情報セキュリティマネジメント試験を受けてきました><！

（経緯や感想はまた別途。。。）

 

せっかくなので午後問について解きながら、

回答に迷ったもの、間違ったもの等について、メモしていきます。

 

またちょうどグラレコの講座を受けており「文章から図をまとめる」という演習があるのですが、ふと、、、「これ題材にちょうどいいのでは？」と思って図解もしてみました。試験でこんなに時間をかけて図解する必要は全くありませんが、よろしければ参考まで。

 

• 問1:サイバー攻撃を想定した演習
  • 設問1-1:サイバー演習の準備
  • 設問1-2:サイバーキルチェーン
  • 設問3-2:自社の偽サイトが現れた時の対応
• 問2:企業における情報セキュリティ管理 
  • 設問1:情報資産目録見直し
  • 設問2-1:通信販売をするにあたり改定が必要な文書
• 問3:情報セキュリティの自己点検
  • 設問1:認証情報を共有することで起こるリスク
  • 設問3-2:CVSSのレベルを問う問題
• 図解 
  • 問１
  • 問２

 

 

 

問1:サイバー攻撃を想定した演習

  

設問1-1:サイバー演習の準備

サイバー演習の機能演習にあたるものを選択肢から選ぶ問題。

 

ア　広域災害対策演習　→ 災害が起きた時の演習

イ　情報セキュリティ監査　→ ”監査”でサイバー演習とは関係ない

ウ　脆弱性診断　

エ　パンデミック対策演習　→疫病が蔓延した時の演習

オ　ビジネスインパクト分析　→予期せぬ事態でビジネスが止まった時の影響分析

カ　ファジングテスト　→ソフトウェアやシステムに予期しないデータ（ファズ）を入力し、バグや脆弱性を検出する

キ　ホワイトボックステスト　→ソフトウェアが意図した通りに動くかのテスト

ク　マルウェア解析

ケ　リバースエンジニアリング　→ 製品やソフトウェアを分解することでその構造を明らかにする

コ　レッドチーム演習　

 

最後まで、ウとコで迷ってしまいました・・・（正解はコ）

 

演習と書いてあるし、コかな、と思ってコにしましたが、

調べてみると、単にシステムのテストを指す脆弱性診断より、

レッドチーム演習の方が幅が広いようです。

 

実際のサイバー攻撃に即した形で行われるテストには、ペネトレーションテストというものもあります。レッドチーム演習とペネトレーションテストとの違いは以下のようになっています

レッドチーム演習とは？内容やペネトレーションテストとの違い、メリットデメリットについて徹底解説｜サイバーセキュリティ.com

 

設問1-2:サイバーキルチェーン

サイバーキルチェーンの偵察にあたるものを選択肢から全て選ぶ問題。

一瞬「え？全部では？」と思ってしまった。（全部が含まれる選択肢がないので、正解のイを選べたけど、、、）

 

（V）が回答から外れる理由は、「社外に公開されていないW社のポータルサイト」から情報を得ている点。

外部に公開されていないサーバにアクセスしている時点で何らかの攻撃がすでに成功しているので、偵察フェーズではない。

 

ちなみに(i)で出てくるWHOISは、

WHOISは、 インターネットレジストリが管理するインターネット資源の登録情報を提供するサービスです。 端的には、IPアドレスやドメイン名の利用者を検索する時に使います。 直接的な利用者のデータが表示されない場合もありますが、 問い合わせの手がかりにはなります。

https://www.nic.ad.jp/ja/whois/

 

 誰でも情報が見れるので、情報漏洩の危険もありそうです。

WHOIS情報公開代行とは？ドメイン取得後の個人情報流出には要注意 | Cloud 9 Works

 

設問3-2:自社の偽サイトが現れた時の対応

W社（自社）の偽サイトが仮に発見された場合の対策を問う問題。

 

(i)偽サイト閉鎖までの間、自社のサイトを閉鎖する

→X 偽サイトへ誤ってアクセスしてしまう被害は減らない。

(ii)偽サイトへアクセスしないようにその存在と危険性を公表する

→○

(iii)偽サイトにアクセスできないようにWebフィルタリングをする

→X 一瞬迷った選択肢。Webフィルタリングをしたら自社の社員の偽サイトへのアクセスは防げるかもしれないが、他の人のアクセスは防げない。

(iv)偽サイトの攻撃を外部事業者へ命じる

→X ダメ、絶対。

(v)偽サイトを閉鎖するように、プロバイダに依頼する

→○

問2:企業における情報セキュリティ管理 

設問1:情報資産目録見直し

情報資産目録見直しを行う際の作業を選ぶ問題。

 

ア新たに追加された情報資産の名称と管理責任者を記載する→○

イ記載された情報資産の重要度が適切である確認する→○

ウ記載された情報資産のリスクを提言する→X リスク対応のフェーズで行う。

エ情報資産目録に対するアクセス権を設定する。→X リスク対応のフェーズで行う。

オ情報資産目録の情報セキュリティパフォーマンス及びX社ISMSの有効性を評価する→リスクアセスメントのフェーズで行う。

カ廃棄された情報資産を情報資産目録から削除する→○

 

設問2-1:通信販売をするにあたり改定が必要な文書

通信販売を新たに始めるにあたり、適用される法律と見直しが必要なISMS文書を選ぶ問題です。

 

新たに適用が必要なのは「特定商取引法」であり、

この法律が新たに関係することになったため、

ISMS文書の「適用法規制一覧」に加える必要があります。

 

www.no-trouble.caa.go.jp

 

 

問3:情報セキュリティの自己点検

設問1:認証情報を共有することで起こるリスク

利用者ID，パスワード，メールアドレスを共用することで起きるリスクを選ぶ問題

 

(i) NPCを操作した者を特定できないという状況を狙われて，不正に操作されるリスク

→○
(ii)異動者や退職者など，利用資格を失った者にNPCを不正に操作されるリスク

→○
(iii)共用者の1人がパスワードを変更した際に，他の共用者に変更後のパスワードを伝えるためのメモを書き，そのメモからパスワードが漏えいし，不正に操作されるリスク

→○
(iV)クリアスクリーンをし忘れ，その隙に不正に操作されるリスク

→X IDを個別管理していたとしてもログイン中のPCをそのままロックせず席を離れた場合操作されてしまう可能性があるので、IDやパスワードを共有することとは直接関係がない。

 

設問3-2:CVSSのレベルを問う問題

CVSSの基本値が9.8の場合のレベルを問う問題。

深刻度が9.8だと、「緊急レベル」にあたるため、答えはイ＝緊急

 

共通脆弱性評価システムCVSS v3概説：IPA 独立行政法人 情報処理推進機構

 

 

図解 

問１

 

問２

 

 

※本記事に記載している過去問はIPAの配布サイトより引用しています。一部表現を変えている場合があります。