TLSハンドシェイク【情報処理安全確保支援士試験 平成31年度 春期 午後2 問1 設問6】

【対策1と対策2の検討】
 P君が、対策1と対策2の検討に当たり、HTTPS復号機能の動作の詳細を確認したところ、N社のLANでは図4に示す通信の流れになることが分かった。


 また、HTTPS復号機能は、図5のとおりになることが分かった。


 P君がFW1の製造元に対策1の実施を検討している旨を伝えたところ、無料で30日間だけ同機能を利用できる評価用ライセンスの発行を提案されたので、早速、評価用ライセンスを適用し、CSIRTメンバのD-PCから発信される通信で評価してみた。その結果、HTTPS復号機能には、通信の種類によっては制約があることが分かった。通信の種類と制約を表5に示す。


 P君は、これらの制約の回避方法を運用手順に含めることにした。表5の項番1の場合は、FW1のHTTPS復号機能の例外リストに外部Webサーバを追加することにした例外リストにWebサーバを追加すると、例外的に復号機能を適用せず社内PCとWebサーバ間で直接HTTPS通信を行うことができる。例外とする場合には、業務上の必要性があること、及び正当なWebサーバであることを所定の手順で確認することにした。表5の項番2及び3の場合も、必要な内容を運用手順に含めた。
 続いて、P君は、対策2の検討を行い、具体策をまとめた。W主任は、P君の報告を受けて、対策1と対策2の実施案をまとめた。実施案は、R課長からCSIRT責任者である情シス担当取締役に報告され、承認の上で実施された。以後、N社では、マルウェアによるインシデントは発生していない。



設問6 【対策1と対策2の検討】について、(1)〜(3)に答えよ。

(1)図5中の(i)に入れる適切な字句を、20字以内で述べよ。

「自己署名証明書」って何だっけ?


自己署名証明書とは、自分の公開鍵であることを証明するために、電子署名して発行したデジタル署名です。


今回の事例では、社内PCと外部Webサーバとの間でHTTPS通信を行うため、両者間でTLSコネクションを形成する必要があります。(図4)


TLSコネクションを確立するために必要な「TLSハンドシェーク」について解説します。



TLSハンドシェークは、次の手順で進めます。(上図のTLS1.2)

  1. クライアント側(社内PC)からサーバ側に「Client Hello」を送ります。
  2. サーバ側(外部Webサーバ)からの「Server Hello」で返答します。この時、サーバが本物であることを証明する「サーバ証明書」を合わせて送ります。サーバ証明書の中には、サーバの公開鍵が入っています。
  3. クライアント側は、サーバ証明書の発行元を認証局に確認し、サーバが本物であることを確認、認証します。サーバ証明書に入っている公開鍵の情報を使って暗号化し、鍵を作るためのプリマスタシークレットを作り、サーバに送ります。
  4. プリマスタシークレットを使って、クライアント・サーバそれぞれで暗号鍵などを生成します。クライアントは生成が完了したら、完了した旨をサーバに伝えます。(change cipher spec)
  5. サーバ側も終わったらchange cipher specを伝えます。
  6. それ以降の通信は暗号化されます。



ちなみに、一般的な通信における自己署名証明書は、第三者機関である認証局に証明書の正当性を証明されていないので、認証書の正当性を証明できません。


さて、今回の問題に戻りましょう。

図4より、まずFW1と社内PCとの間でのTLSハンドシェークを行います。


FW1の自己署名証明書を信頼できるCAが発行した証明書として社内PCに登録することで、FW1から送られてくるサーバ証明書と比較することができます。

上記のフローの3で実施している「サーバ証明書の発行元を認証局に確認し、サーバが本物であることを確認、認証します。」の部分を効率化しているんだね


回答:信頼するCAのディジタル証明書




(2)図5中の(j)に入れる適切な字句を、40字以内で述べよ。

項番1の「制約の原因」として、「FW1は, 社内PCがもっているクライアント証明書に対応した秘密鍵を利用することができない」と記載されています。


また、項番1の対応としては、次の説明があります。

「表5の項番1の場合は、FW1のHTTPS復号機能の例外リストに外部Webサーバを追加することにした例外リストにWebサーバを追加すると、例外的に復号機能を適用せず社内PCとWebサーバ間で直接HTTPS通信を行うことができる。


以上の記述から、「外部サーバがクライアント証明書を使って認証をしようとしているが、現状はクライアント証明書を読み取れないという状況である」ことがわかります。

回答:クライアント証明書の提示が必要な外部Webサーバにアクセスする。




(3)図5中の(k)に入れる適切な字句を、65字以内で述べよ。

項番3の原因として、「FW1には、FW1の製造元によって安全性が確認されたCAのディジタル証明書だけが、信頼されたルートCAのディジタル証明書としてインストールされている。」と記載されています。

この記述から、「FW1の製造元によって安全性が確認されていないCAのディジタル証明書」がFW1にインストールされていないとわかります。


そのため、社内PCから「FW1の製造元によって安全性が確認されていないCAのディジタル証明書」を利用した外部Webサーバにアクセスしようとすると、FW1の認証を突破できません。

回答:FW1の製造元によって安全性が確認されていないCAが発行したサーバ証明書を使用した外部Webサーバにアクセスする