令和2年秋午後II問2(設問1、4、6)

質問者さん  
(No.1)
【1点目】
設問1(2)
E社ネットワークからのアクセスだけに制限しなかった場合OTPについてどのような問題が起きるか?

IPA解答:第三者のOTPアプリで不正にOTPを生成される

例えば「社員の私物PC等にOTPを初期設定できる」だと題意に沿わないでしょうか?

【2点目】
設問4
CSPの脆弱性検査の代替手段は何か?

IPA解答例:セキュリティ対策についての第三者による監査報告書で確認する方法

「ISMS認証取得状況の確認」だと外してそうでしょうか?

【3点目】
設問6(3)
Daas-Vのアクセスと同等のセキュリティの実現のためにFWに必要な仕組みは?

IPA解答:クライアント証明書によるデバイス認証を行う

解答例ではOTPには触れられてませんが、デバイス認証をすれば要件2の2要素認証も満たしており、OTPは重複するからでしょうか?

【4点目】
3点目に連動しますが、そもそも要件2の2要素認証と、要件3の特定デバイスからのログイン制限については、デバイス認証があれば両方とも満たせるのでは?、と思ったのですが、要件2は個別にOTP等の対策が必要でしょうか?
デバイス認証は2要素認証に含めないのが一般的なのでしょうか?

よろしくお願い致します。
2021.10.03 17:49
わいわいさん 
(No.2)
量が多いのと、解釈の幅が多いので概要を回答致します
参考にしていただければ幸いです

【1点目】
>例えば「社員の私物PC等にOTPを初期設定できる」だと題意に沿わないでしょうか?
セキュリティ事象となるのは「第三者によるQRコードの不正生成・窃取」と
考えられます
社員が私物PCでQRコードを生成し、OTPアプリで読み込んでもセキュリティ的
には問題ないでしょう

E社のネットワークに限定していない場合以下の2点が考えられます
・QRコードの不正生成
  第三者がIDaaS-YのIDを入手した場合、社外からQRコードを不正生成される
・QRコードの窃取
  E社社員が社外でQRコードを生成しようとした場合、QRコードをのぞき見
  (ショルダーハッキング)される可能性がある
このような可能性を排除するためにE社のネットワークに限定したと考えられます

【2点目】
>「ISMS認証取得状況の確認」だと外してそうでしょうか?
ISMS認証制度は企業・団体が適切に情報セキュリティを扱っているかの制度です
本問のようにTシステム個別に対してではなく、またTシステム個別の
脆弱性検査の結果を保証するものでもありません

【3点目】
本問は「申請が許可された利用者のノートPC」を認証するのが意図です
OTPよる2要素認証の認証対象は「利用者」です
クライアント証明書のデバイス認証の認証対象は「ノートPC」です


【4点目】
ここはいろいろ考えられますので、ざっくりと書きます

>デバイス認証は2要素認証に含めないのが一般的でしょうか
上にも書きましたが別と考えるのがよいでしょう

2要素認証情報はIDaaS-Yで管理されており、ログイン後T環境内で
・クラウドサービスとの認証情報連携(SSO,認可など)
に使われると思われます
デバイス認証だけではこのを要件を満たせません

別の懸念事項としてデバイス認証を行っていない場合
・第三者がVPN経由で侵入する危険性がある
・E社社員がE社が管理していないPCをT環境に接続し、情報を抜き取る危険性がある
・E社社員がE社が管理していないPCからマルウェアがT環境に感染・攻撃をする
  危険性がある
などが考えられます
2021.10.03 19:24
質問者さん  
(No.3)
わいわいさん

全てご回答頂きありがとうございました!
2021.10.05 21:05

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。

その他のスレッド


Pagetop