マンガでわかる情報セキュリティマネジメント試験

情報セキュリティマネジメント試験の午後問題を、マンガにしました。情報セキュリティマネジメント試験の午後問題は、一つの問題だけで、6ページほどに渡ります。読むだけでも疲れますし、内容も簡単ではありません。マンガを見ながら、気楽に、そして具体的なイメージをつかんでいただければと思います。

設問1 〔新たなオフィスレイアウトでの業務観察〕について,(1)~(3)に答えよ。
(1)表2中の[ a ]~[ c ]に入れる適切な字句を,解答群の中から選べ。
[ a ]
問題点1とは、「共用エリアの複合機で,個人情報を含む文書を印刷した後,その印刷物をそのまま放置している」ことです。
そのまま放置されないような対策になっているか、改善案1~4の内容を順に確認します。

(案1)現在の複合機に備わっている,“文書の印刷指示をした従業員が複合機のところに行って従業員証を使って認証されると印刷が開始される”という機能を有効にする。
→○ 本人しか印刷物を出力できないので、放置されることはありません。

(案2)情報セキュリティを高めるために,個人情報を含む文書の印刷を禁止する。
→× 禁止してしまっては業務が行えません。

(案3)複合機を,印刷後に複合機内の印刷データが完全に消去される, ISO/IEC 15408認証を取得した安全性が高い複合機に交換する。
→× 印刷物が放置される対策にはなりません。

(案4)複合機を通販事業部エリア内にも設置し,通販事業部の従業員は当該複合機でしか印刷できないようにする。
→○ 図1を確認しましょう。現在では、通販事業部エリア内には、複合機はありません。印刷物は共用エリアの誰かに見られてしまう可能性があります。この点を改善できます。
よって、(案1)、(案4)の選択肢カが正解です。


[ b ]
問題点2とは、「通販事業部が,ファックスで受信した注文書,商品発送時の送り状の控えなど,個人情報が記録された紙媒体を大量に保有しているが,十分な管理がされていない」ことです。

(案5)個人情報が記録された紙媒体は,業務上の必要の有無にかかわらず,1週間以内に細断し,廃棄する。細断するまでは,キャビネットに施錠保管する。
→× 個人情報を裁断する必要はありません。必要な書類を保持するのは間違っておらず、適切な管理がされていないことが問題なのです。

(案6)新たに文書管理システムを導入し,個人情報が記録された紙媒体は,スキャナで電子化して適切に管理する。不要となった紙媒体は細断し,廃棄する。
→○ 文書管理システムは、アクセス権が設定され、必要な人しかファイルにアクセスできないようなシステムです。さらに、不要な紙媒体は細断されますから、不用意に第三者に見られるリスクもありません。

(案7)個人情報が記録された紙媒体は,バインダにとじた上で,機密情報であることが分かるように機密区分を明示し,キャビネットに施錠保管する。
→○ 整理整頓した上で、施錠保管することで、機密性を確保できます。

(案8)個人情報が記録された紙媒体は,どこにあるか分からないように,他の文書と混ぜて机の上に並べる。
→× 他の文書と混ぜては管理ができません。

よって、(案6)(案7)の選択肢オが正解です。

[ c ]
問題点3は、「通販事業部エリアへの入室時に,通販事業部の従業員同士による共連れが行われている」ことです。
(案9) ICカードドアを, AESの暗号方式を用いたものに変更する。
→× 暗号方式を変えても、共連れはなくなりません。

(案10)共連れがもたらすリスクを知らせる標語を作成して,ICカードドアの脇に掲示する。
→○ 絶大な効果は期待できそうにありませんが、社員の意識改革を促すことができます。

(案11) ICカードの認証に加えて指静脈認証も行
する。
→× 共連れされたら同じです。

(案12)情報セキュリティリーダが共連れを発見した場合は個別に注意する。
→○ 軽微な効果しか期待できないかもしれませんが、少しは共連れが減ることでしょう。

よって、正解は(案10)、(案12)の選択肢ケです。

(2)本文中の下線①について,W氏がログを抽出した条件はどれか。解答群のうち,最も適切なものを選べ。
解答群
 ア 1日の入室ログ件数と退室ログ件数が異なる従業員のログ
 イ 従業員の入室権限がなく,入れなかったことを示すログ
 ウ 入室ログの後,1時間以上退室ログがない従業員のログ
 エ 別の従業員の入室ログから1秒以内に入室している従業員のログ

下線①は「共連れだと思われるログを抽出」とあります。ヒントは、問題文には「通販事業部エリアの出入口に,ICカード認証でドアを解錠するシステムを設置する」という点です。入るときと出るときの両方で認証が必要です。また、そのあとのW氏の発言から、アンチパスバックが有効になっていないこともわかります。入室記録が無くても、退室することができるのです。ですから、共連れで入った場合には、入室の記録がなされません。入室ログ件数と退室ログ件数が異なってきます。選択肢アが正解です。

(3)本文中の下線②~⑤は,それぞれ,リスク対応のどれに相当するか。解答群のうち,最も適切なものを選べ。
リスク保有、リスク受容などのリスク対応に関しては、http://sc.seeeko.com/archives/895902.html を参照してください。

・②現状のままにするという対応
 →リスク保有です。リスク受容とも言います。選択肢カ(リスク保有)が正解です。
 
・③アンチパスバックを有効にする
 →アンチパスバックを有効にすれば、共連れをされる可能性が減ります。つまり、リスクが低減するのです。選択肢オ(リスク発生可能性の低減)が正解です。

・④個人情報漏えい保険に加入する
 →リスクそのものを減らすことはできませんが、リスクが顕在化したときの費用負担を外部に移転しています。選択肢がイ(リスク共有)が正解です。
 ※リスク共有=リスク移転です。

・⑤事業をやめる
→リスク要因そのものを無くします。よって、リスク回避です。選択肢ア(リスク回避)が正解です。

設問2 本文中の[ d1 ]~[ d4 ]に入れる,次の(i)~(iv)の組合せはどれか。dに関する解答群のうち,適切なものを選べ。

選択肢の補足ですが、「RFID認証式の錠」とは、ICチップが埋め込まれたICカードによる認証と考えてください。「シリンダ錠」とは、家のドアを開ける鍵に広く利用されています。
さて、問題文から、ヒントとなる部分を抜き出すと、以下になります。


d1:合い鍵が作れる →(ⅱ)シリンダ錠
d2:情報が漏れたら解錠されてしまう →(ⅲ)プッシュボタン式の暗証番号錠
d3:複製が困難。鍵を貸与可能 →(i) RFID認証式の錠。
d4:鍵を貸与できない →(ⅳ)指静脈認証錠

以上から、選択肢キが正解です。

設問3 表3中の[ e ]~[ h ]に入れる字句はどれか。解答群のうち,最も適切なものを選べ。

この問題の解き方ですが、fが3つ、gが2つあります。fやgを先に決めるといいでしょう。

e~hに関する解答群
 ア 入り口の外にロッカーを設置し,私物をそこに預け,業務上必要な物だけを透明なバッグに入れて執務室に出入りするようにする。
 →荷物は透明なバックにしか入れられませんので、記憶媒体の持ち込みを防げます(NO.2)。また、出てくるときも、透明のバックでしか持ち出せませんので、ノートPCを盗み出すこともできません(NO.3)。 

 イ コールセンタ内での記憶媒体の使用を禁止する。
 →ルールで禁止をしても、悪意を持ってされることは防げません。

 ウ 出入口に警備員を配置し,入館証チェックや持ち物チェックを行う。
 →入館証チェックにより、コールセンタ要員以外の侵入を防げます(NO.1)。持ち物チェックをすることで、記憶売たの持ち込み(NO.2)や、ノートPCを盗み出すこと(NO.3)を防げます。

 エ ネックストラップ式の入館証をコールセンタ要員に貸与し,着用させる。
 →もし着用していない人がいれば、それは不正侵入として社員が気付くことができます。その時点で強制退出させることができます(No.1)

 オ ノートPCの画面にプライバシフィルタを装着する。
 →ショルダーハッキングは防げますが、NO.1~3の対策にはなりません。

 カ ノートPCをセキュリティケーブルで机に固定する。
 →ノートPCを盗み出すことを防げます(No.3)

 キ ホスト型侵入検知装置(HIDS)を設置する。
 →外部からのサイバー攻撃を検知できますが、NO.1~3の対策にはなりません。

この問題も、問題文が長いし、図表が細かいので、疲れます。試験中は。気力を振り絞って解き切りましょう。
設問1 〔Pシステムの利用に関する検討〕について, (1)~(4)に答えよ。

(1)本文中の[ a ]に入れる字句はどれか。解答群のうち,最も適切なものを選べ。

問題文の該当部分には、「クラウドサ-ビスを利用するメリットには,[ a ]こと,及び導入期間が短い」とあります。ヒントは、この記載の直後にある「前者のメリットは,来年4月以降の計画にも適しています」の部分です。「来年4月以降は,試行の結果を評価した上で,対象の営業所を順次拡大していく計画である」とありますから、営業所を拡大する場合にも柔軟に対応できることが求められるのです。つまり、選択肢アの「IT資源を迅速かつ柔軟に利用できる」が正解です。
 それ以外の選択肢は、内容が不適切または、出題の意図に沿っていません。
 
(2)図1中のⅢにおける項目(i)~(v)の中から,本文中の下線①で確認した情報セキュリテイ対策を三つ挙げた組合せはどれか。解答群のうち,最も適切なものを選べ。

下線①は「機密性の点は,①情報システム部と一緒にY社SaaSにおける情報セキュリティ対策を確認し」とあります。また、図1のⅢの内容は以下です。
(i)計画停止が行われる際の予告方法及びリードタイム
(ⅱ)X社によるサービス利用終了時の,Y社SaaSで管理されていたデータの取扱い
(ⅲ)Y社SaaSにおけるデータ暗号化機能の有無
(iv)Y社SaaSのダッシュボードで表示される,サービスのリソース使用状況
(ⅴ)Y社のデータセンタにおける入退室管理,管理者特権の管理の状況
この中で、セキュリティに関するものを3つ探します。ポイントは、下線①の直前にある「機密性の点は」という但し書きです。
(i)と(iv)は、可用性の観点(または、セキュリティとはあまり関係が無い)と言えます。(ⅱ)は、データがきちんと廃棄されるか、(ⅲ)は暗号化されていているか、(ⅴ)は不正にデータを持ち出されたりすることがないかなど、機密性に関する内容です。
正解は、クの(ii), (iii), (v)

(3)本文中の[ b ]に入れる字句はどれか。解答群のうち,最も適切なものを選べ。

問題文には「クラウトサービスを用いると,販売員が自宅のPCなどから直接アクセスするといったことも起きかねません。そのようなアクセスを禁止できるとよいのですが,できますか」というE主任の問いに対し、C主任が「Pシステムの情報セキュリティ機能において,[ b ]からのアクセスだけを受け付ける設定にすることによって,禁止できます。」と説明しています。
ですから、E主任が言うような「自宅のPCなどから直接アクセスする」のを制限する方法を選びます。

bに関する解答群
 ア PシステムのURL
 イ X社のグローバルIPアドレス
 ウ 会社貸与のPCのMACアドレス
 エ 会社貸与のPCのシリアルナンバ

正解は、イのX社のグローバルIPアドレスです。それ以外の通信を禁止すれば、自宅などからアクセスすることはできません。また、このグローバルIPアドレスになりすまして通信することは、基本的にできません。他の選択肢ですが、アのURLでは、会社と自宅PCでの区別ができません。また、ウのMACアドレスやシリアルナンバは、Y社のSaaSには伝わらない情報です。例え伝えたとしても、そもそも偽装が可能な情報です。

(4)本文中の[ c ]に入れる字句はどれか。解答群のうち,最も適切なものを選べ。
cに関する解答群
 ア PシステムのRPO, RTOの確認
 イ Pシステムのコールドスタンバイ
 ウ Pシステムの操作履歴の確認
 工 見込客データの暗号化
 オ 見込客データの匿名化
 カ 見込客データのバックアップ

問題文の該当部分は、「Y社の倒産など,突然サービスが終了するといった事態を想定し,さらにコストパフォーマンスも考慮すると,最低限,当社側での[ c ]について検討が必要です」とあります。ここにあるように、突然サービスが終了するという事態に備えての対策は、選択肢カのバックアップです。選択肢アにあるRPO(Recovery Point Objective)やRTO(Recovery Time Objective)の確認も大事ですが、サービスが終了してしまう想定であれば、復旧(Recovery)はそもそもありません。
 参考ですが、「コストパフォーマンスも考慮すると」という部分は、Y社側でバックアップをしてもらうのではなく「当社側」で実施することで、コストを抑えるという意味だと考えています。

設問2[アカウント及び操作権限の管理]について、(1),(2)に答えよ。
(1)本文中の[ d ]~[ f ]に入れる字句はどれか。解答群のうち,最も適切なものを選べ。
dに関する解答群
E主任は、「10月1日から実施でき,かつ,X社の情報セキュリテイ対策基準を満たす方法として,[ d ]という対応を行います。」と述べています。「10月1日から実施でき」るという点ですが、問題文に「情報システムを9月末までに改修するのは難しい」とあります。システム改修が無い方法を選びます。また、「X社の情報セキュリティ対策基準を満たす」観点からは、図2を満たしているかどうかを考えます。

 ア 営業所の所長または主任が、都度、販売企画課にメールで連絡する →正解選択肢です。システム改修が不要ですし、図2の情報セキュリティ対策基準を満たしています。
 イ 人事情報システムを改修して,データ連携を自動化する →システム改修は困難です。
 ウ 販売員自らが,都度,販売企画課にメールで連絡する →図2の項番2であるアカウント管理の管理者がいません。
 エ 毎年度末に,販売企画課が営業所に確認し,登録や無効化を行う →図2の項番3である「速やかに反映」という点に対応できません。

eに関する解答群
 ア 販売企画課管理者用アカウントの付与はE主任のままとして,E主任の操作に私(C主任)が立会い,目視確認する
 イ 販売企画課管理者用アカウントを私(C主任)にも付与して,申請・承認した結果をE主任と私(C主任)で相互チェックする
 ウ 販売企画課担当者用アカウントにも申請権限及び承認権限を設定して,申請・承認した結果をE主任が確認する
 エ 販売企画課担当者用アカウントには申請権限だけを設定し,販売企画課管理者用アカウントには承認権限だけを設定して,後者の付与はE主任のままとする

eに関しては、「販売企画課管理者用アカウントに,アカウント管理機能の操作権限が全て設定されていることです。この点については,[ e ]のがよいと思います」とあります。この点は、図2の項番4の「アカウント管理においては,相互牽制が働く手順を定める」に反するので、権限を分けるべきです。具体的には、E主任が自分で申請をして自分で承認できることが問題で、それをできなくします。
アとイでは、ルールで縛っているだけですから、E主任が自分で申請・承認ができます。
ウは、さらに権限を付与していますから、問題外です。
エは権限を分離していて、E主任が一人で申請・承認は不可能ですので、正解です。

fに関する解答群
 ア アカウントロック  イ オプトアウト
 ウ オプトイン     エ チェツクアウト
 オ チェックイン    カ リモードワイプ

メールでいうと、オプトアウト方式は、受信拒否が無い場合に送信してよいというもので、オプトイン方式は、受信許可がある場合にのみ送信してよいというものです。オプトアウトの意味は、許可なしのメールを停止する機能や停止する行為そのものを指すこともあります。

(2)次の(ⅰ)~(ⅴ)の中から、本文中の下線②の対応が必要である理由を三つ挙げた組合せはどれか。解答群のうち,最も適切なものを選べ。

下線②は「販売員用アカウント以外のアカウントにも送信停止の権限を設定する」とあります。
 (i)全ての事務手続に関する作業を,販売企画課だけが処理できるように操作権限を設定する必要があるから →「販売企画課だけ」に限定する理由が不明です。
 (ii)販売員が,送信停止処理よりも販売活動を優先するおそれがあるから →販売員は売ることが仕事ですから、その可能性があります。
 (iii)見込客が本社宛てに電話などで申し出た場合でも,停止処理ができるようにする必要があるから →速やかに停止するためにも必要です。
 (iv)見込客を担当する販売員が不在の場合でも,電話を受けた営業所で停止処理ができるようにする必要があるから →上と同じ理由で正解です。
 (v)メールの“送受信履歴の参照”の権限を全てのアカウントに設定しているから →関係ありません。
よって、 キ(ii), (iii), (iv)が正解です。

問題文を読んでいきましょう。

問1 マルウェア感染への対応に関する次の記述を読んで,設問1~3に答えよ。
 T社は従業員数200名の建築資材商社であり,本社と二つの営業所の3拠点がある。このうち,Q営業所には,業務用PC(以下,PCという)30台と, NAS 1台がある。
→NAS(Network Attached Storage) といえば、BUFFALO(バッファロー)社のテラステーションが、馴染みが深い製品かもしれません。NAS=簡易なファイルサーバと考えてください。皆さんがデータを保存する大事なサーバです。
 
PCは本社の情報システム課が管理しており,PCにインストールされているウイルス対策ソフトは定義ファイルを自動的に更新するように設定されている。
 NASは,Q営業所の営業課と総務課が共用しており,課ごとにデータを共有しているフォルダ(以下,共有フォルダという)と,各個人に割り当てられたフォルダ(以下,個人フォルダという)がある。個人フォルダの利用方法についての明確な取決めはないが,PCのデータの一部を個人フォルダに複製して利用している者が多い。
→問題文を読むときには、個人フォルダの利用に取り決めが無いのはいいのかな?とう疑問を持ってください。実際、あとでこの点が改善されます。

 Q営業所と本社はVPNで接続されており,営業所員は本社にある業務サーバ及びメールサーバにPCからアクセスして,受発注や出荷などの業務を行っている。
 なお,本社には本社の従業員が利用できるファイルサーバが設置されているが,ディスクの容量に制約があり,各営業所からは利用できない。
 T社には,本社の各部及び各課の責任者,並びに各営業所長をメンバとする情報セキュリティ委員会が設置されており,総務担当役員が最高情報セキュリティ責任者
 (以下, CISOという)に任命されている。また,情報セキュリティインシデント(以下,インシデントという)対応については,インシデント対応責任者として本社
の情報システム課長が任命されている。さらに,本社と各営業所では,情報セキュリティ責任者と情報セキュリティリーグがそれぞれ任命されている。Q営業所の情報セキュリティ責任者はK所長,情報セキュリティリーグは,総務課のA課長である。
〔マルウェア感染〕
 ある土曜日の午前10時過ぎ,自宅にいたA課長は,営業課のBさんからの電話を受けた。休日出勤していたBさんによると,BさんのPC(以下, B-PCという)を起動して電子メール(以下,メールという)を確認するうちに,取引先からの出荷通知メールだと思ったメールの添付ファイルをクリックしたという。ところが,その後,
画面に見慣れないメッセージが表示され, B-PCの中のファイルや,Bさんの個人フォルダ内のファイルの拡張子が変更されてしまい,普段利用しているソフトウェアで開くことができなくなったという。
→ランサムウェアに感染したようです。ランサムウェアは、セマネの教科書p72に解説していますが、身代金(ransom)を要求するものです。

これらのファイルには,Bさんが手掛けている重要プロジェクトに関する,顧客から送付された図面,関連社内資料,建築現場を撮影した静止画データなどが含まれていた。そこで,Bさんは図1に示すT社の情報セキュリテイポリシ(以下,ポリシという)に従ってA課長に連絡したとのことであった。
→ポリシの8(1)にある「速やかに事象を報告する」というルールに従っています。適切な対応です。

A課長は, B-PCにそれ以上触らずそのままにしておくようBさんに伝え,取り急ぎ出社することにした。
→証拠保全のために、それ以上触らないように伝えたのでしょうか。でも、「そのまま」にして「取り急ぎ出社する」ことがいいのでしょうか。ちょっと疑問です。あとでLANケーブルを抜くのですが、この時点で抜くべきではなかったのか?という疑問があります。

 
8.インシデントヘの対応
(1)事象の発見と報告
 当社の情報資産についてマルウェア感染,情報漏えいなどが疑われる事象を発見した従業員は,所属する拠点の情報セキュリティリーダに速やかに事象を報告する。報告を受けた情報セキュリティリーダは,速やかに事象を確認し,事象を当該拠点の情報セキュリティ責任者及びインシデント対応責任者(不在時は情報システム課員)に報告する。情報セキュリティ責任者は,情報資産の機密性,完全性,可用性に関する重大な被害が発生する可能性があると判断した場合には,インシデントの発生を宣言する。
(2)被害拡大の防止
 情報セキュリティリーグは,当該インシデントに係る被害の拡大を防止するための対策を当該拠点の従業員に指示する。
(3)被害状況の把握,原因の特定及び影響範囲の調査
 情報セキュリティリーグは,インシデント対応責任者と協力して,被害状況の把握,原因の特定及び影響範囲の調査を行う。
(4)システムの復旧
 情報セキュリティリーグは,インシデント対応責任者と協力して,特定された原因の除去と,システムの復旧に努める。
(5)再発防止策の実施
 情報セキュリティリーグは,インシデント対応責任者とともにインシデントの再発防止策を検討し,実施す。
          図1 ポリシ(抜粋)

 A課長がQ営業所に到着してB-PCを確認したところ,画面にはファイルを復元するための金銭を要求するメッセージと,支払の手順が表示されていた。
→先ほども説明しましたが、身代金(ransom)を要求していますから、完全にランサムウェアです。

 A課長は,B-PCがマルウェアに感染したと判断し,K所長に連絡して,状況を報告した。この報告を受けたK所長は,インシデントの発生を宣言した。また,Bさんは,A課長の指示に従ってB-PCとNASからLANケーブルを抜いた。
 さらに,A課長がBさんに,他に連絡した先があるかを尋ねたところ,A課長以外にはまだ連絡していないとのことであった。そこで,A課長はインシデント対応責任者である情報システム課長に連絡したところ,情報システム課で情報セキュリティを主に担当しているS係長に対応させると言われた。そこで,A課長はS係長に連絡し,現在の状況を説明した。
S係長によると,状況から見て[ a ]と呼ばれる種類のマルウェアに感染した可能性が高く,①この種類のマルウェアがもつ二つの特徴が現れているとのことであった。A課長はS係長に,今後の対応への協力と当該マルウェアに関する情報収集を依頼し,S係長は了承した。その後,A課長が状況の調査を更に進めていたところ,昼過ぎにK所長がQ営業所に到着したので,A課長はその時点までの調査結果をK所長に説明した。調査結果を図2に示す。
・B-PC上のファイルと, B-PCから個人フォルダに複製したファイルがマルウェアによって暗号化されており,開くことができない状態になっていた。一方,Bさんは,顧客から送付されたデータを営業課の共有フォルダに複製していたが,そのデータに異常は見られなかった。
・B-PCに表示されたメッセージによると,BさんのファイルはAESとRSAの二つの暗号アルゴリズムを用いて暗号化されており,これが事実だとすると,復号することは極めて困難である。
・[ a ]によっては,暗号化されたデータを復号できるツールがウイルス対策ソフトベンダなどから提供されている場合もあるが,今回のマルウェアに対応しているツールはない。また,[ a ]によってはOSの機能を用いると暗号化される前のデータがOSの復元領域から復元できる場合もあるが,今回のマルウェアは,0Sの復元領域を削除していた。
 
→ランサムウェアの対策として、バックアップは重要ですが、それをしていなかったようです。Windowsだと、シャドウコピーの機能があり、自動でファイルのバックアップを取ってくれています。でも、その復元領域も削除されていたようです。困りましたね。

 
・今回のマルウェアは,金銭の受渡しに際して,②攻撃者の身元を特定できなくするための技術を利用している。
・B-PC以外のQ営業所のPCは全てシャットダウンされていた。
           図2 調査結果

〔感染後の対応〕
 K所長とA課長は,金銭の支払に応じるべきか否かはQ営業所だけで判断できることではないが,それぞれの場合に想定される被害及び費用の項目は一応把握しておきたいと考えた。そこで,“支払った場合にはデータを確実に復元できるが,支払わなかった場合にはデータを復元できない可能性が高い”という前提の下で想定される被害及び費用の項目を,表1のI~Ⅲに分けてリストアップした。

表1 想定される被害及び費用の項目
I.支払った場合にだけ,発生する又は発生するおそれがある項目 [ b ]
Ⅱ.支払わなかった場合にだけ,発生する又は発生するおそれがある項目 [ c ]
Ⅲ.支払っても支払わなくても発生する又は発生するおそれがある項目
(省略)
注記1 項目には,金額のほか,価値の喪失,損失といったものも含まれるものとする。
注記2 Ⅰ,Ⅱ,Ⅲは互いに排他的である。
 折よく,当該マルウェアに関する情報収集を行っていたS係長から,他社での対応事例の報告があった。これを受け,K所長とA課長は,表1作成時の前提を置かずに③対応について検討することにし,その結果を情報セキュリティ委員会に報告してCISOの判断を仰ぐことにした。
 夕方になって,本社で調査を行っていたS係長からA課長に連絡があり,今朝のマルウェア感染以降,Q営業所のネットワークから本社や外部への不審な通信は行わ
れていないことが分かった。また,業務で利用している本社のサーバにも特に異常は見られなかったという。
 これまでの調査から,被害はB-PC及びBさんの個人フォルダ内のファイルだけであったとA課長は判断し,Bさん用の新たなPCを準備するようS係長に依頼した。
 翌日の日曜日の朝,ウイルス対策ソフトの開発元から新たな定義ファイルが提供され, B-PCが感染していたマルウェアの検知と駆除が可能になった。そこで,その日の午後にT社の全てのPC,サーバ及びQ営業所のNASに対してマルウェアのスキャンを行ったところ, B-PC以外にマルウェアに感染していたものはなかった。また,暗号化されていたNAS上のデータに関しては, NASのデータのバックアップは実施されていなかったものの, NASの復元領域から一部を復元できることが判明し,業務への影響はある程度抑えることができた。
〔対策の見直し〕
 今回のインシデントを受けて,T社の情報セキュリティ委員会が開催された。A課長は, CISOから,今回のインシデントに関する問題点は何かと尋ねられた。A課長は、④データの取扱い及びバックアップに関するルールの内容が不十分であったことが問題点であったと回答し,次のことを提案した。
・データの取扱い及びバックアップに関するルールを全面的に見直し,全社的なルールを定めること
・本社のフアイルサーバの容量拡大を早急に実施し,全社共通の利用ルールを定め,
 それに基づいて各営業所からも利用できるようにすること
・営業所でのNASの利用は半年以内に廃止すること
・NASの利用を暫定的に継続する間は,営業所では⑤今回の種類のマルウェアに感染することによってファイルが暗号化されてしまうという被害に備えたバックアップを実施し,あわせて⑥バックアップ対象のデータの可用性確保のための対策を検討すること
 これらの提案は情報セキュリティ委員会で承認された。T社はマルウェア感染を契機として情報セキュリティの改善を図ることになった。

情報セキュリティマネジメント試験(H29年春午後問1)の設問解説をします。ざざっと書いただけなので、雑です。ご容赦ください。

設問1 〔マルウェア感染〕について. (1)~(3)に答えよ。
(1)本文中及び図2中の[ a ]に入れる字句はどれか。解答群のうち,最も適切なものを選べ。
aに関する解答群
 ア アドウェア   イ キーロガー
 ウ ダウンローダ  エ ドロッパ
 オ ランサムウェア カ ルートキット
 キ ワーム

正解はランサムウェアです。問題文に「Bさんの個人フォルダ内のファイルの拡張子が変更されてしまい,普段利用しているソフトウェアで開くことができなくなった」とあるように、ファイルを暗号化します。また、「画面にはファイルを復元するための金銭を要求するメッセージ」とあるように、身代金(ransom)を要求します。キーロガー、ランサムウェア、ルートキット、ワームに関しては、セマネの教科書のP70~73で解説しています。

(2)本文中の下線①について,この種類のマルウェアの特徴を,次の(i)~(vii)の中から二つ挙げた組合せはどれか。解答群のうち,最も適切なものを選べ。
 (i)OSやアプリケーションソフトウェアの脆弱性が悪用されて感染することが多い点
 (ii) Webページを閲覧するだけで感染することがある点
 (iii)感染経路が暗号化された通信に限定される点
 (iv)感染後,組織内部のデータを収集した上でひそかに外部にデータを送信することが多い点
 (v)端末がロックされたり,ファイルが暗号化されたりすることによって端末やファイルの可用性が失われる点
 (vi)マルウェア対策ソフトが導入されていれば感染しない点
 (vii)マルウェアに感染したPCの利用者やサーバの管理者に対して脅迫を行う点
 
解答群
 ア(i),(ii)  イ (i),(iii),
 ウ(i),(v)  エ (ii),(iii)
 オ(ii),(iv)  カ (iii),(v)
 キ(iii),(vii) ク (iv),(vi)
 ケ (v), (vi)   コ (v),(vii)

さて、ランサムウェアといっても、感染の方法や動作は様々です。正解を2つに絞れなかった人も多かったことでしょう。ポイントとなるのは、問題文下線①の「①この種類のマルウェアがもつ二つの特徴が現れている」の部分です。よって、実際に特徴が現れているもの、つまり問題文に記載があるもに絞ることができるのです。
では、順に見て行きましょう。
(i)脆弱性を悪用されたのではなく「添付ファイルをクリック」とありますから、自ら実行してしまいました。
(ii)今回は、メール経由の感染です。
(iii)メールなので、暗号化された通信に限定されるわけではありません。
(iv)情報搾取が目的のマルウェアの特徴です。
(v)「普段利用しているソフトウェアで開くことができなくなった」とありますから、正解選択肢です。
(vi)「PCにインストールされているウイルス対策ソフトは定義ファイルを自動的に更新するように設定されている。」とありますから、今回は違います。
(vii)「画面にはファイルを復元するための金銭を要求するメッセージ」とありますから、正解選択肢です。

よって、正解は(v),(vii)のコです。


(3)図2中の下線②について,当てはまる技術だけを挙げた組合せを,解答群の中から選べ。
解答群
 ア Bitcoin, SSL-VPN, Tor
 イ Bitcoin, Tor
 ウ Bitcoin,ゼロデイ攻撃
 エ Bitcoin,ポストペイ式電子マネー
 オ SSL-VPN, Tor
 カ SSL-VPN,ゼロデイ攻撃
 キ SSL-VPN,バックドア,ポストベイ式電子マネー
 ク Tor,バックドア,ポストペイ式電子マネー
 ケ ゼロデイ攻撃,バックドア
 コ ゼロデイ攻撃,バックドア,ポストペイ式電子マネー
 
下線②は、「攻撃者の身元を特定できなくするための技術」とあります。正解はイです。最近話題のBitcoinは、仮想通貨です。日本でも、ヨドバシカメラなどの一部の店舗で利用できるようになりました。身分証明が必要な銀行口座と違い、秘匿性を保ったままBitcoinのやり取りができます。Tor(The Onion Router)は、自分のIPアドレスを隠す仕組みです。それ以外の選択肢は、関係ありません。また、SUICAなどのポストペイ式電子マネーですが、攻撃者に送金できる仕組みは無いと思います。(参考ですが、事後に本人のクレジットカードなどから引き落としがされます。)プリペイド(先払い)であれば、身元が分かりませんし、攻撃者にも送金可能です。

設問2 〔感染後の対応〕について,(1),(2)に答えよ。
(1)表1中の[ b ] ,[ c ]に入れる字句を,解答群の中から選べ。

以下に解答を書きます。

[項目1]攻撃者から要求されている金額 → Ⅰ
[項目2]再発防止に要する金額 → Ⅲ
[項目3]自力でのデータ復元の試みに要する金額 → Ⅱ(問題文に「支払った場合にはデータを確実に復元できる」という前提があるため)
[項目4]犯罪を助長したという事実に起因する企業価値の損失 → Ⅰ
[項目5]マルウェアに感染したという事実に起因する企業価値の損失 →Ⅲ
b,c に関する解答群
 ア[項目1],[項目2]
 イ [項目1],[項目2],[項目3]
 ウ[項目1],[項目2],[項目4]
 エ [項目1],[項目3]
 オ[項目1],[項目4]
 カ [項目2],[項目4]
 キ[項目2],[項目5]
 ク [項目3]
 ケ[項目4]
 コ [項目5]

よって、Ⅰは オ[項目1],[項目4]
Ⅱは ク [項目3]

(2)本文中の下線③について,支払に応じるべきではないと情報セキュリティ委員会で報告するとしたら,その理由は何か。次の(i)~(iv)のうち,適切なものだけを全て挙げた組合せを,解答群の中から選べ。

問題文に「表1作成時の前提を置かずに」とあります。つまり、「“支払った場合にはデータを確実に復元できるが,支払わなかった場合にはデータを復元できない可能性が高い”」という前提を無視します。
この問題はやや一般論で考えます。

 (i)金銭を支払うことによって,自社への更なる攻撃につながり得るから →○ この会社はお金を払うを分かれば、攻撃の標的となるでしょう。
 (ii)金銭を支払っても,ファイルを復号できる保証がないから →○ その通りです。
 (iii)外部業者にディジタルフォレンジックスを依頼すれば,暗号化されたデータを確実に復号できるから →× 図2に「BさんのファイルはAESとRSAの二つの暗号アルゴリズムを用いて暗号化されており,これが事実だとすると,復号することは極めて困難である。」との記載があります。
 (iv)表1において,IとⅡを比較した結果,Iの方が,被害及び費用が小さいから →× Ⅰには「攻撃者から要求されている金額」が含まれています。いくらなのか分からないので、何とも言えません。
 
解答群
 ア(i), (ii)     イ (i),(ii),(iii)
 ウ(i),(ii),(iv)  エ (i),(iii)
 オ(i),(iii),(iv)  カ (i),(iv)
 キ(ii), (iii)      ク (ii),(iii),(iv)
 ケ(ii),(iv)    コ (iii),(iv)

 よって、正解は、 ア(i), (ii)

設問3 〔対策の見直し〕について(1)~(3)に答えよ。
 (1)本文中の下線④の直接的な結果として,何が起きたか。解答群の中から二つ選べ
 
 下線④は「④データの取扱い及びバックアップに関するルールの内容が不十分であったこと」とあります。
 今回のランサムウェアに感染した原因は、不用意にファイルを実行してしまったことです。そして、その結果、データが消えてしまったのは、バックアップがなかったことです。会社としてバックアップの仕組みがあればよかったことでしょう。
 解答群
 ア B-PCのOSの復元領域が削除されたこと →× 関係ありません。
 イ T社の業務サーバ及びメールサーバがVPNで営業所と接続され,受発注や出荷などのデータが送受信されたこと →× 関係ありません。
 ウ Q営業所でNASのデータのバックアップが実施されなかったこと → ○ バックアップがあれば、復元できましたね。
 エ 業務で利用するデータについて,何をNASに保存するか,PCに保存するかが人によってまちまちだったこと → ○ 問題文に「個人フォルダの利用方法についての明確な取決めはない」とあります。
 → 正解はウ、エです。

(2)本文中の下線⑤について,次の(i)~(iv)のうち,効果があるものだけを全て挙げた組合せを,解答群の中から選べ。
 
 (i)NAS上の特に重要なフォルダについては,定期的にBD-Rにデータを複製し,BD-Rは鍵が掛かるキャビネットに保管する。
 (ii) NASに定期的に別途ハードディスクドライブを追加接続してデータをアーカイブし,終了後にハードディスクドライブを取り外して保管する。
 (iii) NASにハードディスクドライブを増設し, RAID 5構成にすることによってデ一夕自体の冗長性を向上させる。
 (iv) NASにハードディスクドライブを増設して,増設したハードディスクドライブにデータを常時レプリケーションするようにする。
解答群
 ア(i)      イ (i),(ii)
 ウ(i),(ii),(iv)  エ (i),(iv)
 オ(i),(iii),(iv) カ(ii),(iii)
 キ(ii),(iv)    ク (ii),(iV)
 ケ(iii),(iv)   コ (iii),(v)

問題文には、「⑤今回の種類のマルウェアに感染することによってファイルが暗号化されてしまうという被害に備えたバックアップを実施し」とあります。
ランサムウェアは、通信可能な先のファイルを暗号化します。PCに接続された外付けHDDや、ネットワークにつながっているファイルサーバなどです。よって、PCからランサムウェアが直接アクセスできないところにバックアップすることが安全な方法です。すると、正解は(i),(ii)つまり、イです。

(3)本文中の下線⑥について,次の(i)~(iV)のうち,効果があるものだけを全て挙げた組合せを,解答群の中から選べ。

問題文には「⑥バックアップ対象のデータの可用性確保のための対策を検討する」とあります。可用性(Availability)とは、利用したいときに使用できる状態になっていることを指します。

 (i)バックアップした媒体からデータが正しく復元できるかテストする。 →○ 可用性に関する内容です。
 (ii)バックアップした媒体を二つ作成し,一つは営業所に,もう一つは別の安全な場所に保管する。 →○ 複数の場所で保管したほうが、可用性が高まります。
 (iii)バックアップした媒体を再び読み出せないようにしてから廃棄する。 →× 機密性に関する内容です。
 (iV)バックアップする際にデータに暗号化を施す。 →× 機密性に関する内容です。
 
解答群
 ア(i)        イ (i),(ii)
 ウ(i),(ii),(iii) エ (i),(iv)
 オ(ii)        カ (ii),(iii),
 キ(ii), (iii), (iv)  ク (ii) (iv)
 ケ(iii)        コ (iii) (iv)

よって、正解は、イ (i),(ii)です。

情報セキュリティマネジメント試験は、IPAの試験の中では、レベル2に位置づけられる試験です。
とはいえ、午後問題は、一つの問題で問題文が10ページほどに渡り、なおかつかなり実務的な内容です。設問にたどり着く前に、問題文を読むだけで疲れてしまいます。
そこで、この問題文の前半をマンガでわかりやすくしました。皆さんの学習のお役にたてれば幸いです。
また、情報セキュリティマネジメント試験の基礎を学ぶには、「やさしくわかるセマネの教科書」(日経BP社)をよろしくお願いします。
やさしくわかるセマネの教科書
左門 至峰
日経BP社
2016-11-30


※マンガ化する中で、シンプルにするために内容を一部簡略化しています。正確な問題文は、IPAから出されている情報セキュリティマネジメント試験の問題文を確認してください。

↑このページのトップヘ