やさしいネットワークとセキュリティ

情報処理安全確保支援士、ネットワークスペシャリスト、技術士として、資格取得を目指す方に有益な情報を発信します。

トップ > 情報処理安全確保支援士 > 無線LANの認証サーバの設置場所、無線LANからの不正アクセスに対する構成比較【情報処理安全確保支援士試験 令和元年度 秋期 午後2 問2 設問5】

無線LANの認証サーバの設置場所、無線LANからの不正アクセスに対する構成比較【情報処理安全確保支援士試験 令和元年度 秋期 午後2 問2 設問5】

情報処理安全確保支援士 情報処理安全確保支援士-午後解説

 情報処理技術者試験、情報処理安全確保支援士試験の午後問題を通じて、情報セキュリティの知識を体系的に蓄積していきましょう。

 キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習できるいい機会です。

 今回は、「無線LANの認証サーバの設置場所、無線LANからの不正アクセスに対する構成比較」を取り上げた「情報処理安全確保支援士試験 令和元年度 秋期 午後2問2設問5」です。

 問題文中、設問に該当する部分ですぐに解答を説明しています。

 ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

情報処理安全確保支援士試験 令和元年度 秋期 午後2 問2 設問5

問2 工場のセキュリティに関する次の記述を読んで、設問1〜7に答えよ。

(略)

f:id:aolaniengineer:20200609174432p:plain

(略)

 経営陣は、システム部のM部長をこの抜本的な見直しのプロジェクト(以下、プロジェクトWという)の責任者に任命した。プロジェクトWは、サイバー攻撃などによる生産設備の停止を防ぐことを目的とし、必要な施策を検討して実施する。例えば、A-NETで障害が発生しても生産設備の稼働を維持できるようにする。 

(略)

f:id:aolaniengineer:20200614143626p:plain

(略)

f:id:aolaniengineer:20200614145235p:plain

(略)

 調査によって発見された主要な課題を次に示す。

(略)

課題2:APは、接続を許可する機器をMACアドレス認証によって制限している。パスワードやディジタル証明書を利用した認証は行っていない。APの近くから、攻撃者が電波を傍受することでMACアドレスを入手し、この値を使用することで容易にAPに接続できてしまう。

(略)

【課題2の解決

 課題2の解決のため、今後は、APでの機器の認証方式として、WPA2エンタープライズ方式を採用することにした。同方式において必要となる認証サーバは、事務LAN用とセンサNET用をそれぞれ設置する。このうち、前者は全社で共用のサーバとし、システム部が管理する。後者はα工場が管理する。

【出典:情報処理安全確保支援士試験 令和元年度 秋期 午後2問2】

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2019h31_2/2019r01a_sc_pm2_qs.pdf

事務LAN用、センサNET用の認証サーバはどこに設置するのが適切か。それぞれ図1中の(あ)、(い)及び図5中の(う)〜(か)から選び、記号で答えよ。:事務LAN用(い)、センサNET用(か)

 APでの機器の認証を行う認証サーバは、APに接続した機器が認証前に通信することになるので、最小限の範囲内にいる必要があります。

 事務LAN用の認証サーバは全社で共用のサーバとなるので、全社サーバLAN内に設置されるのが良さそうです。(インターネットからアクセスできるDMZ内に配置すべきではありません)

 センサNET用の認証サーバは、センサNET内に設置されればいいでしょう。

APへの不正接続を考慮した場合、図5のネットワーク構成は図4に比べ、プロジェクトWの目的の達成の面で優れている。図5が優れていると考えられる点及びその理由について、FA端末から業務サーバにデータを安全に転送するための仕組みを導入しなかった場合を想定し、60字以内で具体的に述べよ。:事務LANとセンサNETはF-NETと分離されており、APに不正接続してもFA端末を攻撃できないから。

 プロジェクトWの目的については、「プロジェクトWは、サイバー攻撃などによる生産設備の停止を防ぐことを目的とし、必要な施策を検討して実施する。例えば、A-NETで障害が発生しても生産設備の稼働を維持できるようにする。 」とあります。

 ここで、生産設備については、図4の注記3と図5の注記1に「FA端末には生産設備が接続されている。当該生産設備の記載は省略している」とあるように、A-NETで障害が発生しても、FA端末経由で生産設備に影響を与えないことが必要です。

 また、「FA端末から業務サーバにデータを安全に転送するための仕組み」とは、設問4にある「FW方式」「USBメモリ方式」「中継用PC方式」「データダイオード方式」など、図5のネットワーク構成を一部変更することを含む仕組みです。

 これを導入しなかった場合を想定するとのことで、図5のネットワーク構成を前提にして考えます。

 「APへの不正接続を考慮した場合」とのことで、APのあるネットワークとFA端末の接続性をポイントに図4と図5を比較します。

 図4では、工場LAN内でAPとFA端末がL2SWを介して接続しているので、APに不正接続されるとFA端末が攻撃される可能性があります。

 一方、図5では、FA端末があるF-NETは、APがある事務LANとセンサNETから分離されていて、APに不正接続されてもFA端末を攻撃することができないことが分かります。