マンガでわかる情報セキュリティマネジメント試験

情報セキュリティマネジメント試験の午後問題を、マンガにしました。情報セキュリティマネジメント試験の午後問題は、一つの問題だけで、6ページほどに渡ります。読むだけでも疲れますし、内容も簡単ではありません。マンガを見ながら、気楽に、そして具体的なイメージをつかんでいただければと思います。

カテゴリ: 7.H28秋問3

情報セキュリティマネジメント試験の午後の問3をマンガにしました。実際の問題はIPAのサイトを確認ください。
マンガでわかる情報セキュリティマネジメント午後問3-1
【補足解説】
・問題文には、「 LAN及びインターネット接続から成るネットワークサービス,ディレクトリサービス,社内ファイル共有サービス,電子メールサービス」とあります。「サービス」とありますが、「システム」と考えて問題ありません。

・「ディレクトリサービス」ですが、マイクロソフト社のActiveDirectoryという言葉を聞かれたことがあるでしょうか。マンガにも記載しましたが、ユーザやアクセス権を管理します。

・「LANからのプロキシサーバを経由しないインターネット接続はファイアウォールによって遮断されている。」とあります。これは、問1でも同じ仕組みになっていました。なぜこのようにしているかは、以下を確認ください。
http://mng.seeeko.com/archives/13985597.html

・「タイムサーバに基づいて時刻同期がなされている」の部分について補足します。複数システムでログを突合するときに、時刻がずれていると正確な突合が難しくなります。そこで、同じタイムサーバと時刻同期をして、各システムで時刻を合わせるのです。タイムサーバはNTPサーバと呼ばれます。

マンガでわかる情報セキュリティマネジメント午後問3-2
【補足解説】
・情報システム部のC部長が,P社の最高情報セキュリティ責任者(CISO:Chief Information Security Officer)です。

・情報システム部には運用管理課があります。会社によりますが、他には、システム開発課などがあることでしょう。

・図1は以下です。
1.設定
・PC上のハードディスクドライブ(以下,HDDという)全体を暗号化
・PC上のWebブラウザで,プロキシサーバを利用するように設定
・社内ファイル共有サービスでの共有フォルダの設定は,次のとおり
 - ディレクトリサービスを利用してアクセス権の設定を管理
 - アクセス権は,各利用部門からの申請に応じて設定単位を変更可能
 - アクセス権の設定単位は,次のいずれか一つを選択
     部単位:特定の部に属する従業員だけがアクセス可能
     課単位:特定の課に属する従業員だけがアクセス可能
     職位単位:特定の部に属する部長,課長,主任のいずれかの職位以上の
           従業員だけがアクセス可能
     従業員単位:特定の従業員だけがアクセス可能
 - デフォルトのアクセス権は,課単位

2.運用管理
・PC上のOS,オフィスソフト,Webブラウザ,ウイルス対策ソフトなどのソフトウェアのインストール,パッチ適用及びアップデートを一括で運用管理
・一括運用管理対象のソフトウェアのパッチ及びアップデートがベンダからリリースされた場合は,適用要否の確認を速やかに行い,適用が必要と判断したものを適用
・PCの管理者権限は,PC運用管理担当者だけに付与
・各利用部門からの情報システム利用に関する各種申請について,利用規程にのっとった承認を得たものだけを受理

       図1 P社基盤情報システムにおける設定と運用管理(抜粋)

順番に解説していきます。
・「PC上のハードディスクドライブ(以下,HDDという)全体を暗号化」
→暗号化の方法には、ファイルを暗号化するものと、HDDを暗号化するものがあります。HDD暗号化は、主に盗難対策です。盗難にあったとしても、HDDが暗号化されているから、読み取ることができないのです。HDDが暗号化されていても、正規にログインした人はファイルを見ることができます。そして、この後、ウイルスがアドレスYに通信をしてファイルを抜き出した可能性がありますが、そのファイルも暗号化されません。よって、ウイルス感染などによる情報漏えいには、HDD暗号化は意味をなしません。ファイル暗号化のシステムが必要です。
 
・「PC上のWebブラウザで,プロキシサーバを利用するように設定」
→「その1」で説明したとおり、プロキシサーバからしかインターネットに出ることができませんので、必要な設定です。
インターネットエクスプローラの場合、「ツール」「インターネットオプション」「接続」「LANの設定」から設定します。

Proxy
 

・「社内ファイル共有サービスでの共有フォルダの設定は,次のとおり」
→ファイルサーバのアクセス権と考えてください。皆さんのパソコンでも、アクセス権の設定ができます。フォルダを右クリックして「プロパティ」「セキュリティ」タブを見てみましょう。
access
このように、ユーザまたはグループ単位で、読み取りや書き込みなどのアクセス権を設定できます。
※上図において、イラストが一人のものは「ユーザ」。二人のものが「グループ」です。よって、図の場合は「user1」がユーザ、「SYSTEM」と「Administrators」がグループです。

また、部単位、課単位などと、詳しい説明がありますが、この点は設問を解くときに必要です。

・「2.運用管理
・PC上のOS,オフィスソフト,Webブラウザ,ウイルス対策ソフトなどのソフトウェアのインストール,パッチ適用及びアップデートを一括で運用管理」

→資産管理ソフトなどを使い、PCにエージェントソフトを入れることで、サーバ側から一括でインストールやアップデートができるようにしていることでしょう。

・「一括運用管理対象のソフトウェアのパッチ及びアップデートがベンダからリリースされた場合は,適用要否の確認を速やかに行い,適用が必要と判断したものを適用」
→パッチをあてると、アプリケーションが動かなくなる場合があります。たとえば、JavaをつかっていなければJavaの修正パッチを適用する必要がありません。適用が必要と判断したものだけを適用します。

・「PCの管理者権限は,PC運用管理担当者だけに付与」
→利用者に権限を渡すと、ウイルスソフトのOFFにするなどと勝手に設定を変えたり、ソフトウェアをインストールしたりするリスクがあるからです。

・「各利用部門からの情報システム利用に関する各種申請について,利用規程にのっとった承認を得たものだけを受理」
→「社外への特別な通信を追加で許可してほしい」「あるソフトウェアをインストールしたい」など、利用者からの要望は多岐にわたるでしょう。全てを受理するのではなく、利用規定に照らして、規定にのっとったものだけを受理します。

以下は図2の利用規程(抜粋)です。
1.パスワードは,使用できる文字種(大小英字,数字,記号)全てを組み合わせて8文字以上,かつ,他人に推測されにくいものとし,他人に知られないよう適切に管理すること。
2.機密性が高い電子データには,暗号化を施し,適切なアクセス権を設定すること。
3.各利用部門から情報システム部への情報システム利用に関する各種申請については,所属部門長及び情報セキュリティリーグの承認を得ること。
 なお,機密性が高い情報の取扱いに関連する申請内容については, CISOの承認を得ること。
4.情報セキュリティインシデント(以下,インシデントという)の発生時には,その対応として第一に被害拡大防止に努め,第二に証拠保全に努めること。
 なお,所属部門の情報セキュリティリーダ又は情報システム部からの指示があった場合には,その指示に従うこと。
                図2 利用規程(抜粋)

この利用規程にある内容は、セキュリティを守るための基本的な考え方です。1つ目がパスワードの管理、2つ目が暗号化とアクセス権の設定、3つ目が上長の承認を得ることです。
4つ目のインシデント発生時の基本的な考え方も理解しましょう。ここにあるように、「第一に被害拡大防止に努め,第二に証拠保全」です。根本解決であったり、業務の遂行は後回しです。

マンガでわかる情報セキュリティマネジメント午後問3-3
【補足解説】
マンガでは簡略化してありますが、問題文に記載された図3は以下です。
・大量の通信は,同一の社外IPアドレス(以下,アドレスYという)へのアクセスであった。
・POSTメソッドから始まってCONNECTメソッドが連続したHTTP over TLS (HTTPS)通信であった。
・発信元はマーケティング1課に所属する入社2年目のEさんのPC(以下, E-PCという)であった。                   
図3 プロキシサーバのログの調査結果
2行目にPOSTやCONNECTメソッドの記載があります。HTTPには「GET」「POST」など6つのメソッドがあり、「CONNECT」はHTTPSで利用されます。が、これらの言葉は覚える必要がありません。知らなくても解けます。すぐ後ろに、「HTTPS」と書いてあります。まあ、「HTTPSでの暗号化通信だったんだなー」くらいに理解しておけばいいでしょう。

問題文の続きです。       
 B課長は,自席のPCを利用してEさんの[ a1 ]を調査した。Eさんは市場調査業務を担当しているので,P社の競合情報,消費者動向などについての様々なインターネット上のWebサイトを日々閲覧している。次に情報システム部の協力の下,B課長による調査結果とE-PCから[ a2 ]へのアクセスログとを突き合わせたところ,大量の通信が記録されていた時刻の中には,Eさんが[ a3 ]時刻が含まれていた。さらに,Eさんへの聞き取り調査を行ったところ,Eさんは,P社が入居するオフィスビルの法定点検に基づく停電時以外は離席,外出又は帰宅の際,E-PCにログインしたままにしていたことが判明した。これらのことから,今回の不審なアクセスは,Eさん自身によるものではないと推定された。
 B課長とD課長による協議の結果,同日15時に,情報システム部による調査及び対応が開始された。情報システム部における調査の結果を図4に,各事象の発生日時を表1に示す。
           
・E-PCは,不正プログラムVに感染していた。
・不正プログラムVは, E-PCにインストールされていたソフトウェアZ(以下,ソフトZという)の脆弱性Mを突いて侵入するものであった。ソフトZは,インストールされて以来,パッチが適用されていなかった。
・E-PC上では,ウイルス対策ソフトが起動しないように管理者権限を用いて設定されていた。                    
  図4 情報システム部における調査の結果(抜粋)    

【補足解説】
・空欄[ a1 ]~[ a3 ]は設問1(2)で問われます。セマネの教科書p408から解説をしていますが、「今回の不審なアクセスは,Eさん自身によるものではない」ことを証明できるようにすれば、正解が導けます。

・図4から、E-PCが不正プログラムVを防御できなかった理由が分かります。パッチが適用されていなかったことと、ウイルス対策ソフトが起動しないようになっていたからです。

なぜウイルス対策ソフトが起動しなかったのか。それは、EさんがHさんに依頼したからです。このあたりの経緯が、次の表1で整理されているので、確認しておきましょう。

各事象の発生時刻は以下です(表1を漫画化しました)。マンガでわかる情報セキュリティマネジメント午後問3-3
【補足解説】
ここでは、これまでの経緯が詳しい発生日時を含めて再整理されています。
特筆すべきことはありませんが、最後(15:00)からの実施内容と、図2の項番4にあるインシデント発生時の対応内容を見比べましょう。
実施内容 図2の項番4
社内からアドレスYへの通信を遮断 第一に被害拡大防止に努め
E-PCのHDD内のデータを証拠保全 第二に証拠保全
このように、問題文は全体の整合性がきちんと取られているのです。

↑このページのトップヘ