マンガでわかるセマネの午後試験

情報セキュリティマネジメント試験の午後問題を、マンガにしました。情報セキュリティマネジメント試験の午後問題は、一つの問題だけで、6ページほどに渡ります。読むだけでも疲れますし、内容も簡単ではありません。マンガを見ながら、気楽に、そして具体的なイメージをつかんでいただければと思います。

情報セキュリティマネジメント試験は、IPAの試験の中では、レベル2に位置づけられる試験です。
とはいえ、午後問題は、一つの問題で問題文が10ページほどに渡り、なおかつかなり実務的な内容です。設問にたどり着く前に、問題文を読むだけで疲れてしまいます。
そこで、この問題文の前半をマンガでわかりやすくしました。皆さんの学習のお役にたてれば幸いです。
また、情報セキュリティマネジメント試験の基礎を学ぶには、「やさしくわかるセマネの教科書」(日経BP社)をよろしくお願いします。
やさしくわかるセマネの教科書
左門 至峰
日経BP社
2016-11-30


※マンガ化する中で、シンプルにするために内容を一部簡略化しています。正確な問題文は、IPAから出されている情報セキュリティマネジメント試験の問題文を確認してください。

情報セキュリティマネジメント試験の午後の問1の前半部分をマンガにしました。実際の問題はIPAのサイトを確認ください。
マンガでわかる情報セキュリティマネジメント午後問1-1
【補足解説】
・CISO(Chief Information Security Officer)とは、最高情報セキュリティ責任者のことです。CEOやCIOとの違いも確認しておきましょう。(セマネの教科書p292参照)
最近になって、CISOという地位が確立されつつあります。仮に、どこかの営業部長が「仕事の支障が出るから俺のURLフィルタを外してくれ」ということを言った場合、権限の無い情報システム部の担当者であれば、従わざるを得ないでしょう。つまり、セキュリティが穴だらけになるのです。
CISOという責任ある地位の人が、適切な権限を持つことで、セキュリティが保たれます。(営業部長の身勝手な要求は突っぱねることができます。)
※内部不正ガイドラインの(2)「総括責任者の任命」も関連します。(セマネの教科書p302)
※参考ですが、国内企業におけるCISO設置割合は41.6%で、そのうち37.3%は兼任者です。米国58%、欧州72%に比べて低い数字です。(https://www.ipa.go.jp/files/000052362.pdfより)

・セキュリティ委員会についてはセマネの教科書p153(p302の(2)も参考になります)、セキュリティポリシーの説明とその具体例についてはセマネの教科書p146を参照してください。

・情報セキュリティ責任者は,自部の情報セキュリティを適切に確保し,維持,改善する役割を担っています。

・⑤では、情報セキュリティ責任者が、セキュリティリーダを選任しています。このように、権限委譲をして現場に根付いた対策が必要です。というのも、セキュリティ対策は、パッチ適用やルールの遵守、点検やログ確認など、日々の活動だからです。

マンガでわかる情報セキュリティマネジメント午後問1-2
【補足解説】
・ここではJ社のネットワーク構成の説明があります。
まず、社内ネットワークとインターネットの間にファイアウォールが設置されています。ファイアウォールは外部からの侵入を防ぐための最も基本的なセキュリティ対策です。最近ではUTMが利用されることも増えています。ファイアウォールやUTMに関しては、セマネの教科書のP164、165を参照ください。

・プロキシサーバでは、コンテンツフィルタリングを実施しています。これにより、「株」「温泉」などのキーワードを含むような、業務上不要と思われるWebトへの通信を防ぎます。フィルタリングにはコンテンツフィルタ以外にURLフィルタリングもあります。両者の違いに関しては、セマネの教科書P170、171を参照ください。

・さて、なぜ社外のWebサイトの閲覧は,全てプロキシサーバ経由としているのでしょうか。

【答え】プロキシサーバの目的を考えましょう。一つは、キャッシュ情報を持つことにより、インターネットアクセスの高速化と帯域削減です。もう一つは、セキュリティ対策のためです。詳細なログを取得できます。また、ファイアウォールにて、プロキシ経由以外のインターネット通信を拒否すれば、マルウェアが直接外部に通信することを防げます。

・問題文には、「制限されているWebサイトへの接続が必要になった場合は,接続するPCを限定して,情報システム課が一時的に制限を解除している」とあります。これは、PCのIPアドレスが固定で割り振られているから実現できることです。DHCPでは、払い出されるIPアドレスが変わるため、該当するPCを特定できません。

【オンラインストレージサービス】マンガでわかる情報セキュリティマネジメント午後問1-3
ファイルの共有設定には、表1に示す4種類がある。
a
【補足解説】
ここでは〔オンラインストレージサービス〕について記載があります。
・USBメモリでは、リアルタイムに情報を渡せませんので不便です。そこで、オンラインストレージサービスを利用します。DropboxやGoogle Driveをイメージしてください。

・セキュリティ確保のため、HTTP over TLS (HTTPS)による暗号化通信が行われます。SSLとTLSについては、セマネの教科書p172を参照ください。

・IDとパスワードがあれば、Webブラウザだけですぐに利用できるのは便利です。でも、第三者にアカウントを盗まれれば、不正に利用されるというデメリットもあります。

・表1は設問で利用します。最初に問題文を読むときは、概要だけ理解しておけばいいでしょう。

マンガでわかる情報セキュリティマネジメント午後問1-4
【補足解説】
・項番3にて、利用アカウントのIDがJ社製造部で共通利用されることが判明します。誰か不正に情報を利用したとしても、本人を特定することができません。問題ですね。内部不正ガイドラインの(7)(セマネの教科書p307にて解説)も参照ください。
・項番5にて、B社にファイルを提供する場合は,ファイル共有先としてB社の利用アカウントを指定し、”閲覧権限”を付与しています。表1を確認しましょう。インターネット利用者全般を指すパブリックを指定していないので、適切な設定と言えます。

↑このページのトップヘ