設問3 本文中の下線③について、K部長が指摘した理由を、35字以内で述べよ。
この問題を解くために必要な知識:リモートデスクトップ、シングルサインオン、シンクライアント、なりすましに関する簡単な知識
公式解答例:なりすましに成功すると、全ての業務システムを利用できるから(30文字)
管理人解答:シングルサインオンでV-PCを通じて全ての業務システムにアクセスできる(35文字)
解説
本文抜粋
また、K部長はN主任に、案2のリスクへの対策案は、次の点で不十分であると指摘した。
(1) リスク(イ)が顕在化した場合、③案1よりも影響範囲が大きいと考えられる。より確実な対策を検討する必要がある。
注 リスク(イ)とは「なりすましによるリモートアクセス環境への不正接続」のことです。
この問題で問われているのは、以下のポイントです。
- 「なりすましによるリモートアクセス環境への不正接続」が顕在化した場合
- 案1よりも、案2の方が
- 影響範囲が大きい
- その理由は何か?
まずは、案1と案2の「なりすましによるリモートアクセス環境への不正接続」に関係するところを見てみましょう。
図2 案1の概要
- 社外持出し用PCにVPN接続ソフトをインストールし、DCに設置したVPN装置に接続する。
- VPN装置でのIDとパスワードによる利用者認証後、社外持出し用PCから直接業務システムにアクセスする。
- 社外持出し用PCからVPNを利用して、営業支援システムのほか、業務管理システムとメールサーバにアクセスできる。
- VPN接続後、業務システムごとの利用者認証に成功すると、業務システムを利用できる。
- 社外持出し用PCでは、修正パッチの自動適用と、ウイルス対策ソフトのウイルス定義ファイルの自動更新を有効にする。
図2 案1の概要(ここまで
図3 案2の概要
- 社外持出し用PCの代わりに、ノート型のシンクライアント端末(以下、NTという)を使用し、DCに設置したゲートウェイサーバ(以下、GWサーバという)に接続する。
- GWサーバでのIDとパスワードによる利用者認証後、シングルサインオンによってVDI接続サーバの利用者認証が自動的に行われ、NTからV-PCに接続する。
- NTから、V-PCを使って間接的に業務システムを利用する。
- NTとGWサーバの間の通信は暗号化する。
図3 案2の概要(ここまで
この時点で案1は「VPN装置での認証」と「業務システムごとの認証」があるのに対し、
案2は「GWサーバでの認証」のみで、GWサーバでの認証後は「シングルサインオンでVDI接続サーバに接続しV-PCを利用できる」とかなり危険な状態です。
更に、「図1 VDIの概要」には以下の記述もあります。
(g) VDI接続サーバでの利用者認証後、シングルサインオンによって、利用者は自動的にV-PCにログオンするとともに、追加の利用者認証なしで全ての業務システムを利用できる。
まとめると案1の場合
- VPN装置でのなりすましに成功しても
- 業務システムごとの利用者認証で守られる可能性がある。
案2の場合
- GWサーバでのなりすましに成功すると
- シングルサインオンでVDI接続サーバの認証をクリアしV-PCにログオン
- 更にシングルサインオンにてV-PCを通じすべての業務システムを利用可能になる。
そして、これを管理人が解答に起こしたのがこちら。
管理人解答:GWサーバでの認証をクリアすると、シングルサインオンによりV-PCを通じて全ての業務システムにアクセスできてしまう(57文字)
↓
管理人解答:シングルサインオンでV-PCを通じて全ての業務システムにアクセスできる(35文字)
公式の解答はこちら。
公式解答例:なりすましに成功すると、全ての業務システムを利用できるから(30文字)
管理人の解答は、なりすましに成功した前提で「シングルサインオン」を残そうと必死になって35文字。
対する公式解答は「なりすましに成功すると」から始まるとてもシンプルな解答でした。
恐らく、管理人の解答でも満点貰えると思うのですが…
最終更新:2013年08月11日 17:25
