クラウド環境への移行における制約【情報処理安全確保支援士試験 平成30年度 秋期 午後2 問1 設問2】
情報処理技術者試験、情報処理安全確保支援士試験の午後問題を通じて、情報セキュリティの知識を体系的に蓄積していきましょう。
キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習できるいい機会です。
今回は、「クラウド環境への移行における制約」を取り上げた「情報処理安全確保支援士試験 平成30年度 秋期 午後2問1 設問2」です。
問題文中、設問に該当する部分ですぐに解答を説明しています。
ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。
情報処理安全確保支援士試験 平成30年度 秋期 午後2 問1 設問2
問1 クラウド環境におけるセキュリティ対策に関する次の記述を読んで、設問1〜5に答えよ。
(略)
(略)
X社のシステムには、X社の情報セキュリティ標準、X社が事業を展開している各国及び各地域において特定の製品とそれら製品の技術情報を他国又は他地域に持ち出すことを制限した輸出管理規制、並びに各国及び各地域の個人情報保護に関する法規則の三つに準拠すること(以下、三つに準拠することを基本要件という)が求められる。基本要件の具体的内容は次のとおりである。
・R&D情報は、物理的な入退室管理が行われているプロジェクトルーム内に配置されたプロジェクト専用サーバに保管する。
・プロジェクト専用サーバには、プロジェクトルーム内のプロジェクト専用PCからだけアクセスさせる。
・生産関連サーバは、X社の工場及びデータセンタに配置する。
・生産関連サーバは、重要インフラ設備の製造の事業継続のために、バックアップを他の工場又はデータセンタに配置する。
・各国及び各地域の輸出管理規制への準拠のために、同じ重要インフラ設備を製造する工場及び生産関連サーバは同一の国又は地域内の2か所以上に配置する。日本国内では、システムを東日本地区のシステムと西日本地区のシステムに分け、東日本データセンタと西日本データセンタにそれぞれサーバを配置する。
・X社のシステムの機器には、プライベートIPアドレスを割り当てる。
・社外ネットワークとX社社内ネットワークを接続する際は、次のようにする。
(1)X社が管理するFWとIPSを介して接続する。
(2)FWで、業務上必要な通信だけを許可する。
(3)IPSとセキュリティベンダの監視サービスを併用して、攻撃が疑われる通信を検知・遮断する。
(略)
IaaS Cの主なサービス仕様の内容は次のとおりである。
・データセンタは、日本国内1か所、海外60か所に配置され、それらが高速の閉域網で相互に接続されている。データセンタ間の通信は課金されない。
・オプションサービスとして災害対策のサービスが提供されている。日本国内のデータセンタが被災した場合はシンガポールのデータセンタでサービスが継続される。
・ネットワーク及び仮想サーバは、H社の情報セキュリティ標準に基づいてセキュリティ管理が行われており、顧客企業には監査法人によるセキュリティ管理の監査報告書が開示される。
・あらかじめ予約されているプライベートIPアドレスがあり、利用者はそれらを使うことができない。
【クラウド環境への移行に関する検討】
X社システム部門は、次の条件のいずれかに該当するシステム及びサーバは、IaaS Cに移行できない又は移行すると基本要件を満たせなくなるとして、現状のままX社の工場、データセンタ又は拠点に配置し、X社システム部門がシステム運用業務を担当することにした。
条件1 IaaS Cが提供する仮想サーバでは稼働しないOSを用いているサーバ
条件2 プロジェクト専用サーバ
条件2について、プロジェクト専用サーバをクラウド環境に移行した場合に満たせなくなる基本要件の具体的内容を、60字以内で述べよ。:R&D情報は、物理的な入退室管理が行われているプロジェクトルーム内に配置されたプロジェクト専用サーバに保管する。
プロジェクト専用サーバに関する基本要件は、以下のとおりです。
- R&D情報は、物理的な入退室管理が行われているプロジェクトルーム内に配置されたプロジェクト専用サーバに保管する。
- プロジェクト専用サーバには、プロジェクトルーム内のプロジェクト専用PCからだけアクセスさせる。
1項については、物理的な配置場所に関することですので、クラウド環境に移行した場合には満たせなくなります。
ただ、物理的なセキュリティ上の脅威への対策という目的の観点では、クラウド環境でも要件と満たせると考えてもいいような気がします。
2項については、クラウド環境にあるプロジェクト専用サーバにプロジェクト専用PCだけアクセスするよう、X社のFWで設定することで要件を満たせそうです。
条件3 X社が取り扱う個人情報を管理するシステム
条件4 生産関連サーバ
条件4について、生産関連サーバをクラウド環境に移行し、かつIaaS Cの本文中に示したサービスを全て利用した場合に満たせなくなる基本要件の具体的内容を三つ挙げ、それぞれ50字以内で述べよ。
①生産関連サーバは、X社の工場及びデータセンタに配置する。
②生産関連サーバのバックアップを他の工場又はデータセンタに配置する。
③同じ重要インフラ設備を製造する工場及び生産関連サーバは同一の国又は地域内の2か所以上に配置する。
生産関連サーバに関する基本要件は、以下のとおりです。
- 生産関連サーバは、X社の工場及びデータセンタに配置する。
- 生産関連サーバは、重要インフラ設備の製造の事業継続のために、バックアップを他の工場又はデータセンタに配置する。
- 各国及び各地域の輸出管理規制への準拠のために、同じ重要インフラ設備を製造する工場及び生産関連サーバは同一の国又は地域内の2か所以上に配置する。
1項、2項については、生産関連サーバを工場、データセンタに配置するという要件を満たせなくなります。
IaaS Cもデータセンタに配置されていて悩みますが、X社の東日本・西日本データセンタを示していると解釈します。
3項については、IaaS Cのサービス仕様に「日本国内のデータセンタが被災した場合はシンガポールのデータセンタでサービスが継続される」とあり、同一の国又は地域内に配置する要件を満たせなくなります。
また、挙げた三つのうちの一つの理由となるIaaS Cのサービス仕様の内容を、50字以内で述べよ。:日本国内のデータセンタが被災した場合はシンガポールのデータセンタでサービスが継続される。
上記3項のとおりです。
また、X社システム部門は、IaaS CとX社社内ネットワークとの接続においては、X社が管理するFW及びIPSを介して接続することにし、さらにIaaS Cのサービス仕様上の制約から起こる問題を回避するために、FWのNAT機能を用いて一部のアドレスを変換することにした。
【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後2問1(一部、加工あり)】
X社社内ネットワークとIaaS Cとの接続において、FWのNAT機能を用いることにしたのはどのような問題を回避するためだと考えられるか。IaaS Cのサービス仕様の制約から起こる問題を70字以内で述べよ。:X社のシステムの機器に割り当てているIPアドレスが、IaaS Cで予約されているプライベートアドレスと重複する可能性があるという問題
FWのNAT機能を用いるということは、IPアドレスを変換する必要があるということです。
IPアドレスに関して、IaaS Cのサービス仕様には、「あらかじめ予約されているプライベートIPアドレスがあり、利用者はそれらを使うことができない」とあります。
したがって、予約されているプライベートIPアドレスが、X社のプライベートIPアドレスと重複することを避けるためにNAT機能を用いるということになります。