問題
問6
A社は従業員450名の商社であり、昨年から働き方改革の一環として、在宅でのテレワークを推進している。A社のシステム環境を図1に示す。
テレワークの定着が進むにつれて、社内PCからインターネットへの接続が極端に遅くなり、業務に支障をきたしているので改善できないかと、従業員から問合せがあった。A社の社内ネットワークとインターネットとの間の通信量を調査したところ、テレワーク導入前に比べ、業務時間帯で顕著に増加していることが判明した。そのため、情報システム部では、テレワークでA社利用クラウドサービスに接続する場合には、A社の社内ネットワークを社内PCを介さずに直接接続することを可能にするネットワークの設定変更を実施することにした。
設定変更に当たり、情報セキュリティ上の問題がないかをA社の情報セキュリティリーダーであるBさんが検討したところ、幾つか問題があることが分かった。その一つは、A社利用クラウドサービスへの不正アクセスのリスクが増加することである。
そこでBさんは、リスクを低減するために、情報システム部に対策を依頼することにした。
設問
次の対策のうち、情報システム部に依頼することにしたものはどれか。解答群のうち、最も適切なものを選べ。
- ア:A社の社内ネットワークからA社利用クラウドサービスへの通信を監視する。
- イ:A社の社内ネットワークとA社利用クラウドサービスとの間の通信速度を制限する。
- ウ:A社利用クラウドサービスにA社外から接続する際の認証に2要素認証を導入する。
- エ:A社利用クラウドサービスのうち、A社利用グループウェアだけを直接接続の対象とする。
- オ:専用アプリの保存禁止機能を無効にする。
[出典:基本情報技術者試験 令和6年度(科目B) 問6]
正解
正解は「ウ」です。
解説
この問題は、テレワークにおいてクラウドサービスへの直接接続を許可した際に発生するセキュリティ上のリスクに対して、どのような対策が最も適切かを問うものです。
A社では、これまで社内PCを中継することでクラウドサービスへの接続を制限していましたが、トラフィックの増加により業務に支障が出たため、クラウドへ直接接続できるようネットワーク設定を変更することになりました。この変更によって、従来よりもクラウドサービスが外部から直接アクセス可能になるため、セキュリティ上のリスク、特に「不正アクセス」が高まることになります。
そのリスクに対する有効な対策は、「本人以外のアクセスを防ぐ仕組みを導入すること」です。ここで挙げられているのが「2要素認証」であり、これはIDとパスワードに加え、別の手段(例:スマートフォンアプリでの認証やワンタイムパスワードなど)を使って認証を行う方法です。これにより、パスワードが漏えいした場合でも不正アクセスを防ぐことができ、セキュリティを大幅に向上させることができます。
他の選択肢(ア・イ・エ・オ)は、セキュリティの強化にはつながらない、もしくは的外れな対応であるため、不正アクセスリスクへの対策とはなりません。したがって、正解は「ウ」の『A社利用クラウドサービスにA社外から接続する際の認証に2要素認証を導入する』です。
難易度
この問題は、セキュリティの基本的な考え方、特にクラウドサービスの認証とアクセス制御について理解していれば解けるため、IT初心者でも適切な対策を考える練習になります。とはいえ、実務的なネットワーク構成変更に関連する背景知識が必要な点では中程度の難易度です。
用語補足
2要素認証:
IDとパスワードに加えて、スマホアプリ・メール・物理トークンなど、別の認証手段を組み合わせて本人確認を行う仕組みです。不正アクセス防止に有効です。
テレワーク:
オフィス以外の場所で業務を行う働き方のことです。自宅や外出先からクラウドサービスにアクセスするため、セキュリティ対策が重要になります。
クラウドサービス:
インターネットを通じて提供されるソフトウェアやストレージ、業務システムなどを指します。社外から利用できる反面、アクセス制御が不十分だと情報漏えいのリスクがあります。
対策
クラウドサービスの活用が進む今、アクセス経路や認証方法の見直しは重要です。特にテレワーク導入後は、ネットワーク負荷とセキュリティリスクが変化するため、それに応じた適切なアクセス制御(例:2要素認証の導入)を学習し、実務でどう対応すべきかを把握しておくことが大切です。
