H29年 情報工学・情報ネットワーク U-1-2問題 模範解答と解説

問題  公開鍵暗号方式を用いた電子署名の仕組みと,同方式における認証局の役割を,それぞれ述べよ。 


 

 模範解答  答案形式1   専門とする事項  情報ネットワーク    添削回数2回


1.電子署名の仕組み

 電子データを送付する際、送信者は電子データに加えて、自身の公開鍵と電子データをハッシュ処理と呼ばれる処理を行い秘密鍵で暗号化したものを暗号文として送付する。ハッシュ処理は、あるデータが与えられた場合に、決められたデータ長の結果を返すが、元のデータが同じであれば、必ず同じ値を返す処理である。

 受信者は、送られた電子データをハッシュ処理したものと、暗号文を送信者の公開鍵で複合化したものを比較し同一であることを確認する。公開鍵暗号化方式では、公開鍵で複合化できるデータは、ペアとなる秘密鍵で暗号化されたものであり、秘密鍵は本人のみが所持していることが前提となる。このことから電子データが本人しか持ちえない秘密鍵により暗号化されたものであることが証明され、間違いなく本人から送信されたものであることが確認できる。

2.認証局の役割

公開鍵・秘密鍵は自身でも発行することができるため、本人になりすまして、他人の鍵を生成する可能性も考えられる。認証局は、公開鍵・秘密鍵の発行時に厳密な本人確認を行うことにより、一般に公開されている公開鍵が、本人のものであることを客観的に証明する役割を担っている。

H29年 情報工学・情報ネットワーク  U-1-3問題 模範解答と解説

問題  1Pネットワークの経路制御技術は,大別してEGP (Exterior Gateway Protocol)とIGP (Interior Gateway Protocol)に分類される。 EGPとIGPの役割を述べよ。また,それぞれの代表的な通信プロトコルである, BGPとOSPFについて,特徴と経路情報を交換する仕組みを,それぞれ述べよ。


 模範解答  答案形式1   専門とする事項  情報ネットワーク    添削回数2回


1.EGPとIGPの役割

 EGPは主にインターネットにおける異なる組織間の経路制御に利用され、IGPは主に組織内の経路制御に利用される。

2.BGPとOSPFの特徴と仕組み

2−1.BGPの特徴と仕組み

 組織毎の識別番号としてAS番号と呼ばれるものを用い、目的のAS番号へ到達するまでの経路制御を行う。経路個別に細かなポリシ付加が可能であり、組織毎のポリシに基づいた経路制御ができることが特徴である。

 BGPでは、自身が隣接しているAS番号の情報を連鎖伝達する事で経路情報を認識するが、情報を伝達するルータは明示的に定義する必要がある。

2−2.OSPFの特徴と仕組み

 組織内に配置されたルータが組織のネットワーク構成を全て把握し、任意のルータが変化を検知すると迅速に他のルータに変化を通知するため、厳密で敏速な経路制御ができることが特徴である。

 OSPFでは代表ルータと呼ばれるものが自動で選出され、各ルータが自身の周辺状態を代表ルータに通知し、代表ルータが全ネットワーク構成を他のルータに通知することにより、全ルータが全てのネットワーク情報を知ることができる。

H29年 情報工学・情報ネットワーク  U-2-1問題 模範解答と解説

問題  

 初めて担当する顧客の企業から,ランサムウェア対策の提言を求められた。 顧客の企業は従業員200名の製造業で,相手は,情報システム部長を兼務している総務部長である。次の問いに答えよ。

(1)他の脅威との違いを中心に,感染経路や被害内容など,ランサムウェアの特徴を述べよ。

(2)具体的提言のために,どのような視点で顧客の状況を調査すれば良いかを述べよ。

(3)ランサムウェア対策として重要なセキュリティ対策を3つ挙げ,それぞれに改善が必要な状況を想定して,具体的対策を含んだ提言を述べよ。


 模範解答  答案形式1   専門とする事項  情報ネットワーク    添削回数2回


(1)ランサムウェアの特徴

 ランサムウェアは、ユーザーのデータを人質として、金銭を要求する悪意を及ぼすソフトウェア(マルウェア)の一種である。他のマルウェアが、利用者に知られないように悪意のある活動を行うのに対して、利用者に感染している事を意図的に伝える点が最大の特長である。

 感染経路としては、主にメールの添付ファイルやメール本文のリンクが主流であったが、近年はWEBアクセスによる感染も確認されている。

 被害内容としては、PC内部のデータ消失や利用ができなくなることとなり、ランサムウェア自体をPCから駆除を行っても、データ復旧ができず被害が残る点も特徴である。

(2)顧客の情報調査における視点

1.組織体制の視点

 セキュリティ脅威に対する社内の組織体制を確認する。具体的には、責任と権限が明確に定義されているか、基本方針やルールが規定されているか、その既定を従業員に遵守させるために具体的にどのような取り組みをしているか等である。

2.システム対策の視点

 社内ネットワーク及びサーバーやPCに対する現状のセキュリティ対策状況を確認する。具体的には、セキュリティ機器の配備状況やPCの対策ソフトウェアの導入状況に加え、セキュリティパッチ等の日々の運用状況の確認も含まれる。

(3)ランサムウェアのセキュリティ対策

1.バックアップ

 PCデータのバックアップが個々になされているかの把握が困難であるため、全社で利用できるバックアップシステムを構築し、バックアップのルールを明確化する。管理者は、バックアップ状況を把握・管理し、バックアップの漏れをなくすようにする。

2.定期的な教育

 利用者が、悪意のあるメールやWEBサイトを自己判定できない恐れがあり、定期的なセキュリティ教育の実施を行う。社内で感染した事例が出れば共有化し、同じ被害に合わないようにする。ダミーのメールを送付して、利用者の対応状況を確認する訓練メールを行うことも、有効な教育手段となる。

3.振る舞い検知型のソフトウェア

PCに侵入した悪意のあるソフトウェアが既知のものではない場合、従来のパターンマッチング型の対策では検知が出来ない恐れがあるため、振る舞い検知型のソフトウェアを導入することにより、被害の軽減を図る。このソフトウェアは、PC内のファイルの怪しい挙動を検知し、抑止する機能を持っており、ランサムウェアがPCのファイルを削除しようとする動きを検知して止めることが可能となる。

H29年 情報工学・情報ネットワーク  V-1問題 模範解答と解説

問題  

  ワークライフバランスなどの働き方改革を目的として,テレワークの導入が進んでいる。従業員数100名の企業であるA社は,事務職に対する在宅勤務を計画中である。 A社の経営者は,データ漏洩のリスクや在宅勤務における勤怠等の労務管理,及び,社内コミュニケーションのあり方に懸念を抱きつつ,働き方の多様性を実現して,優秀な人材 を確保したいと考えている。現在,必要なソフトウェアが搭載されたPCが,会社から全 社員に貸与され,社内ネットワークからのみアクセス可能な固有のシステムを,全社員が 利用している。テレワークを実現するICT環境に関する,次の問いに答えよ。

(1)テレワーク導入のプロジェクトが組成され,情報システムの責任者がプロジェクトマネージヤに選任された。あなたは,社外からプロジェクトマネージヤを支援する事にな  った。テレワークを実現するICT環境の設計と構築の前に,確認,検討,及び,企画しなければならない論点を,多面的に述べよ。

(2)テレワークを実現するICT環境のシステム例を1つ挙げ,ネットワーク構成の視点から示し,その特徴と他の実現方式との得失と共に述べよ

(3)(2)のシステム例について,情報セキュリティに関する留意点と対策を述べよ。


 模範解答  答案形式1   専門とする事項  情報ネットワーク    添削回数3回


(1)テレワーク導入における確認、検討、企画事項

1.データ漏洩のリスク

1−1.固有システムのセキュリティ対策

 固有システムが社外からも利用されるため、不正侵入への対策が必要である。具体的には、侵入を検知・防止するシステムの導入や強固な認証システムに加え、固有システムへの脆弱性への対応が必要となる。

1−2.貸与PCの紛失への対策

 貸与PCの紛失によるデータの紛失・漏洩した際のリスクアセスメントを行う。その上でデータ暗号化によるデータ保護や、紛失時にリモートでデータを削除できるシステム等のシステムをリスクの程度に応じて導入検討を行う。

2.勤怠等の労務管理

 固有システムへのログイン・ログアウトと勤怠システムとの自動連携や、利用者にスマートフォン等により勤務開始時間と位置情報を送信させるシステムの導入を行い、不正な勤務報告への対策を行う。

3.社内コミュニケーション

 対面に代わる手段として、クラウド型のTV会議システム及びファイル交換システムや業務用チャットツール等、出先でのPCや通信環境に応じて選択ができるよう複数のコミュニケーション手段を準備する。

(2)テレワーク実現のシステム

1.デスクトップ仮想化システム

1−1.基本的な構成

 専用のサーバーを構築し、仮想化技術を使用して利用者分の仮想マシンを内部に作成する。仮想技術とは、物理的なマシンを論理的に分割する技術であり、今回の場合は、業務で用いる複数の物理PCが専用サーバーに論理的に複数仮想マシンとして格納される。

johokogaku_zu1.jpg (797×522)

 利用者側の端末には専用サーバーにアクセスできるアプリケーションが入っており、専用サーバーから利用者の仮想マシンから転送される画像を表示させる事により、業務で用いる物理PCを操作するのと全く同じ環境を提供することができる。

 仮想マシンと利用者の対応付けは、専用サーバーへの接続時にログイン認証を行うことにより行われる。

1−2.特徴と他の方式とのメリット

@  アクセス環境への依存

 どのような場所からのアクセスに対しても全く同じ仕組みで同じ環境を提供するため、運用オペレーションやセキュリティ対策の検討ポイントが削減され、結果として運用コストの削減につながる。

A  情報漏洩

通信のやりとりが画像の転送のみであり、端末身がデータを保持しないため、端末の紛失や盗聴に強いというセキュリティ上のメリットがある。

1−3.特徴と他の方式とのデメリット

@  導入コスト

専用のサーバーやOSを導入する必要があり、初期導入コストが物理PCよりも高額となる。

A  通信環境による影響

利用者のインターネットへの通信環境によっては、サービスのレスポンスが悪くなる事も考えられる。

(3)情報セキュリティに関する留意点と対策

1.外部からのサービス妨害

 大量の通信を送りつける等のサービス妨害への対策として、外部から複数の接続ポイントを設けておく。

2.不正アクセス

 システムへのログイン方法がユーザーIDとパスワードのみの場合、総あたり攻撃等により、ログイン情報が漏洩する恐れがあり、ユーザーIDに加え、マシン認証やワンタイムパスワード及び指紋認証等2要素以上の認証の実施し、セキュリティ強度を高める。

3.ログイン情報の漏えい

 貸与PCやメモの紛失によりログイン情報が漏洩する恐れがあり、利用者から紛失の連絡があり次第、専用サーバー側で該当アカウントの無効化を行う。