被害につながる危険があります。

4.リモートワークのセキュリティ

情報処理安全確保支援士試験の過去問(R2SC午後2問2)を参考に、リモートワークのセキュリティ要件を整理する。 

①社外からリモートアクセスする場合は、仮想デスクトップ環境(VDI)を利用する。
②スマホ及びノートPCには,インストール可能なアプリケーションソフトウェアの制限及び必要な設定の強制をする。
③リモートアクセス環境へのログインパスワードが見破られても,それだけでは不正アクセスできないように,SMS方式などによる【  】認証を行う。
④リモートアクセス環境へは,貸与するノートPCからだけログインできるようにする。
⑤リモートアクセス環境からの情報の持ち出しは禁止する。
⑥貸与するノートPCがインターネットに接続するには、リモートアクセス環境でVDIに接続してからしか接続できないようにする。
⑦マルウェア感染を検知・防止する。
⑧認証ログ,操作ログを記録する。

上記に関して、以下の問いに答えよ

■Q1.①に関して、インターネットVPN経由で社内のサーバに直接接続させるのではなく、VDIを利用するのはなぜか。







A1.社内のファイルなどを(社外にある)PCに持ち出せないようにするため。

■Q2.②に関して、このような機能を持つソフトウェアを何というか。







A2.MDM

■Q3.③に関して、空欄に入れる字句を答えよ。







A3.2要素

■Q4.④に関して、貸与するノートPCからだけログインできるようにするには、どんな方法があるか。







A4.この問題文では、クライアント証明書によるデバイス認証が記載されている。セキュリティを強化するために、クライアント証明書は「ノートPCのTPM(Trusted Platform Module)に格納する(問題文)」とある。
リモートアクセスなので、MACアドレスは不可能である。また、IDやパスワードなどではユーザ認証はできるが、デバイス認証はできない。

■Q5.⑤に関して、過去問を引用する。

VDとノートPCとの間でクリップボード及びディスクの共有を禁止するようにDaaS-Vを設定することにした。Gさんが設定してみたところ,ノートPCからは,VDの閲覧,キーボード及びマウスによる操作,並びにマイク及びスピーカによる会話しかできなくなることが確認できた。しかし,この設定であっても③利用者が故意に社内情報を持ち出おそれがある
これについては,簡単には技術的対策ができないので,利用規程で禁止することにした。

設問2 本文中の下線③について,ノートPCを介して持ち出す方法を30字以内で具体的に述べよ。







A5.社内情報を表示した画面をカメラで撮影するという方法

■Q6.⑥に関して、ノートPCがインターネットに接続するには、リモートアクセス環境でVDIに接続してからしか接続できないようにするのはなぜか。







A6.自宅環境だと、セキュリティの制限が無くインターネットに接続される可能性が高い。そこで、マルウェアに感染するリスクが高くなり、「社内情報を表示した画面のスクリーンショットを取るという方法(設問3(1)解答例)」も考えられる。VDIに接続して、社内のURLフィルタなどのセキュリティ対策がほどこされた環境からインターネット接続するのが望ましい。