情報セキュアド 平成14年度試験 問題(午後1 問2)
問2 認証システムに関する次の記述を読んで,設問1〜5に答えよ。
B社は,本社を東京にもち,複数の事業所を有する大手製造業者である。本社と各事業所は,社内ネットワークで結ばれている。社外への情報提供のために,非武装セグメント(DMZ)にWebサーバを設置している。B社は,早くから情報化に取り組んでおり,社員に1人1台のパソコンを配布している。また,社内の各種業務サービスの多くは,ブラウザからアクセスできる。このうち,人事や経理など一部のシステムは,IDとパスワードによるアクセス制御を行っている。電子メールについては,4月と10月の年2回の定期人事異動のたびに電子メールアドレスが変わることがないよう,所属部門に依存しないアドレス形式に統一されている。
昨年,経営トップの交代があり,情報化戦略強化の一環として,公開かぎ基盤(以下,PKIという)の構築が打ち出された。情報システム部のS部長は,直ちに,T課長,U主任とともにPKIの導入計画を策定し,システム設計を開始した。その概要は,次のとおりである。
| (1) | PKIの導入によって,クライアント認証の強化を図る。具体的には,サーバヘのアクセス時のクライアント認証,社外からB社システムヘのアクセス時のクライアント認証に適用する。 |
| (2) | 公開かぎ証明書の発行対象は,全社員とする。失効事由が発生した場合には,直ちに失効手続を取るが,人事異動で失効にならないよう設計に留意する。 |
| (3) | 公開かぎ証明書を発行する認証局の主管は,情報システム部とする。認証局は,社員の秘密かぎを保持しない。 |
| (4) | 社外から社内サーバヘのアクセスは,100人規模のパイロットシステムによって3か月間の評価を実施し,その後,全社展開を行う。 |
社員は,配布されたツールを使用して,あらかじめ秘密かぎと公開かぎのかぎペアを生成し,公開かぎ証明書を取得する。図1に,B社システムの構成を示す。
S部長は,〔1〕IDとパスワードによる認証方式が利用者にとって負担になり,結果としてセキュリティの水準を低くしているという問題意識をもっていたことから,PKI導入によって,一気にこの問題を解決できると考えた。
PKI設計のかなめは,公開かぎ証明書の設計である。S部長,T課長及びU主任の3人は,図2に示す公開かぎ証明書に記載する“対象者名(subject)”と“有効期間”について議論した。
|
| S部長: | 公開かぎ証明書は,印鑑証明書のようなものなので,“対象者名”をユニークにする必要がある。 |
| T課長: | 社員番号,電子メールアドレス,所属と氏名などいろいろ考えられますが,公開かぎ証明書を画面で見てすぐ確認できることと,社内で使うものですから,所属と氏名を記載したらいかがでしょうか。 |
| S部長: | 〔2〕その案には賛成できないな。ユニークにするといっても,社員番号ではだれだか分からないので問題だが,電子メールアドレスなら既に電子メールが社内に普及しているので,問題は少ないと思う。無論,氏名と社員番号の組合せや,氏名と電子メールアドレスの組合せでも構わないと思うが。 |
| T課長: | それでは,氏名と社員番号の組合せにしましょう。 |
| S部長: | 公開かぎ証明書には,有効期間があったはずだが,どれくらいだったかな。 |
| U主任: | 4年です。 |
| S部長: | 有効期間が切れる前に,次の公開かぎ証明書を発行する必要があると聞いているが,それはいつごろを計画しているのかな。 |
| U主任: | 全社規模になりますと,数日で次の公開かぎ証明書を発行するのは難しいと思いますので,有効期間が切れる1か月前からにしたいと思います。 |
パイロットシステムによる評価は,以前から情報システム部門に協力的な営業部と技術部が行うことになった。早速,両部の部員に対して操作方法や公開かぎ証明書の取得の仕方などの説明会が開かれ,翌日から公開かぎ証明書の発行申請の受付が始まった。公開かぎ証明書の発行申請及び取得は,Webから行うことができるようになっており,このときに入力する本人確認用の“初期パスワード”は手渡しで配付した。1週間のうちに全員が手続を済ませた。
1か月ほど経ったある日,U主任に技術部のC君から電話が入り,秘密かぎと公開かぎ証明書が入ったパソコンを紛失してしまったと連絡があった。〔3〕U主任は,認証局の運用規定に従ってC君が本人であることを確認し,速やかに処置を行った後C君に次にとるべき処置を指示した。このような場合に社員がとるべき行動については,説明会で配付した説明書やWebページにも掲載してあるが,試行期間中でもあったので,どうすればよいかを懇切丁寧に説明した。
パイロットシステムによって,社外から社内サーバにアクセスできるようになったことから,営業部の部員には好評であった。パイロットシステムによる試行が始まると同時に,S部長をはじめとするプロジェクトチームは,全社展開に向けて準備を開始した。
| S部長: | 今度は全社規模であり,試行時のように本人に手渡しするわけにもいかないので,何か工夫が必要だと思うが。 |
| T課長: | はい。公開かぎ証明書の発行申請及び取得はWebから行い,〔4〕発行申請前と取得後にそれぞれこのような内容の電子メールを送付して通知しようと思います。(と言いながら,電子メールで通知する内容を書いた説明書をS部長に提示する。) |
| S部長: | なるほど。これなら問題ない。話は変わるが,この前,我が社と似たような規模のW社のF部長に会ったときの話だと,W社はPKIを利用したディジタル署名システムを試行するそうだ。〔5〕公開かぎ証明書の有効期限は4年で半分の2年経ったところで次の公開かぎ証明書を発行するといっていたが,我が社は1か月前で大丈夫か。 |
| U主任: | 大丈夫です。問題ありません。クライアント認証のためなので,1か月前で十分です。 |
設問1 本文中の下線〔1〕で,IDとパスワードによる認証方式が抱えている,利用者にとって負担になる問題とは何か。セキュリティ確保の観点から二つ挙げ,それぞれ25字以内で述べよ。
設問1の正解例へ
設問2 本文中の下線〔2〕で,S部長が反対した理由を30字以内で述べよ。
設問2の正解例へ
設問3 本文中の下線〔3〕で,U主任が行うべき処置と,U主任がC君に対して指示すべき処置は何か。U主任が行うべき処置を15字以内,U主任がC君に対して指示すべき処置を30字以内で述べよ。
設問3の正解例へ
設問4 本文中の下線〔4〕の電子メールの内容は何か。公開かぎ証明書の発行申請前と取得後の電子メールの内容について,それぞれ20字以内で述べよ。
設問4の正解例へ
設問5 本文中の下線〔5〕で,W社は有効期間が切れる2年前に次の公開かぎ証明書を発行するのに対して,B社では有効期間が切れる1か月前の発行を予定している。なぜ,更新時期がこのように大きく違うのか,80字以内で述べよ。
設問5の正解例へ
メニューへ戻る