クラウドサービス とは
基本情報技術者 過去問 2019年 春期 午後 問1 を参考に考えてみます。
※以下、実際の問題とは 一部表現が違う部分があります。 内容的には原文と同じです。
〈問題〉
クラウドサービスの利用者認証に関する次の記述を読んで,設問1,2に答えよ。
A社では現在,Webベースの業務システムが複数稼働しており,それぞれが稼働するサーバ(以下,業務システムサーバという)を社内LANに設置している。A社のネットワーク構成を,図1に示す。
利用者は,業務システムを,社内LANに設置されたクライアントPCのWebブラウザから利用する。社外から社内LANへのリモートアクセスは禁止されている。業務システムの利用者認証は,A社認証サーバでの利用者IDとパスワード(以下,この二つを併せて利用者認証情報という)の検証によって行っており,シングルサインオンを実現している。
社内LANからインターネットを介した社外への通信は,クライアントPCからプロキシサーバを経由した,HTTP over TLS(以下,HTTPSという)による通信だけが,ファイアウォールによって許可されている。社外からインターネットを介した社内LANへの通信は,全てファイアウォールによって禁止されている。ファイアウォールの設定は,A社のセキュリティポリシに基づき変更しないものとする。
〔クラウドサービスの利用者認証〕
このたびA社は,業務システムの一つである販売管理システムを,B社がインターネットを介して提供する販売管理サービス(以下,B社クラウドサービスという)に移行することにした。利用者認証に関しては,A社認証サーバとB社クラウドサービスを連携し,次の(1)~(3)を実現することにした。()B社クラウドサービスをシングルサインオンの対象とする。
(1) : B社クラウドサービスをシングルサインオンの対象とする。
(2) : A社の利用者認証は,B社クラウドサービスについても,A社認証サーバで行う。
(3) : 利用者が本人であることを確認するためにA社認証サーバで用いる ■ ■ ■ は,B社クラウドサービスには送信しない。
(1)~(3)を実現するために,A社は,利用者認証を仲介するIDプロバイダ(以下,IdPという)を社内LANに設置することにした。IdPは,認証結果,認証有効期限及び利用者ID(以下,これら三つを併せて認証済情報という)にディジタル署名を付加してから,Webブラウザを介して,B社クラウドサービスに送信する。B社クラウドサービスは,付加されているディジタル署名を使って,受信した認証済情報に ▲ ▲ ▲ がないことを検証する。このために,IdPの ● ● ● をB社クラウドサービスに登録しておく。
WebブラウザとB社クラウドサービスとの間,及びWebブラウザとIdPとの間の通信には,HTTPSを用いる。IdPとA社認証サーバとの間の通信にはLDAPを用いる。
〔B社クラウドサービスが利用可能になるまでの処理の手順〕
A社の利用者が,利用者認証されていない状態で,B社クラウドサービスを利用しようとした場合に,利用可能になるまでの処理の手順を次の①~⑩に示す。
- 利用者は,WebブラウザからB社クラウドサービスにアクセスの要求を送信する。
- B社クラウドサービスは,アクセスの要求をIdPに転送する指示(以下,転送指示という)を,Webブラウザに返信する。
- Webブラウザは,②の転送指示に従い,IdPにアクセスの要求を送信する。
- IdPは,利用者認証情報の入力画面をWebブラウザに返信する。
- 利用者は,Webブラウザで利用者認証情報を入力する。Webブラウザは,入力された利用者認証情報をIdPに送信する。
- IdPは,利用者認証情報をA社認証サーバに送信する。
- A社認証サーバは,利用者認証情報を検証し,認証結果をIdPに返信する。
- IdPは,認証結果が成功の場合に,認証済情報を発行し,当該情報のB社クラウドサービスへの転送指示とともに,Webブラウザに返信する。
- Webブラウザは,⑧の転送指示に従い,認証済情報をB社クラウドサービスに送信する。
- B社クラウドサービスは,認証済情報に基づいて,B社クラウドサービスの利用を許可し,操作画面をWebブラウザに返信する。
B社クラウドサービスが利用可能になるまでの処理の流れを,図2に示す。図2中の①~⑩は,処理の手順の①~⑩と対応している。
〈設問1〉
本文中の ■ ■ ■ 、 ▲ ▲ ▲ 、 ● ● ● に入れる適切な答えを、解答群の中から選べ。
〈 ■ ■ ■ 、 ▲ ▲ ▲ 、 ● ● ● に関する解答群〉
(ア) PKI
(イ) 改ざん
(ウ) 公開鍵
(エ) サービス妨害
(オ) 生体認証
(カ) パスワード
(キ) 秘密鍵
(ク) 利用者ID
(ケ) 漏えい
〈設問2〉
次の記述中の ☆ ☆ ☆ 、 ▽ ▽ ▽ に入れる適切な答えを,解答群の中から選べ。
B社クラウドサービスでは,接続元のIPアドレスをA社のものに限定する機能は提供されていない。しかし,他の業務システムと同様に,B社クラウドサービスを,社内LANからの利用に限定できる。
この理由は, ☆ ☆ ☆ ことが必要であるが,IdPを社内LANに設置するので,社外からB社クラウドサービスを利用しようとしても,図2中の ▽ ▽ ▽ の送信で失敗し,利用者認証されないからである。
〈 ☆ ☆ ☆ に関する解答群〉
(ア) B社クラウドサービスが,IdPと直接通信する
(イ) B社クラウドサービスが,利用者認証情報を検証し,Webブラウザに返信する
(ウ) IdPが,利用者に代わって,利用者認証情報をB社クラウドサービスに送信する
(エ) Webブラウザが,IdPと通信する
〈 ▽ ▽ ▽ に関する解答群〉
(ア) ①
(イ) ③
(ウ) ⑤
(エ) ⑥
(オ) ⑩
クラウドサービスの利用者認証に関する次の記述を読んで,設問1,2に答えよ。
ここから私の思考です。
ちなみに青字は文章を読んだ際の私の頭の中です。
〈問題〉
クラウドサービスの利用者認証に関する次の記述を読んで,設問1,2に答えよ。
クラウドサービスなら常日頃から利用しています。グーグルドライブは何年も前からお世話になっております。グーグルさまさまです。
A社では現在,Webベースの業務システムが複数稼働しており,それぞれが稼働するサーバ(以下,業務システムサーバという)を社内LANに設置している。A社のネットワーク構成を,図1に示す。
はぁ。サーバーやらPCやらいろいろあるわけね。はい。
利用者は,業務システムを,社内LANに設置されたクライアントPCのWebブラウザから利用する。
はいはい。私の会社でもそんなシステムは利用してます。
社外から社内LANへのリモートアクセスは禁止されている。
社内からじゃないと社内LANには入れないと。
業務システムの利用者認証は,A社認証サーバでの利用者IDとパスワード(以下,この二つを併せて利用者認証情報という)の検証によって行っており,シングルサインオンを実現している。
シングルサインオン?なんとなくやけど、
グーグルのサービスの何か1つにログインすると、グーグルの他のサービスもログインした状態で使用できるってやつかな?
社内LANからインターネットを介した社外への通信は,クライアントPCからプロキシサーバを経由した,HTTP over TLS(以下,HTTPSという)による通信だけが,ファイアウォールによって許可されている。
クライアントPCは個人が使用するPCでしょ。
プロキシサーバーってのは、インターネットに接続する際の中継役みたいなもんやったはず。
HTTPSはこのサイトも使用しています。URLの
https://kihonjouhou-aho.com/ httpsの部分ね。
詳しくまでは理解してないけど、ちゃんと安心して接続できるサイトですよって証みたいなものだと解釈しています。
社外からインターネットを介した社内LANへの通信は,全てファイアウォールによって禁止されている。
社外からは入れないと。 ファイアウォールは門番。
ファイアウォールの設定は,A社のセキュリティポリシに基づき変更しないものとする。
よくわからんけど変更しないと。
〔クラウドサービスの利用者認証〕
このたびA社は,業務システムの一つである販売管理システムを,B社がインターネットを介して提供する販売管理サービス(以下,B社クラウドサービスという)に移行することにした。
ほほう。B社のサービスを利用するみたいですね。
利用者認証に関しては,A社認証サーバとB社クラウドサービスを連携し,次の(1)~(3)を実現することにした。
ほう。ややこしくなりそうですな。
(1) : B社クラウドサービスをシングルサインオンの対象とする。
A社のサービスにログインしたら、B社のクラウドサービスもログインした状態で使用できると。
(2) : A社の利用者認証は,B社クラウドサービスについても,A社認証サーバで行う。
まぁこの問題内に関してはA社の認証サーバしかないと考えといたらいいか。
(3) : 利用者が本人であることを確認するためにA社認証サーバで用いる ■ ■ ■ は,B社クラウドサービスには送信しない。
出た。穴埋め問題部分。パスワードかな?たぶん。
本人認証っていえばパスワードがベターじゃない?
(1)~(3)を実現するために,A社は,利用者認証を仲介するIDプロバイダ(以下,IdPという)を社内LANに設置することにした。
プロバイダ、プロバイダ、通信会社やっけ?
IdPは,認証結果,認証有効期限及び利用者ID(以下,これら三つを併せて認証済情報という)にディジタル署名を付加してから,Webブラウザを介して,B社クラウドサービスに送信する。
ディジタル署名ってのがあると間違いなく本物ですよって証明になる。
B社クラウドサービスは,付加されているディジタル署名を使って,受信した認証済情報に ▲ ▲ ▲ がないことを検証する。
また来た穴埋め部分。ディジタル署名があると改ざんがないことの証明ができる。で合ってるかな?
このために,IdPの ● ● ● をB社クラウドサービスに登録しておく。
認証済情報?かな?
WebブラウザとB社クラウドサービスとの間,及びWebブラウザとIdPとの間の通信には,HTTPSを用いる。IdPとA社認証サーバとの間の通信にはLDAPを用いる。
LDAP??なんちゃらなんちゃらプロトコルとかなんやろかな?
わかりまてん。まぁHTTPSみたいなもんでしょ。
〔B社クラウドサービスが利用可能になるまでの処理の手順〕
A社の利用者が,利用者認証されていない状態で,B社クラウドサービスを利用しようとした場合に,利用可能になるまでの処理の手順を次の①~⑩に示す。
手順10個もあんの?ぼちぼち読むのだけでも疲れてきたんやけど。
1.利用者は,WebブラウザからB社クラウドサービスにアクセスの要求を送信する。
接続できないと元も子もないからね。
2.B社クラウドサービスは,アクセスの要求をIdPに転送する指示(以下,転送指示という)を,Webブラウザに返信する。
A社の認証サーバを通さないとB社は使えないもんね。A社の認証サーバに行くためにはIdPを通らないとだめなんだね。
3.Webブラウザは,②の転送指示に従い,IdPにアクセスの要求を送信する。
IdPさんこんにちは。
4.IdPは,利用者認証情報の入力画面をWebブラウザに返信する。
ここを通りたければ、お前が本人であるということを証明してみせよ。
5.利用者は,Webブラウザで利用者認証情報を入力する。Webブラウザは,入力された利用者認証情報をIdPに送信する。
IdPさん、おれっち本物っす!ほんとっす!信じてください。
6.IdPは,利用者認証情報をA社認証サーバに送信する。
A社認証サーバ先輩に認めてもらわないことにはどうしようもない。
7.A社認証サーバは,利用者認証情報を検証し,認証結果をIdPに返信する。
A社認証サーバ先輩が認めてくれたぜ!いやっふぅ!
8.IdPは,認証結果が成功の場合に,認証済情報を発行し,当該情報のB社クラウドサービスへの転送指示とともに,Webブラウザに返信する。
認証済情報をもってB社クラウドサービスへ行け!と言われる。
9.Webブラウザは,⑧の転送指示に従い,認証済情報をB社クラウドサービスに送信する。
B社クラウドサービスさん!これでいかがでしょうか!
10.B社クラウドサービスは,認証済情報に基づいて,B社クラウドサービスの利用を許可し,操作画面をWebブラウザに返信する。
やっと使えるのか!実際は数秒間の話なんやろけどね。
B社クラウドサービスが利用可能になるまでの処理の流れを,図2に示す。図2中の①~⑩は,処理の手順の①~⑩と対応している。
順番ですね。
〈設問1〉
本文中の ■ ■ ■ 、 ▲ ▲ ▲ 、 ● ● ● に入れる適切な答えを、解答群の中から選べ。
〈 ■ ■ ■ 、 ▲ ▲ ▲ 、 ● ● ● に関する解答群〉
(ア) PKI
(イ) 改ざん
(ウ) 公開鍵
(エ) サービス妨害
(オ) 生体認証
(カ) パスワード
(キ) 秘密鍵
(ク) 利用者ID
(ケ) 漏えい
(3) : 利用者が本人であることを確認するためにA社認証サーバで用いる ■ ■ ■ は,B社クラウドサービスには送信しない。
正解は(カ)パスワード!!
正解は(カ)です。
オッケーオッケー!!
B社クラウドサービスは,付加されているディジタル署名を使って,受信した認証済情報に ▲ ▲ ▲ がないことを検証する。
(イ)の改ざん!
正解は(イ)です。
よっしゃよっしゃ!
このために,IdPの ● ● ● をB社クラウドサービスに登録しておく。
選択肢に (ウ) 公開鍵 と (キ) 秘密鍵 があるな。
あきらかに怪しい。どっちかが入るはず。
公開鍵はばらまくやつやから秘密鍵を登録しとくんじゃない?
正解は (キ) 秘密鍵 !!
正解は(ウ)です。
無念。
〈設問2〉
次の記述中の ☆ ☆ ☆ 、 ▽ ▽ ▽ に入れる適切な答えを,解答群の中から選べ。
B社クラウドサービスでは,接続元のIPアドレスをA社のものに限定する機能は提供されていない。
どこからでもつながりますと。
しかし,他の業務システムと同様に,B社クラウドサービスを,社内LANからの利用に限定できる。
ん?ほう。読み進めよう。
この理由は, ☆ ☆ ☆ ことが必要であるが,IdPを社内LANに設置するので,社外からB社クラウドサービスを利用しようとしても,図2中の ▽ ▽ ▽ の送信で失敗し,利用者認証されないからである。
そこを教えてほしかった。そこを考えろってか。はぁ。
しかも1文の中に問題の対象が2つも。。。
〈 ☆ ☆ ☆ に関する解答群〉
(ア) B社クラウドサービスが,IdPと直接通信する
B社クラウドサービスとIdPが直接やりとりしなくてもよいでしょ。
今回もwebブラウザ挟んでるし。違う。
(イ) B社クラウドサービスが,利用者認証情報を検証し,Webブラウザに返信する
これはIdPが社内LAN内にあるとかは関係ないでしょう。違う。
(ウ) IdPが,利用者に代わって,利用者認証情報をB社クラウドサービスに送信する
これでしょ。社内LANに入らないと、IdPを通らないから。
(エ) Webブラウザが,IdPと通信する
関係ないんじゃないかな。違う。
正解は(ウ)!!
正解は(エ)です。
そうか。違うか。
〈 ▽ ▽ ▽ に関する解答群〉
(ア) ①
(イ) ③
(ウ) ⑤
(エ) ⑥
(オ) ⑩
これでしょ?正解は(ウ)!
正解は(イ)です。
はい、設問2は全滅です。
クラウドサービスとはネットで利用できるサービスのことだよ。データやソフトウェアとかね。Gmailとか。
ここからは私の思考のおかしかった部分です↓
B社クラウドサービスは,付加されているディジタル署名を使って,受信した認証済情報に改ざんがないことを検証する。このために,IdPの ● ● ● をB社クラウドサービスに登録しておく。
A社IdPはIdPの秘密鍵で暗号化して送信する。B社クラウドサービスはA社IdPの公開鍵にて検証する。
なのでB社クラウドサービスには「公開鍵」を登録しておく必要があります。
↑ここんとこね。
ディジタル署名は送信元の秘密鍵にて暗号化してから、受信側の公開鍵にて複合する。とのことです皆さん。
〈設問2〉
次の記述中の ☆ ☆ ☆ 、 ▽ ▽ ▽ に入れる適切な答えを,解答群の中から選べ。
B社クラウドサービスでは,接続元のIPアドレスをA社のものに限定する機能は提供されていない。しかし,他の業務システムと同様に,B社クラウドサービスを,社内LANからの利用に限定できる。
この理由は, ☆ ☆ ☆ ことが必要であるが,IdPを社内LANに設置するので,社外からB社クラウドサービスを利用しようとしても,図2中の ▽ ▽ ▽ の送信で失敗し,利用者認証されないからである。
〈 ☆ ☆ ☆ に関する解答群〉
(ア) B社クラウドサービスが,IdPと直接通信する
直接通信は行いません。
はい、ここは私も同感です。
(イ) B社クラウドサービスが,利用者認証情報を検証し,Webブラウザに返信する
検証を行うのはA社認証サーバです。
そういえばそんなこと書いてましたね。
(ウ) IdPが,利用者に代わって,利用者認証情報をB社クラウドサービスに送信する
webブラウザを通してB社クラウドサービスに渡されます。
図の構造そのままのことなのね。いらんことを考えないほうがよいです。
(エ) Webブラウザが,IdPと通信する
webブラウザとIdPは直接通信します。これによりシングルサインオンが実現できます。
うん。正直よくわかんない。
この理由は, ☆ ☆ ☆ ことが必要であるが,IdPを社内LANに設置するので,社外からB社クラウドサービスを利用しようとしても,図2中の ▽ ▽ ▽ の送信で失敗し,利用者認証されないからである。
社外からB社クラウドサービスへアクセス→クラウドサービスからIdPへアクセス希望→ファイアウォールにて遮断という流れ。なので③です。
こういうことね。
午後の試験って1つ1つの問題の文量が多いから大変ね。
また1つ賢くなりました。よかったよかった。
コメント