マンガでわかる情報セキュリティマネジメント試験

情報セキュリティマネジメント試験の午後問題を、マンガにしました。情報セキュリティマネジメント試験の午後問題は、一つの問題だけで、6ページほどに渡ります。読むだけでも疲れますし、内容も簡単ではありません。マンガを見ながら、気楽に、そして具体的なイメージをつかんでいただければと思います。

カテゴリ: 6.H28秋問2

情報セキュリティマネジメント試験の午後の問2の前半部分をマンガにしました。実際の問題はIPAのサイトを確認ください。
マンガでわかる情報セキュリティマネジメント午後問2-1as
【補足解説】
皆さんの会社でも、NPC(ノートパソコン)を携帯してお客様訪問をされることがあると思います。
しかし、お客様情報が入ったNPCというのは、盗難や紛失などにより、情報漏えいのリスクがあります。そうならないように、Z社ではこのようなルールを定めています。
さて、これらの対策ですが、以下の3つに分けてルールが定められています。
①全PCのための情報セキュリティ対策
②NPCのための情報セキュリティ対策
③NPCによる情報の持ち出し管理

まず、①に関する対策が(a)~(g)です。
(d) に関してですが、OSやソフトウェアの脆弱性を突いて攻撃をされる可能性があります。その対策として、OSやソフトウェアを最新化します。
脆弱性および、脆弱性を含むリスクの定義に関しては、セマネの教科書のp134を参照してください。
(e)は、ウイルス対策ソフトに関してです。パターンファイルを最新化します。また、フルスキャンによって、PCのデータを全て再チェックします。最新のパターンファイルにしたことで、初めて見つけられるウイルスもあるでしょう。

マンガでわかる情報セキュリティマネジメント試験_H28_問2-2
【補足解説】
(g)に関してですが、USBメモリからのウイルス感染がしばしば発生しています。
ウイルス感染したファイルが含まれたUSBメモリを接続すると、社内にウイルスが侵入してしまいます。Z社貸与するUSBメモリであれば、ウイルスが混在しないとは言い切れません。ただ、ウイルス感染の確率は下がることでしょう。
さて、(h)からは、上記対策に加えて、NPCのための情報セキュリティ対策です。

(h)に関して、PCが盗難にあった場合でも、HDDを暗号化していれば、第三者に内容を読み取られることがありません。

(i)に関して、システムにアクセスできるPCを、クライアント証明書で認証するというのは有効な仕組みです。
具体的には、クライアント証明書がインストールされていないと、Lシステムを利用することができません。不正な第三者が正規のクライアント証明書を入手することは容易ではないので、認証強度が各段に高まります。
しかし、残念ながら、クライアント証明書と秘密鍵がエクスポート可能になっています。コピー可能ということですから、セキュリティ上の弱点です。※今回は、設問で問うためにエクスポート可能にしています。

★証明書に関しては、言葉とその目的をきちんと理解しておきましょう。セキュリティのとても大事な概念であり技術だからです。詳しくは、セマネの教科書のp127から解説しています。今回のクライアント証明書はp128の「三つの証明書」の中の一つです。他との違いも含めて確認してください。


また、Lシステムでは,クライアント認証とパスワード認証の組合せによる2要素認証が行われています。
身近な例として、銀行のキャッシュカードが2要素認証です。銀行では、キャッシュカードを入れて、なおかつ4桁パスワードが正しくないとお金を引き出せません。

マンガでわかる情報セキュリティマネジメント試験_H28_問2-3
【補足解説】
先ほどの続きです。
(h), (i)の情報セキュリティ対策を施したNPCに“対策済NPC”の文字列と有効期限日(最長6か月)を記歃したシールを貼り付けます。

このように、セキュリティ対策は技術的なものだけではありません。シールを貼ることで、安全であるかどうかが視覚的にわかります。

マンガの2コマ目からは、NPCを持ち出す場合のルールです。
2コマ目の上長への申請ですが、NPCを持ち出すことは、盗難や紛失のリスクがあります。よって、誰でもが自由に持ち出せるようにするのではなく、ルールを定める必要があります。
※持ち出しに関しては、内部不正ガイドラインの(10)にも記載があります。セマネの教科書ではp309で解説しています(他の問題でも問われた事例を紹介しています)。ご参考まで。

持ち出すファイルのリストに関してですが、盗難や紛失などの事故が発生したときに、どのNPCかと持ち出したファイルのリストがあれば、漏えいした可能性のある情報を特定できます。事故の発生の影響を把握することや、事故対処に役立ちます。

また、毎日のようにPCを持ち出す場合、先ほどのような申請をするのは、手間です。セキュリティを保つことで本来業務に支障が出てはいけません。そこで、最大1か月の持ち出しを許可しています。

マンガでわかる情報セキュリティマネジメント試験_H28_問2-4
【補足解説】
さて、ここからはインシデント発生時の対応です。
インシデントが発生した場合の対処というのは、状況によって千差万別です。ですが、ここで記載されている内容というのは、インシデント対応の基本中の基本です。この考えを理解しておくと、別の問題であっても、実際の業務でも役に立つことでしょう。

また、Z社では,各拠点に情報セキュリティ管理責任者とその配下の情報セキュリティリーダを置いています。
 これは、全拠点を本社から見ることには限界があるからです。情報セキュリティ対策の設定と維持,持出し管理の実施指導などは、現場に根付いて実施すべきです。
 
では、インシデント発生時の流れについて補足します。
インシデントが発生したら、速やかに報告します。これが、インシデント対応の最初にすべき内容です。また、紛失・盗難などが発生した場合だけでなく、その可能性がある場合でも、速やかに上長に報告します。
続いて、上長から、さらに情報セキュリティ管理責任者に報告します。事の重大さに応じて、社長まで報告する場合もあるでしょう。上長へ報告する流れは、このようなセキュリティインシデントに限ったことではありませんよね。

また、状況によって、インシデントの発生を宣言します。これは、政府が非常事態宣言を出すことを想像してください。たとえば、テロなどの緊急事態が起こったときに、すみやかに警察やら軍隊を動かせるようにするのです。
続いて初動対応についてです。

まず、インシデントの事実を正確に把握します。お客様情報が漏えいした場合と、パンフレットなどの公開されている情報が漏えいした場合では、Z社に与えるインパクトも、その後に対処すべき内容も変わってくるからです。また、データが暗号化してあったり、アクセス制御がされていて不正な第三者がアクセスできない状態であれば、情報漏えい事故にはなっていない場合もあります。そのあたりも含めて正確に事実を把握します。

次に、インシデントの影響拡大を防止する措置です。
皆さんのSNSのアカウント(IDやパスワード)が第三者に漏えいすると、SNSに不正ログインされますよね。そして、SNSに保存してあるたくさんの写真やメールアドレスなどの個人情報が盗み取られるリスクがあります。アカウント情報が盗まれるのは怖いことなのです。よって、即座にパスワード変更したり、ログインできないようにアカウントの停止を行います。

マンガでわかる情報セキュリティマネジメント試験_H28_問2-5
【補足解説】
NPCが入ったかばんを置き忘れるというセキュリティインシデントが発生しました。先ほど解説した図1の対応手順に従い、インシデント対応を行います。

↑このページのトップヘ