マンガでわかるセマネの午後試験

情報セキュリティマネジメント試験の午後問題を、マンガにしました。情報セキュリティマネジメント試験の午後問題は、一つの問題だけで、6ページほどに渡ります。読むだけでも疲れますし、内容も簡単ではありません。マンガを見ながら、気楽に、そして具体的なイメージをつかんでいただければと思います。

この問題も、問題文が長いし、図表が細かいので、疲れます。試験中は。気力を振り絞って解き切りましょう。
設問1 〔Pシステムの利用に関する検討〕について, (1)~(4)に答えよ。

(1)本文中の[ a ]に入れる字句はどれか。解答群のうち,最も適切なものを選べ。

問題文の該当部分には、「クラウドサ-ビスを利用するメリットには,[ a ]こと,及び導入期間が短い」とあります。ヒントは、この記載の直後にある「前者のメリットは,来年4月以降の計画にも適しています」の部分です。「来年4月以降は,試行の結果を評価した上で,対象の営業所を順次拡大していく計画である」とありますから、営業所を拡大する場合にも柔軟に対応できることが求められるのです。つまり、選択肢アの「IT資源を迅速かつ柔軟に利用できる」が正解です。
 それ以外の選択肢は、内容が不適切または、出題の意図に沿っていません。
 
(2)図1中のⅢにおける項目(i)~(v)の中から,本文中の下線①で確認した情報セキュリテイ対策を三つ挙げた組合せはどれか。解答群のうち,最も適切なものを選べ。

下線①は「機密性の点は,①情報システム部と一緒にY社SaaSにおける情報セキュリティ対策を確認し」とあります。また、図1のⅢの内容は以下です。
(i)計画停止が行われる際の予告方法及びリードタイム
(ⅱ)X社によるサービス利用終了時の,Y社SaaSで管理されていたデータの取扱い
(ⅲ)Y社SaaSにおけるデータ暗号化機能の有無
(iv)Y社SaaSのダッシュボードで表示される,サービスのリソース使用状況
(ⅴ)Y社のデータセンタにおける入退室管理,管理者特権の管理の状況
この中で、セキュリティに関するものを3つ探します。ポイントは、下線①の直前にある「機密性の点は」という但し書きです。
(i)と(iv)は、可用性の観点(または、セキュリティとはあまり関係が無い)と言えます。(ⅱ)は、データがきちんと廃棄されるか、(ⅲ)は暗号化されていているか、(ⅴ)は不正にデータを持ち出されたりすることがないかなど、機密性に関する内容です。
正解は、クの(ii), (iii), (v)

(3)本文中の[ b ]に入れる字句はどれか。解答群のうち,最も適切なものを選べ。

問題文には「クラウトサービスを用いると,販売員が自宅のPCなどから直接アクセスするといったことも起きかねません。そのようなアクセスを禁止できるとよいのですが,できますか」というE主任の問いに対し、C主任が「Pシステムの情報セキュリティ機能において,[ b ]からのアクセスだけを受け付ける設定にすることによって,禁止できます。」と説明しています。
ですから、E主任が言うような「自宅のPCなどから直接アクセスする」のを制限する方法を選びます。

bに関する解答群
 ア PシステムのURL
 イ X社のグローバルIPアドレス
 ウ 会社貸与のPCのMACアドレス
 エ 会社貸与のPCのシリアルナンバ

正解は、イのX社のグローバルIPアドレスです。それ以外の通信を禁止すれば、自宅などからアクセスすることはできません。また、このグローバルIPアドレスになりすまして通信することは、基本的にできません。他の選択肢ですが、アのURLでは、会社と自宅PCでの区別ができません。また、ウのMACアドレスやシリアルナンバは、Y社のSaaSには伝わらない情報です。例え伝えたとしても、そもそも偽装が可能な情報です。

(4)本文中の[ c ]に入れる字句はどれか。解答群のうち,最も適切なものを選べ。
cに関する解答群
 ア PシステムのRPO, RTOの確認
 イ Pシステムのコールドスタンバイ
 ウ Pシステムの操作履歴の確認
 工 見込客データの暗号化
 オ 見込客データの匿名化
 カ 見込客データのバックアップ

問題文の該当部分は、「Y社の倒産など,突然サービスが終了するといった事態を想定し,さらにコストパフォーマンスも考慮すると,最低限,当社側での[ c ]について検討が必要です」とあります。ここにあるように、突然サービスが終了するという事態に備えての対策は、選択肢カのバックアップです。選択肢アにあるRPO(Recovery Point Objective)やRTO(Recovery Time Objective)の確認も大事ですが、サービスが終了してしまう想定であれば、復旧(Recovery)はそもそもありません。
 参考ですが、「コストパフォーマンスも考慮すると」という部分は、Y社側でバックアップをしてもらうのではなく「当社側」で実施することで、コストを抑えるという意味だと考えています。

設問2[アカウント及び操作権限の管理]について、(1),(2)に答えよ。
(1)本文中の[ d ]~[ f ]に入れる字句はどれか。解答群のうち,最も適切なものを選べ。
dに関する解答群
E主任は、「10月1日から実施でき,かつ,X社の情報セキュリテイ対策基準を満たす方法として,[ d ]という対応を行います。」と述べています。「10月1日から実施でき」るという点ですが、問題文に「情報システムを9月末までに改修するのは難しい」とあります。システム改修が無い方法を選びます。また、「X社の情報セキュリティ対策基準を満たす」観点からは、図2を満たしているかどうかを考えます。

 ア 営業所の所長または主任が、都度、販売企画課にメールで連絡する →正解選択肢です。システム改修が不要ですし、図2の情報セキュリティ対策基準を満たしています。
 イ 人事情報システムを改修して,データ連携を自動化する →システム改修は困難です。
 ウ 販売員自らが,都度,販売企画課にメールで連絡する →図2の項番2であるアカウント管理の管理者がいません。
 エ 毎年度末に,販売企画課が営業所に確認し,登録や無効化を行う →図2の項番3である「速やかに反映」という点に対応できません。

eに関する解答群
 ア 販売企画課管理者用アカウントの付与はE主任のままとして,E主任の操作に私(C主任)が立会い,目視確認する
 イ 販売企画課管理者用アカウントを私(C主任)にも付与して,申請・承認した結果をE主任と私(C主任)で相互チェックする
 ウ 販売企画課担当者用アカウントにも申請権限及び承認権限を設定して,申請・承認した結果をE主任が確認する
 エ 販売企画課担当者用アカウントには申請権限だけを設定し,販売企画課管理者用アカウントには承認権限だけを設定して,後者の付与はE主任のままとする

eに関しては、「販売企画課管理者用アカウントに,アカウント管理機能の操作権限が全て設定されていることです。この点については,[ e ]のがよいと思います」とあります。この点は、図2の項番4の「アカウント管理においては,相互牽制が働く手順を定める」に反するので、権限を分けるべきです。具体的には、E主任が自分で申請をして自分で承認できることが問題で、それをできなくします。
アとイでは、ルールで縛っているだけですから、E主任が自分で申請・承認ができます。
ウは、さらに権限を付与していますから、問題外です。
エは権限を分離していて、E主任が一人で申請・承認は不可能ですので、正解です。

fに関する解答群
 ア アカウントロック  イ オプトアウト
 ウ オプトイン     エ チェツクアウト
 オ チェックイン    カ リモードワイプ

メールでいうと、オプトアウト方式は、受信拒否が無い場合に送信してよいというもので、オプトイン方式は、受信許可がある場合にのみ送信してよいというものです。オプトアウトの意味は、許可なしのメールを停止する機能や停止する行為そのものを指すこともあります。

(2)次の(ⅰ)~(ⅴ)の中から、本文中の下線②の対応が必要である理由を三つ挙げた組合せはどれか。解答群のうち,最も適切なものを選べ。

下線②は「販売員用アカウント以外のアカウントにも送信停止の権限を設定する」とあります。
 (i)全ての事務手続に関する作業を,販売企画課だけが処理できるように操作権限を設定する必要があるから →「販売企画課だけ」に限定する理由が不明です。
 (ii)販売員が,送信停止処理よりも販売活動を優先するおそれがあるから →販売員は売ることが仕事ですから、その可能性があります。
 (iii)見込客が本社宛てに電話などで申し出た場合でも,停止処理ができるようにする必要があるから →速やかに停止するためにも必要です。
 (iv)見込客を担当する販売員が不在の場合でも,電話を受けた営業所で停止処理ができるようにする必要があるから →上と同じ理由で正解です。
 (v)メールの“送受信履歴の参照”の権限を全てのアカウントに設定しているから →関係ありません。
よって、 キ(ii), (iii), (iv)が正解です。

情報セキュリティマネジメント試験(H29年春午後問1)の設問解説をします。ざざっと書いただけなので、雑です。ご容赦ください。

設問1 〔マルウェア感染〕について. (1)~(3)に答えよ。
(1)本文中及び図2中の[ a ]に入れる字句はどれか。解答群のうち,最も適切なものを選べ。
aに関する解答群
 ア アドウェア   イ キーロガー
 ウ ダウンローダ  エ ドロッパ
 オ ランサムウェア カ ルートキット
 キ ワーム

正解はランサムウェアです。問題文に「Bさんの個人フォルダ内のファイルの拡張子が変更されてしまい,普段利用しているソフトウェアで開くことができなくなった」とあるように、ファイルを暗号化します。また、「画面にはファイルを復元するための金銭を要求するメッセージ」とあるように、身代金(ransom)を要求します。キーロガー、ランサムウェア、ルートキット、ワームに関しては、セマネの教科書のP70~73で解説しています。

(2)本文中の下線①について,この種類のマルウェアの特徴を,次の(i)~(vii)の中から二つ挙げた組合せはどれか。解答群のうち,最も適切なものを選べ。
 (i)OSやアプリケーションソフトウェアの脆弱性が悪用されて感染することが多い点
 (ii) Webページを閲覧するだけで感染することがある点
 (iii)感染経路が暗号化された通信に限定される点
 (iv)感染後,組織内部のデータを収集した上でひそかに外部にデータを送信することが多い点
 (v)端末がロックされたり,ファイルが暗号化されたりすることによって端末やファイルの可用性が失われる点
 (vi)マルウェア対策ソフトが導入されていれば感染しない点
 (vii)マルウェアに感染したPCの利用者やサーバの管理者に対して脅迫を行う点
 
解答群
 ア(i),(ii)  イ (i),(iii),
 ウ(i),(v)  エ (ii),(iii)
 オ(ii),(iv)  カ (iii),(v)
 キ(iii),(vii) ク (iv),(vi)
 ケ (v), (vi)   コ (v),(vii)

さて、ランサムウェアといっても、感染の方法や動作は様々です。正解を2つに絞れなかった人も多かったことでしょう。ポイントとなるのは、問題文下線①の「①この種類のマルウェアがもつ二つの特徴が現れている」の部分です。よって、実際に特徴が現れているもの、つまり問題文に記載があるもに絞ることができるのです。
では、順に見て行きましょう。
(i)脆弱性を悪用されたのではなく「添付ファイルをクリック」とありますから、自ら実行してしまいました。
(ii)今回は、メール経由の感染です。
(iii)メールなので、暗号化された通信に限定されるわけではありません。
(iv)情報搾取が目的のマルウェアの特徴です。
(v)「普段利用しているソフトウェアで開くことができなくなった」とありますから、正解選択肢です。
(vi)「PCにインストールされているウイルス対策ソフトは定義ファイルを自動的に更新するように設定されている。」とありますから、今回は違います。
(vii)「画面にはファイルを復元するための金銭を要求するメッセージ」とありますから、正解選択肢です。

よって、正解は(v),(vii)のコです。


(3)図2中の下線②について,当てはまる技術だけを挙げた組合せを,解答群の中から選べ。
解答群
 ア Bitcoin, SSL-VPN, Tor
 イ Bitcoin, Tor
 ウ Bitcoin,ゼロデイ攻撃
 エ Bitcoin,ポストペイ式電子マネー
 オ SSL-VPN, Tor
 カ SSL-VPN,ゼロデイ攻撃
 キ SSL-VPN,バックドア,ポストベイ式電子マネー
 ク Tor,バックドア,ポストペイ式電子マネー
 ケ ゼロデイ攻撃,バックドア
 コ ゼロデイ攻撃,バックドア,ポストペイ式電子マネー
 
下線②は、「攻撃者の身元を特定できなくするための技術」とあります。正解はイです。最近話題のBitcoinは、仮想通貨です。日本でも、ヨドバシカメラなどの一部の店舗で利用できるようになりました。身分証明が必要な銀行口座と違い、秘匿性を保ったままBitcoinのやり取りができます。Tor(The Onion Router)は、自分のIPアドレスを隠す仕組みです。それ以外の選択肢は、関係ありません。また、SUICAなどのポストペイ式電子マネーですが、攻撃者に送金できる仕組みは無いと思います。(参考ですが、事後に本人のクレジットカードなどから引き落としがされます。)プリペイド(先払い)であれば、身元が分かりませんし、攻撃者にも送金可能です。

設問2 〔感染後の対応〕について,(1),(2)に答えよ。
(1)表1中の[ b ] ,[ c ]に入れる字句を,解答群の中から選べ。

以下に解答を書きます。

[項目1]攻撃者から要求されている金額 → Ⅰ
[項目2]再発防止に要する金額 → Ⅲ
[項目3]自力でのデータ復元の試みに要する金額 → Ⅱ(問題文に「支払った場合にはデータを確実に復元できる」という前提があるため)
[項目4]犯罪を助長したという事実に起因する企業価値の損失 → Ⅰ
[項目5]マルウェアに感染したという事実に起因する企業価値の損失 →Ⅲ
b,c に関する解答群
 ア[項目1],[項目2]
 イ [項目1],[項目2],[項目3]
 ウ[項目1],[項目2],[項目4]
 エ [項目1],[項目3]
 オ[項目1],[項目4]
 カ [項目2],[項目4]
 キ[項目2],[項目5]
 ク [項目3]
 ケ[項目4]
 コ [項目5]

よって、Ⅰは オ[項目1],[項目4]
Ⅱは ク [項目3]

(2)本文中の下線③について,支払に応じるべきではないと情報セキュリティ委員会で報告するとしたら,その理由は何か。次の(i)~(iv)のうち,適切なものだけを全て挙げた組合せを,解答群の中から選べ。

問題文に「表1作成時の前提を置かずに」とあります。つまり、「“支払った場合にはデータを確実に復元できるが,支払わなかった場合にはデータを復元できない可能性が高い”」という前提を無視します。
この問題はやや一般論で考えます。

 (i)金銭を支払うことによって,自社への更なる攻撃につながり得るから →○ この会社はお金を払うを分かれば、攻撃の標的となるでしょう。
 (ii)金銭を支払っても,ファイルを復号できる保証がないから →○ その通りです。
 (iii)外部業者にディジタルフォレンジックスを依頼すれば,暗号化されたデータを確実に復号できるから →× 図2に「BさんのファイルはAESとRSAの二つの暗号アルゴリズムを用いて暗号化されており,これが事実だとすると,復号することは極めて困難である。」との記載があります。
 (iv)表1において,IとⅡを比較した結果,Iの方が,被害及び費用が小さいから →× Ⅰには「攻撃者から要求されている金額」が含まれています。いくらなのか分からないので、何とも言えません。
 
解答群
 ア(i), (ii)     イ (i),(ii),(iii)
 ウ(i),(ii),(iv)  エ (i),(iii)
 オ(i),(iii),(iv)  カ (i),(iv)
 キ(ii), (iii)      ク (ii),(iii),(iv)
 ケ(ii),(iv)    コ (iii),(iv)

 よって、正解は、 ア(i), (ii)

設問3 〔対策の見直し〕について(1)~(3)に答えよ。
 (1)本文中の下線④の直接的な結果として,何が起きたか。解答群の中から二つ選べ
 
 下線④は「④データの取扱い及びバックアップに関するルールの内容が不十分であったこと」とあります。
 今回のランサムウェアに感染した原因は、不用意にファイルを実行してしまったことです。そして、その結果、データが消えてしまったのは、バックアップがなかったことです。会社としてバックアップの仕組みがあればよかったことでしょう。
 解答群
 ア B-PCのOSの復元領域が削除されたこと →× 関係ありません。
 イ T社の業務サーバ及びメールサーバがVPNで営業所と接続され,受発注や出荷などのデータが送受信されたこと →× 関係ありません。
 ウ Q営業所でNASのデータのバックアップが実施されなかったこと → ○ バックアップがあれば、復元できましたね。
 エ 業務で利用するデータについて,何をNASに保存するか,PCに保存するかが人によってまちまちだったこと → ○ 問題文に「個人フォルダの利用方法についての明確な取決めはない」とあります。
 → 正解はウ、エです。

(2)本文中の下線⑤について,次の(i)~(iv)のうち,効果があるものだけを全て挙げた組合せを,解答群の中から選べ。
 
 (i)NAS上の特に重要なフォルダについては,定期的にBD-Rにデータを複製し,BD-Rは鍵が掛かるキャビネットに保管する。
 (ii) NASに定期的に別途ハードディスクドライブを追加接続してデータをアーカイブし,終了後にハードディスクドライブを取り外して保管する。
 (iii) NASにハードディスクドライブを増設し, RAID 5構成にすることによってデ一夕自体の冗長性を向上させる。
 (iv) NASにハードディスクドライブを増設して,増設したハードディスクドライブにデータを常時レプリケーションするようにする。
解答群
 ア(i)      イ (i),(ii)
 ウ(i),(ii),(iv)  エ (i),(iv)
 オ(i),(iii),(iv) カ(ii),(iii)
 キ(ii),(iv)    ク (ii),(iV)
 ケ(iii),(iv)   コ (iii),(v)

問題文には、「⑤今回の種類のマルウェアに感染することによってファイルが暗号化されてしまうという被害に備えたバックアップを実施し」とあります。
ランサムウェアは、通信可能な先のファイルを暗号化します。PCに接続された外付けHDDや、ネットワークにつながっているファイルサーバなどです。よって、PCからランサムウェアが直接アクセスできないところにバックアップすることが安全な方法です。すると、正解は(i),(ii)つまり、イです。

(3)本文中の下線⑥について,次の(i)~(iV)のうち,効果があるものだけを全て挙げた組合せを,解答群の中から選べ。

問題文には「⑥バックアップ対象のデータの可用性確保のための対策を検討する」とあります。可用性(Availability)とは、利用したいときに使用できる状態になっていることを指します。

 (i)バックアップした媒体からデータが正しく復元できるかテストする。 →○ 可用性に関する内容です。
 (ii)バックアップした媒体を二つ作成し,一つは営業所に,もう一つは別の安全な場所に保管する。 →○ 複数の場所で保管したほうが、可用性が高まります。
 (iii)バックアップした媒体を再び読み出せないようにしてから廃棄する。 →× 機密性に関する内容です。
 (iV)バックアップする際にデータに暗号化を施す。 →× 機密性に関する内容です。
 
解答群
 ア(i)        イ (i),(ii)
 ウ(i),(ii),(iii) エ (i),(iv)
 オ(ii)        カ (ii),(iii),
 キ(ii), (iii), (iv)  ク (ii) (iv)
 ケ(iii)        コ (iii) (iv)

よって、正解は、イ (i),(ii)です。

情報セキュリティマネジメント試験は、IPAの試験の中では、レベル2に位置づけられる試験です。
とはいえ、午後問題は、一つの問題で問題文が10ページほどに渡り、なおかつかなり実務的な内容です。設問にたどり着く前に、問題文を読むだけで疲れてしまいます。
そこで、この問題文の前半をマンガでわかりやすくしました。皆さんの学習のお役にたてれば幸いです。
また、情報セキュリティマネジメント試験の基礎を学ぶには、「やさしくわかるセマネの教科書」(日経BP社)をよろしくお願いします。
やさしくわかるセマネの教科書
左門 至峰
日経BP社
2016-11-30


※マンガ化する中で、シンプルにするために内容を一部簡略化しています。正確な問題文は、IPAから出されている情報セキュリティマネジメント試験の問題文を確認してください。

情報セキュリティマネジメント試験の午後の問1の前半部分をマンガにしました。実際の問題はIPAのサイトを確認ください。
マンガでわかる情報セキュリティマネジメント午後問1-1
【補足解説】
・CISO(Chief Information Security Officer)とは、最高情報セキュリティ責任者のことです。CEOやCIOとの違いも確認しておきましょう。(セマネの教科書p292参照)
最近になって、CISOという地位が確立されつつあります。仮に、どこかの営業部長が「仕事の支障が出るから俺のURLフィルタを外してくれ」ということを言った場合、権限の無い情報システム部の担当者であれば、従わざるを得ないでしょう。つまり、セキュリティが穴だらけになるのです。
CISOという責任ある地位の人が、適切な権限を持つことで、セキュリティが保たれます。(営業部長の身勝手な要求は突っぱねることができます。)
※内部不正ガイドラインの(2)「総括責任者の任命」も関連します。(セマネの教科書p302)
※参考ですが、国内企業におけるCISO設置割合は41.6%で、そのうち37.3%は兼任者です。米国58%、欧州72%に比べて低い数字です。(https://www.ipa.go.jp/files/000052362.pdfより)

・セキュリティ委員会についてはセマネの教科書p153(p302の(2)も参考になります)、セキュリティポリシーの説明とその具体例についてはセマネの教科書p146を参照してください。

・情報セキュリティ責任者は,自部の情報セキュリティを適切に確保し,維持,改善する役割を担っています。

・⑤では、情報セキュリティ責任者が、セキュリティリーダを選任しています。このように、権限委譲をして現場に根付いた対策が必要です。というのも、セキュリティ対策は、パッチ適用やルールの遵守、点検やログ確認など、日々の活動だからです。

マンガでわかる情報セキュリティマネジメント午後問1-2
【補足解説】
・ここではJ社のネットワーク構成の説明があります。
まず、社内ネットワークとインターネットの間にファイアウォールが設置されています。ファイアウォールは外部からの侵入を防ぐための最も基本的なセキュリティ対策です。最近ではUTMが利用されることも増えています。ファイアウォールやUTMに関しては、セマネの教科書のP164、165を参照ください。

・プロキシサーバでは、コンテンツフィルタリングを実施しています。これにより、「株」「温泉」などのキーワードを含むような、業務上不要と思われるWebトへの通信を防ぎます。フィルタリングにはコンテンツフィルタ以外にURLフィルタリングもあります。両者の違いに関しては、セマネの教科書P170、171を参照ください。

・さて、なぜ社外のWebサイトの閲覧は,全てプロキシサーバ経由としているのでしょうか。

【答え】プロキシサーバの目的を考えましょう。一つは、キャッシュ情報を持つことにより、インターネットアクセスの高速化と帯域削減です。もう一つは、セキュリティ対策のためです。詳細なログを取得できます。また、ファイアウォールにて、プロキシ経由以外のインターネット通信を拒否すれば、マルウェアが直接外部に通信することを防げます。

・問題文には、「制限されているWebサイトへの接続が必要になった場合は,接続するPCを限定して,情報システム課が一時的に制限を解除している」とあります。これは、PCのIPアドレスが固定で割り振られているから実現できることです。DHCPでは、払い出されるIPアドレスが変わるため、該当するPCを特定できません。

↑このページのトップヘ