設問1
・社外持出し用PCの紛失や盗難による情報漏えいリスクを低減する効果
問題文に「他拠点への出張が多い従業員と、外出が多い営業部員には、社外持出し用PCも貸与している。」とあります。
しかし、今回リモートアクセス環境への移行により、他拠点から出張中の従業員が利用できるように共用のDTが設置されました。
このことにより出張者は社外持出し用PCの利用機会が減り、紛失や盗難のリスクが低減することが考えられます。
設問2
(1) a:業務データ
社外持出し用PCには特に制限がされているような記述がないため、業務システムから取得した業務データは保存できそうです。
しかし、今回のようなNTは基本的にローカルにデータを保存するようなことは無く、サーバ上で作業を行います。
(2) b:ハードディスク暗号化
PCの紛失・盗難が発生し、PC内に機密情報が保存されている場合、機密情報の中身を見られる可能性があります。
中身を見られないようにするには暗号化対策が有効です。
しかし、ハードディスクの暗号化という文字は問題文中に出ていなかったため、中々かけないと思いました。
この設問は覚えておいてもいいかもしれません。
(3) ①:マスタイメージを再作成する。
管理者はV-PCを複製するために新しいマスタイメージを作成する必要があります。
②:V-PCの複製を行う。
作成したマスタイメージからV-PCを複製します。
③:利用者にログオンし直すように周知する。
図1(h),(i)にV-PCをログオフしたか、しなかったかでの状態について説明があります。
ここを確認すると、「ログオフせずに、V-PC接続ソフトを終了するか、またはDTの電源を切ると、V-PCの状態は維持され、次回の接続時にはそのV-PCに接続される。」とあるため、利用者に再接続を周知しないと脆弱性の残ったV-PC又はDTを利用し続けてしまうことになります。
設問3
・なりすましに成功すると、全ての業務システムを利用できるから
案1はVPN装置で1度認証を行った後、業務システムごとに利用者認証を行っているため、セキュリティレベルは高いと思われますが、案2はGWサーバで1度認証してしまえばシングルサインオンの機能によって全てのシステムが利用可能になり、案1に比べるとGWサーバ利用は影響範囲が大きいです。
設問4
(1) 管理者:ウイルス定義ファイルの自動配信を設定する。
作業者:NTをオフィスLANに接続する。
図5(iii)を見ると、「管理者が設定することによって」とあり、修正パッチの適用とファイルの自動配信を設定する必要があることがわかります。
また、その後の文章に「利用者がNTをオフィスLANに接続する」とあり、ウィルス定義ファイルの自動配信が管理者によって配信される都度、利用者はオフィスLANに接続する必要があります。
(2) 効果:業務データを端末に保存して社外へ持ち出すことを防ぐため
理由:V-PCを経由しないと業務システムに接続できないから
「オフィスLANからの接続はVDI-LANに限定することにした」と下線④にあります。
逆に考えるとオフィスLANから業務システムLANに接続できる環境だった場合、業務データを保存される可能性があります。
なぜならV-PC以外の端末では業務データを保存される可能性があるからです。(問題文中に記載あり)
そのため、オフィスLANのDT→V-PC→業務システムの順番でしか接続できないようにFWで制御しておけば業務データが保存される可能性はなくなります。
(カメラとかで写真、動画を撮るという物理的な話は除きますが・・・)