問1
セキュリティ管理に関する次の記述を読んで,設問1〜3に答えよ。
A社は,全国50か所にチェーン店をもつ小売業者である。A社専用の会員カードを発行するために,顧客情報管理システムを運用している。また,機能改善のためのシステム開発も行っている。
システム構成は,図に示すとおりである。
〔本番業務と本番環境〕
| (1) | 顧客情報の登録と参照は,店舗に設置されたPCを使用し,インターネットを経由して行われる。 |
| (2) | 顧客情報は,本番用サーバの磁気ディスク装置にだけ格納されている。 |
| (3) | 本番トラブル時の対策は,システム管理者がコンピュータセンタの本番用PC又は自宅に設置したPCを使用して行う。 |
〔開発業務と開発環境〕
| (1) | システム開発者は,プログラム開発やテストなどのシステム開発作業を,コンピュータセンタ内の開発用PC又は自宅に設置したPCを使用して行う。 |
| (2) | 開発用プログラムライブラリなどの開発環境は,開発用サーバにだけ存在する。 |
〔顧客情報管理システムのセキュリティ管理〕
A社では,顧客情報の社外漏えいや社外からの顧客情報管理システムヘの不正侵入を防止する観点から,アクセスする者が正当な利用者か否かを判別するため,サーバによるアクセス制御を実施している。
また,正当な利用者以外からのインターネット経由のアクセスを禁止するため,ルータによるアクセス制御を実施している。
(1)サーバによるアクセス制御
(2)ルータによるアクセス制御
(a) サーバごとに,利用者のユーザIDとパスワードをあらかじめ登録しておく。 (b) サーバの利用開始時にユーザIDとパスワードによってログインを行う。 (c) ユーザIDとパスワードの組合せがチェックされ,登録されたものだけが受け付けられて,サーバの利用が許可される。
(a) インターネットからセンタ内LANへのデータの流れについては,ファイアウォール機能を次のとおり設定し,アクセス制御する。
- 通過できるプロトコルは,当システムで利用するHTTPだけに制限し,HTTP以外のプロトコルによるアクセスを認めない。
- あて先IPアドレスは,本番用サーバだけに制限し,本番用サーバ以外のあて先指定は認めない。
(b) アクセスログ取得機能を利用し,アクセスごとに取得した内容を記録する。
|
|
|
| ファイアウォール機能 | データの流れる方向の制御機能
通過できるプロトコルの制御機能 発信者IPアドレスの制限機能 あて先IPアドレスの制限機能 |
| アクセスログ取得機能 | 発信者IPアドレス,あて先IPアドレス,
ユーザID,パスワード, アクセスエラーコードなどをアクセスごとに取得する機能 |
〔顧客情報の外部流出〕
顧客情報のセキュリティについては,セキュリティ機能を備えたルータを設置していることと,顧客情報の参照は,決められたユーザIDだけに許可していることなどで万全と考えていたが,先日,顧客情報が外部に流出する事件が発生した。
アクセスログを解析したところ,第三者のIPアドレスによる“認証エラー”が大量に発生していた。
調査の結果,多くの利用者はパスワードとして,利用者自身が記憶する必要から,単純な数字の組合せを利用している実態が分かった。このようなパスワードを使用すると,万一ユーザIDが社外の第三者に知られた場合,何回もログインの試行錯誤を繰り返すうちに,パスワードを類推できることになる。
設問1
現状のシステム構成では,本番業務で使用するPC以外に,本番用サーバにアクセスできるPCがある。アクセスできるPCを経路とともに三つ挙げ,それぞれ40字以内で述べよ。
設問2
当システムにおいて,外部からの侵入を防止するセキュリティ強化の観点から,次の問いに答えよ。
| (1) | 〔顧客情報の外部流出〕の記述にあるように,ユーザID,パスワードを類推して侵入されることを防ぐために,実施できる技術的対策を50字以内で述べよ。 |
| (2) | 公衆電話網の場合,ユーザID,パスワードによるアクセス制御以外に,セキュリティを強化できる技術的対策がある。披術的対策を二つ挙げ,それぞれ30字以内で述べよ。 |
設問3
セキュリティを更に強化するために,今回設置したものと同一機種のルータをもう1台設置することにした。
| (1) | 図中の 〜 のうち,どの場所に設置するのが効果的か。記号@〜Cのうち,どれか一つを記号で答えよ。 |
| (2) | 新たに設置するルータに,ファイアウォール機能を設定する必要がある。どのような設定を行うのが良いか,50字以内で述べよ。 |
解答例(TACへリンク)