読者です 読者をやめる 読者になる 読者になる

にしのくえすと

情報処理技術者試験のお勉強ブログ


「にしのくえすと」とは?
・「情報処理技術者試験大好き」「ICT資格取りたい」な人のためのブログです。
・あいぱす、セキュマネ、基本、応用、セキュスペ(安全確保支援士)、ネスペ、デスペあたりの話題が中心です。
・申し述べる見解はあくまで私人としてのもので、勤務先とは一切関係ございません。
・資格試験に関する記事は、自己責任でご利用ください。


新刊のお知らせです!
20170310230011
・電子書籍第2弾!「セスペちゃん29」発売中!(Kindle版)
 午前対策+27春秋・28春秋午後解答ライブ収録!
 情報処理安全確保支援士対応!練習問題付き約150Pの攻略同人誌!

 
電子書籍発売中です!
20161022221039
・初の電子書籍!「ネスペちゃん28」発売中!(Kindle版)ver1.1

作者の日記系ブログ
みがまえるよりはやく  「にしの」私的なブログ不定期です。こちらもよろしくです。

今後のスケジュール
・ITパスポート本を製作中(6月予定)です。
・ネスペちゃんの改訂を行う予定です。(8月予定)

広告



セキュスペ27秋解いてみた 第12回午後2問2読む

広告

ひたすら長く、つらい・・・

「データの取扱い」

プロローグ
 データを委託先と共有化
 DPCとNPC Dサーバで認証管理

第1話「オンラインストレージサービスの導入決定」
 サイズが大きいデータを共有
 委託先とV社で共有
 データを取引先に送信
 プレゼンの配布

Qサービスを採用


第2話「Qサービスの概要」
 表1 Qサービスの概要
  管理者以外もゲスト可能
  ルートフォルダにデータ
  ファイルの更新削除でバックアップされる
  バックアップからは復元可能
  アカウントを持たないものにURLを教えると共有リンクできる、認証いらない
  ブラウザとインターフェイス間は暗号化
  登録されたファイルは暗号化

 表2 同期アプリの概要
  同期フォルダ 自動的に同期
  同期アプリは誰でもダウンロードできる

第3話「サービスの試験導入」
 試験導入の開始

第4話「Qサービスの試験導入において表出した問題」
 同期アプリがマルウエアを拡散させる
 マルウエア付きのファイルを登録
  同期アプリが感染ファイルを同期用フォルダにコピー

第5話「Qサービスの利用方法の見直し」
 同期用FS ディスクの新設
 新たに登録更新されたファイルが有る場合はスキャンしてディスクに保管
 同期アプリ利用禁止
 オフィスからのみアクセス可能

 図4 同期用FSの機能の説明
 マルウエア同期ディスクに反映するまえにマルウエアスキャン
 検知したら削除 利用者フォルダにあるやつも
 Qサービスに保管されたバックアップのファイルについて同期用FSは一切処理を行わない

 マルウエア対策に関して追加すべき機能がある

第6話「顧客からの要求」
 漏洩防止に関する要求
 図5 J社からの要求
 法律に関する文言・・・

第7話「顧客データの取扱王権」
 オンラインストレージに保管する暗号化について検討

第8話「NPCのディスク暗号化」
 フルディスク
 仮想ディスク
 ファイル・フォルダ暗号化

 フルディスクを採用

 ECBモードはセキュリティ上の問題あり
 ブロック暗号アルゴリズムの問題

第9話「同期用FSの拡張機能
 登録されたファイルを自動暗号化する機能
 クラッキングやある種の行為に対して効果が期待できない
  保管が必要
 同期用FSを拡張、サービス登録する一部のファイルを自動的に暗号化

 図7 同期用DSの拡張機能
 同期用FSは生成したパスワードを当該フォルダの利用者に電子メールで通知
 暗号化ソフトは暗号化と複合の機能を持つPC用ソフトウエア 利用者に配布される

 図8 同期用FSによるファイルの暗号化と複合のフロー

 図9 パスワードの検討

第10話「レビューと修正」
 顧客データの取り扱い要件と実施方法の案

 指摘 マルウエア感染ファイルの拡散防止対策が不十分
 指摘 暗号化フォルダに登録された一部分のファイルが平文のまま保管され続ける

第11話「M部長の最終確認」
 組織における内部不正防止ガイドライン
 別の対策をおこなう。

にしのくえすと Presented by にしの 2017