読者です 読者をやめる 読者になる 読者になる

にしのくえすと

情報処理技術者試験のお勉強ブログ


「にしのくえすと」とは?
・「情報処理技術者試験大好き」「ICT資格取りたい」な人のためのブログです。
・あいぱす、セキュマネ、基本、応用、セキュスペ(安全確保支援士)、ネスペ、デスペあたりの話題が中心です。
・申し述べる見解はあくまで私人としてのもので、勤務先とは一切関係ございません。
・資格試験に関する記事は、自己責任でご利用ください。


新刊のお知らせです!
20170310230011
・電子書籍第2弾!「セスペちゃん29」発売中!(Kindle版)
 午前対策+27春秋・28春秋午後解答ライブ収録!
 情報処理安全確保支援士対応!練習問題付き約150Pの攻略同人誌!

 
電子書籍発売中です!
20161022221039
・初の電子書籍!「ネスペちゃん28」発売中!(Kindle版)ver1.1

作者の日記系ブログ
みがまえるよりはやく  「にしの」私的なブログ不定期です。こちらもよろしくです。

今後のスケジュール
・ITパスポート本を製作中(6月予定)です。
・ネスペちゃんの改訂を行う予定です。(8月予定)

広告



セキュスペ27秋解いてみた 第5回午前1-2読む

広告

注意事項をお読みください:こちら
解答方針は:こちら


はいっ、それでは今日も読んできますよー。

プロローグ
「扱うのは顧客情報の管理システム」

委託用特権IDは
 システムID DBMS管理ID DBMS操作ID


図1
 システムの構成


保守作業の依頼
 YDC作業員がFW3にFW1の線を結線
 保守作業時以外は結線していない


FW3の設定
 保守作業に必要なプロトコルだけに限定している
 送信元IPアドレスは限定していない


第1話前半 「調査の実施と対策方針の策定」
 同業他社で持ち出しの特権IDの不正使用 検知できず
 Yシステムにおいても問題がある


表1
 調査結果
  1 IDの共用で使用したものを特定できない
    作業者以外も特権IDを使用する恐れ
  2 サーバ毎のアクセス制御をしておらず、必
    要のないサーバまでアクセス可能
  3 アクセスログを突き合わせる手順なし。作
    業計画書通りに特権IDは使われたかチェ
    ックできていない。

個人IDを付与し、特権IDの管理ソフトを導入
(2案)
製品P
 管理サーバとPCにインストールするタイプ
製品Q
 管理サーバのみにインストールするタイプ

製品Qが容易であるからそっちに決定!


表2
 実現方式の概要
  操作履歴を記録するシステムなんだなあ。後で読もう


第1話後半 「実現方式案の要件の確認」
 指摘1 製品Qでは厳しい(作業者以外の特権IDの利用を制限することについて)
 指摘2 委託用特権IDによってはDBサーバにアクセスしたものを特定できない

 1は追加対策 2は十分対応できる 3解決案 4大丈夫


第2話 「追加対策の検討」
 S社での個人IDの状況を確認する。特定されることを周知
 PよりQがいいっすよ。うちの会社では。それでいきましょう。


エピローグ 「対策の実施」
 ケーブルによる作業はいらなくなったよ。


プロローグの長い問題ですね。

にしのくえすと Presented by にしの 2017