情報セキュリティスペシャリスト 平成27年秋期午後2問1への疑問について

情報処理安全確保支援士
この記事は約4分で読めます。

昨日、平成27年秋期午後Ⅱ問1「シンクライアント技術を利用したマルウェア対策」を解きました。

過去に、シンクライアント環境のシステム構築を担当したことがあるため、手始めにこの問題を選びました。

問題では複数のネットワーク設計案(現在と案1~4)が出てきますが、設問の順に問題のセクションが分かれているので、それ程難しい問題ではないと思います。

とはいうものの、問題の内容自体に3つ疑問なところがあったので、ブログしたいと思います。教えていただける方がおられましたら、コメントいただけると嬉しいです。
#今回の記事は問題を読まれていることを前提に書いています

URLフィルタリングサーバの配置

設計案2ではDMZにDLPサーバが追加されディープパケットインスペクションを行います。このため、HTTPS通信を復号及び再暗号化するSSLプロキシサーバも追加されました。

ここで疑問はURLフィルタリングサーバの配置です。この配置だと再暗号化されているため、HTTPS通信はURLフィルタリングできません。

よって、問題文に書かれていませんが、

URLフィルタリングサーバ自体に復号及び再暗号化の機能がある、又はURLフィルタリングサーバではHTTPS通信のURLフィルタリングができなくても良い、という前提が必要だといえます。

『疑問』

なぜDLPサーバと同じ場所に配置しないのか?

海外支社Xのマルウェア対策

マルウェア対策と海外支社Xの業務要件を踏まえて、Yさんは設計案3を作成し情報セキュリティ管理部と部長の承認を得ました。

しかし、設計案3では海外支社Xのマルウェア対策が不十分となります。なぜなら、海外支社X用TCサーバは、海外支社X用ファイルサーバとグループウェアサーバだけでなく、認証プロキシサーバとも通信ができるためです。

本店、海外支社Xを除く支社では、OA用TCサーバはファイルサーバとグループウェアサーバのみ、IA用TCサーバは認証プロキシサーバのみに分けることでマルウェア対策を実現していました。

『疑問』

海外支社Xのマルウェア対策は不十分となるが問題ないのか?

海外支店Xのパフォーマンス検証

設計案3における海外支社Xの業務要件として、海外支店XのPC又はTC端末にて金融機関からのメールに記載されたURLをクリックすると、共同融資事業のオンラインストレージ(インターネット上)よりファイルをダウンロードする。

問題文では、この業務のトラフィック量がパフォーマンス要件を満たさないので、ネットワーク構成を見直し設計案4としています。この設計案4では、海外支店Xから直接インターネットに接続して共同融資事業のオンラインストレージよりファイルをダウンロードします。

このため、海外支社Xについてサーバ集約やシンクライアント端末への移行による、セキュリティ強化及びコストの削減を諦めたようです。具体的には、海外支社Xに海外支社用ファイルサーバを配置し、例外的にPCもシンクライアント端末に移行していません。

ここで疑問はオンラインストレージからファイルをダウンロードするにあたり、A社データセンター(東京)はパフォーマンス要件を満たさないが、海外支社Xはパフォーマンスを満たすという点です。

A社データセンター(東京)は物理的に遠いですが、ネットワークの通信として考えると、どちらもインターネットからという点に変わりないので、それほど大きな違いはないと考えます。

一方、海外支社XのTC端末とA社データセンター(東京)のTCサーバ間で、広域ネットワークにて画面転送型のシンクライアントを利用することのほうが、レスポンスの問題が大きいと思います。なぜなら、画面や操作情報の転送では物理的な距離、すなわちホップ数が多いことによる遅延の影響が大きいからです。

『疑問』

設計案3から設計案4への変更理由はインターネットの帯域ではなく、広域ネットワークの通信遅延が適切ではないか?

あとがき

この問題は、シンクライアント環境をテーマとしていますが、ホワイトリストによるネットワークの通信設計の能力を問う問題だといえます。

部長や各支社の要望を聞きながら、具体的な設計に落とす設問はネットワークスペシャリストの問題に近い気がします。

今回疑問に感じた部分は設問には関係ないですが、問題文を読み込むと色々と見えてきて面白いと感じました。


コメント

Copy Protected by Chetan's WP-Copyprotect.