マンガでわかる情報セキュリティマネジメント試験

情報セキュリティマネジメント試験の午後問題を、マンガにしました。情報セキュリティマネジメント試験の午後問題は、一つの問題だけで、6ページほどに渡ります。読むだけでも疲れますし、内容も簡単ではありません。マンガを見ながら、気楽に、そして具体的なイメージをつかんでいただければと思います。

マンガでわかる情報セキュリティマネジメント午後問1-6
【補足解説】
・さっそく、原因調査に入りました。

・S主任は,外部からの攻撃やシステム障害などが発生しなかったかを確認しています。これは、何らかの攻撃や障害などにより、今回の情報漏えいが起こった可能性があると考えたのでしょう。でも、そのような事実はなかったようです。

・また、対象ファイルの共有設定を変更した者は誰なのかは教えてもらえませんでした。この点は、プロバイダ責任制限法にも関連します。プロバイダ責任制限法に関してはセマネの教科書のp193にて詳しく解説しています。

マンガでわかる情報セキュリティマネジメント午後問1-7
【補足解説】
プロキシサーバを調査しても、不審な点は確認されませんでした。そこで、S主任は製造部の従業員全員に個別にヒアリングを行うことにしましたた。これにより、今回の事象が起こった原因が明らかになってきます。

さて、マンガはここまでです。問題文のイメージがなんとなくつかめたでしょうか。皆さんの学習の一助になれば幸いです。
また、設問の解説は、「やさしくわかるセマネの教科書」をご確認ください。問題文のどのヒントを使って解くかについてまで、丁寧な解説を心がけました。
やさしくわかるセマネの教科書
左門 至峰
日経BP社
2016-11-30

では、問題文の解説を続けます。

〔個別ヒアリング〕
 S主任は,自分とT部長を除く製造部の従業員48名一人一人に対して,Xサービスの利用状況を確認した。ヒアリング結果を図2に示す。

・Xサービス利用規則については,全員がその存在を認識していた。
・Xサービスを利用したことがある者は48名中45名であった。残り3名はB社に関係する業務がなく,Xサービスの利用方法も知らなかった。
・Xサービスを利用したことがある45名の中に,ファイルを公開したという認識をもつ者はいなかったが,一部の者はファイルの共有設定に関係する“指定した利用アカウンド,“パブリック,“編集権限”,“閲覧権限”といった用語の意味を正しくは理解していなかった。
・Xサービスをスマートフォンやタブレット,自宅のPCなどから利用している者はいなかった。
             図2 ヒアリング結果(抜粋)

この中で、大事なのは3つ目の項番です。
「ファイルを公開したという認識をもつ者はいなかった」とありますから、意図的に公開したことは無かったようです。でも、ファイルの共有設定に関係する用語の意味を正しくは理解していなかったわけです。意図せずに公開してしまったこともあったと思われます。今回の事故原因もこれでしょう。

 Xサービスでは,ファイル登録時点の共有設定は,ファイル共有先”なし”,共有権限“権限なし”が初期値である。B社にファイルを提供するには,ファイル登録時,又は登録後に共有設定を変更する必要がある。S主任は,ヒアリング結果のうち[ b ]という製造部の状況では,“B社にファイルを提供する際に,Xサービスのファイル共有設定を間違える”という事故が起きやすいと考えた。そこで,従業員がXサービスの利用を開始する時点でXサービス利用規則と利用方法についての十分な教育を行うとともに,③万一間違った共有設定がなされても第三者にファイルを読まれる可能性を下げる対策をXサービス利用規則の中に定めておくべきであったと反省した。
どうやら、設定を毎回変更する必要があったようです。これだと、登録時に共有設定を間違えるリスクがありますよね。そこで、下線③の対策を行います。この点は、設問3(2)で問われます。

〔問題点の整理,対策の検討〕
 S主任は,一連の調査結果をT部長に報告した。T部長は,Xサービスの利用中止によってB社への製造委託に支障を来していることから,Xサービスの利用を早期に再開できるようにS主任に検討を指示した。
Xサービスが利用できないと、B社へファイルを提供することができません。業務に支障が出ますから、早期に再開できるようにするというのは当然です。

S主任は,製造部の従業員による共有設定の誤り防止を含めた対策をU課長と相談した。U課長は,XサービスをB社へのファイル提供に利用したこと自体が誤りであったとして,表2のように,Xサービスを業務で利用することの問題点とその理由を三つ指摘した。

マンガでわかる情報セキュリティマネジメントH28秋午後問1の図
表2に関しては、設問4で問われます。解説に関しては、セマネの教科書で詳しく述べていますので、ご参照ください。

次は,U課長とS主任の会話である。

U課長:製造部の業務を考慮すると, USBメモリを使ったファイル提供に戻すことは難しいのではないかと思いますが,何か代替案を考えていますか。
S主任:同じオンラインストレージサービスでも,法人向けに有償で提供されているサービスには管理機能を強化しているものが多いので,そうしたサービスを使うことを考えたいと思います。
管理機能というのは漠然としていますね。法人向けの有償サービスを利用することで、たとえば、より細かな権限設定が行えたり、データを暗号化してくれたり、ログを残してくれたり、ワンタイムパスワードといった認証強化が行えるようになります。

U課長:利用するサービス自体を切り替えることによって,問題点1~3の解決を図るということですね。
S主任:はい。ただし,現在のXサービス利用規則の内容では、④事故発生時の原因特定は困難です。適切な法人向けサービスに切り替えるとともに,利用規則も作り直すつもりです。
U課長:今回の事故によって,全社の情報セキュリティ対策がまだ十分でないことに気付きました。情報セキュリティ委員会の事務局として,情報セキュリティ委員会に対して追加の⑤組織的対策を行うように働きかけた上で,情報システム課としても⑥技術的対策を進め,情報セキュリティの改善に努めます。
セキュリティ対策には大きく、「人的・組織的対策」「技術的対策」「物理的対策」の3つがあります。セマネの教科書ではp156から「人的・組織的対策」、p163から「技術的対策」、p181から「物理的セキュリティ対策」を解説しています。それぞれ、どんな対策があるのか確認してください。
下線④は設問4(3)、下線⑤と⑥は設問4(4)で問われます。

 S主任は,新しい利用規則をどのように作成すべきか,U課長とともに検討した。
また,法人向けサービスの選定方法についてU課長から技術的なアドバイスを受けた。
 その後,S主任は問題点1~3に対応したオンラインストレージサービスとして,W社の法人向けオンラインストレージサービス(以下,Wサービスという)を選定し,Xサービスからの切替えについて,T部長の承認を得た。T部長は,情報セキュリティ委員会の承認と顧客企業各社の了解を得た上でWサービスの利用規則を新たに定め,製造部従業員への周知など十分な準備を行い,Wサービスを使ってB社へのファイル提供を再開した。
さて、問題文は以上です。問1だけでも問題文だけで6ページ、設問文を含めると11ページもあります。結構大変ですよね。本サイトのマンガが、皆さんの学習のお役に立てると幸いです。

情報セキュリティマネジメント試験の午後の問2の前半部分をマンガにしました。実際の問題はIPAのサイトを確認ください。
マンガでわかる情報セキュリティマネジメント午後問2-1as
【補足解説】
皆さんの会社でも、NPC(ノートパソコン)を携帯してお客様訪問をされることがあると思います。
しかし、お客様情報が入ったNPCというのは、盗難や紛失などにより、情報漏えいのリスクがあります。そうならないように、Z社ではこのようなルールを定めています。
さて、これらの対策ですが、以下の3つに分けてルールが定められています。
①全PCのための情報セキュリティ対策
②NPCのための情報セキュリティ対策
③NPCによる情報の持ち出し管理

まず、①に関する対策が(a)~(g)です。
(d) に関してですが、OSやソフトウェアの脆弱性を突いて攻撃をされる可能性があります。その対策として、OSやソフトウェアを最新化します。
脆弱性および、脆弱性を含むリスクの定義に関しては、セマネの教科書のp134を参照してください。
(e)は、ウイルス対策ソフトに関してです。パターンファイルを最新化します。また、フルスキャンによって、PCのデータを全て再チェックします。最新のパターンファイルにしたことで、初めて見つけられるウイルスもあるでしょう。

マンガでわかる情報セキュリティマネジメント試験_H28_問2-2
【補足解説】
(g)に関してですが、USBメモリからのウイルス感染がしばしば発生しています。
ウイルス感染したファイルが含まれたUSBメモリを接続すると、社内にウイルスが侵入してしまいます。Z社貸与するUSBメモリであれば、ウイルスが混在しないとは言い切れません。ただ、ウイルス感染の確率は下がることでしょう。
さて、(h)からは、上記対策に加えて、NPCのための情報セキュリティ対策です。

(h)に関して、PCが盗難にあった場合でも、HDDを暗号化していれば、第三者に内容を読み取られることがありません。

(i)に関して、システムにアクセスできるPCを、クライアント証明書で認証するというのは有効な仕組みです。
具体的には、クライアント証明書がインストールされていないと、Lシステムを利用することができません。不正な第三者が正規のクライアント証明書を入手することは容易ではないので、認証強度が各段に高まります。
しかし、残念ながら、クライアント証明書と秘密鍵がエクスポート可能になっています。コピー可能ということですから、セキュリティ上の弱点です。※今回は、設問で問うためにエクスポート可能にしています。

★証明書に関しては、言葉とその目的をきちんと理解しておきましょう。セキュリティのとても大事な概念であり技術だからです。詳しくは、セマネの教科書のp127から解説しています。今回のクライアント証明書はp128の「三つの証明書」の中の一つです。他との違いも含めて確認してください。


また、Lシステムでは,クライアント認証とパスワード認証の組合せによる2要素認証が行われています。
身近な例として、銀行のキャッシュカードが2要素認証です。銀行では、キャッシュカードを入れて、なおかつ4桁パスワードが正しくないとお金を引き出せません。

↑このページのトップヘ