情報セキュリティマネジメント試験のH28年春午後問題について書いていきます。
問1:標的型攻撃メールの脅威と対策
設問1-3:標的型メールの特徴
G君の受け取ったメールから、
「受信者の疑いを低減させる手口や,受信者の動作を巧みに誘導する手口」
といった標的型メールの特徴を選ぶ問題です。
ア製品を導入する方向で検討を進めているという趣旨を伝えた上で,質問の回答期限を指定することによって添付ファイルを開くよう誘導している。
→◯ 製品検討をしており、15:00までに返信が欲しいと受信者を急かして、動作を誘導しています
イメールの本文にY社の従業員しか知リ得ない情報を記載することによって疑いを低減している。
→X Y社の機密情報は書いていません
ウメールの本文に正当なURLを装ったリンクを記載した上で,そのURLリンクをクリックするよう指示し,誘導している。
→X メール中にリンクはありません
エメールのやり取りを数回行うことによって疑いを低減している。
→◯ 問題文から下にはなりますが、図2に「F氏から3回問い合わせがあったことが書かれており、受信者の疑いを低減させています
問2:業務委託におけるアクセス制御
設問1-3:新しいアクセス権限の設定
B社への依頼範囲が増えることに伴うアクセス権限の見直しに関する問題です。
N課長が提案した新しいアクセス権限設定案aは、
「要求2:A社の担当者が入力した場合は,現状どおりにA社の販売責任者が承認する。 」
を満たしていないとあります。
オ:他の利用者IDによって入力された注文だけを承認できる権限を追加する
にしてしまうと、A社社員の申請でも別のA社員によって承認できてしまいます。
その代替策bであれば、要求2も満たせるとあるので、bは
イ:B社Jシステム担当者"ロール又は"B社管理者"ロールを使って入力された注文だけを承認できる権限を追加する
となります。
設問2:権限の申請について
Dシステムの閲覧を業務委託先に許可する場合の申請について正しいものを選びます。
ア業務委託先の管理者が,利用部署の長に名簿を提出するとともに,情報のオーナ部署の長に申請する
→X 名簿は不要です
イ業務委託先の従業員が,利用部署の長に申請し,利用部署の長が,情報のオーナ部署の長に申請する
→X 業務委託先従業員→利用部署の長→情報のオーナ部署となり、業務委託先の管理者からの申請ではないのでNG
ウ利用部署の長が,業務委託先から提出された申請書を情報のオーナ部署の長に転送する
→X イと同様の理由でNGです
エ利用部署の長が,業務委託先の管理者から提出された利用者の情報に基づき,情報のオーナ部署の長に申請する
→◯ (業務委託先従業員→)業務委託先管理者→利用部署の長→情報のオーナ部署となります
問3:情報セキュリティ自己点検
設問1:情報セキュリティ簡易点検の項目
情報セキュリティ簡易点検に追加をW氏が提案した項目で、客観的に判断できないものを選ぶ問題。
10.他人から見えるところにパスワードを書いていない
→◯ (聞き取りに加え、実際にデスク周りをチェックすれば確認ができる)
11.不審な電子メールの添付ファイルを開いていない
→X (聞き取りで開いていないといっても、実際はどうかを確認する手段がない)
12.緊急時の連絡先を知っている
→◯ (聞き取りをすれば把握できているかがわかる)
13.帰宅時に機密情報を施錠保管している
→◯ (聞き取りに加え、室内の状況を確認すればできているかがわかる)
本文にもありますが、後半の題材となっている
CSA(Control Self-Assessment)は、
被監査部門が自ら行う監査です。
重要度が上がっているので、
メリットとデメリットは押さえておく必要がありそうです。
※本記事に記載している過去問はIPAの配布サイトより引用しています。一部表現を変えている場合があります。