HOME»情報処理安全確保支援士掲示板»平成29年秋午後2問1 設問3(1)と(7)
投稿する

平成29年秋午後2問1 設問3(1)と(7) [1101]

 アップルるさん(No.1) 
いつもお世話になっております。
(1)について
答えが『クライアント証明書を用いた端末認証を行う』ですが、私の回答は『Zカメラのシリアル番号による端末制限』としました。

間違いだとは思うのですが、Zシステムに適したという言葉で本文中から抜き出すものと考えたのですが、クライアント証明書という言葉を導き出す方法ってあるのですか?

(7)
こちらも『Zアプリ内にUUIDがZクラウド上に登録されていない場合』と回答しましたが、答えは『全利用者の単位時間あたりの認証失敗数がしきい値を超えた場合』となってます。

一般的な知識で回答する問題と最初からわかる設問の出し方なら納得するのですが、シリアル番号とUUIDのくだりのお話はなんだったのとなるのですが、どなたか納得できる解説はないでしょうか。
2023.04.11 00:42
pixさん(No.2) 
SC ダイヤモンドマイスター
本問は細かい情報が多く、状況を理解するのがかなり厄介です。

(1)
本設問はP2 注記2から現状を想定します。
・Zクラウドの管理には管理用端末を利用している
・管理用モバイル端末(ノートPC)も利用している
管理端末は特定されている、かつZクラウドはHTTPS通信を行うから
「クライアント証明書を用いた端末認証を行う」が導き出されると考えられます。

(7)
UUIDとシリアル番号は以下の用途で利用されます。
・UUID:ZアプリのID。複数台端末(スマホ)と利用者IDを紐づけるために利用される
・シリアル番号:ZカメラのID。Zカメラと利用者IDを紐づけるために利用される

WebIFとアプリIFにログインする時に用いられるのは
「利用者ID」と「パスワード」で追加認証時に「利用者番号」が必要になります。

追加認証が実施されるのは平常時ではなく、異常事態が発生しているときです。
異常事態が発生しているとみなす状態が「全利用者の単位時間あたりの認証失敗数が
しきい値を超えた場合」であり、この時はなんらかのパスワード攻撃が行われて
いると判断されます。


本問を把握するためには以下の4つの情報を区別する必要があります。
利用者ID:利用者情報登録時に利用者が好きなものを設定できる
利用者番号:Zシステムでの利用者を識別するための管理番号、自動で生成される
UUID:Zアプリ(とZアプリをインストールした端末)を識別する情報
シリアル番号:Zカメラを識別する情報
2023.04.11 07:13
 アップルるさん(No.3) 
>HTTPS通信を行うから
HTTPS通信だからクライアント証明書が適切と考えるということですね。

7についても読解力が必要だとわかりました。
ありがとうございます!
2023.04.11 08:41
 アップルるさん(No.4) 
>異常事態が発生しているとみなす状態が「全利用>
>者の単位時間あたりの認証失敗数が
>しきい値を超えた場合」であり、この時はなんら>>かのパスワード攻撃が行われて
>いると判断されます。

すみません。納得できたつもりでしたが、この答えだと、悪意ある人がパスワード攻撃を仕掛けました。例えば攻撃者が1人の場合、1時間当たり3600回のログイン失敗があったら、全利用者に対して追加認証を設けるということになりますか?

そうなると、利用者は不便になるのでは無いでしょうか?リバートブルートフォースアタックの適切な対応なのでしょうか?
2023.04.11 09:44
pixさん(No.5) 
SC ダイヤモンドマイスター
>すみません。納得できたつもりでしたが、この答えだと、悪意ある人がパスワード攻撃を
>仕掛けました。例えば攻撃者が1人の場合、1時間当たり3600回のログイン失敗があったら、
>全利用者に対して追加認証を設けるということになりますか?
>そうなると、利用者は不便になるのでは無いでしょうか?リバートブルートフォース
>アタックの適切な対応なのでしょうか?
はい、悪意ある人物1人のせいで全員が追加認証を受けると想定できます。

企業としては
・利用者の不便性よりも、利用者のデータの保護が最優先
・特に動画データなので利用者のプライベートな情報が映っている可能性が大なので
  不正アクセスは絶対に防ぐ必要がある
・不正アクセスによって情報流出が発生した場合は、億円単位の賠償金を払う必要があり、
  最悪の場合、事業停止、倒産の可能性もある
・不正アクセスに対して厳密に対応していることを利用者に認知してもらうことにより、
  しっかりとデータ保護に対して取り組んでいるということを伝える機会にもなる
などが考えられます。

SCの問題なので技術的な背景も重要ですが、攻撃者・利用者・企業の利害関係も念頭に
いれ、いろいろな側面、立場から状況を想定する必要があります。
2023.04.11 10:00
 アップルるさん(No.6) 
>・不正アクセスによって情報流出が発生した場合>>は、億円単位の賠償金を払う必要があり、
>  最悪の場合、事業停止、倒産の可能性もある

なるほど。このようなリスクを低減させる方法なのですね。理解しました。ありがとうございます。
2023.04.11 10:12
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014- 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop