情報セキュリティマネジメント試験のH30年秋午後問題について書いていきます。
問1:ECサイトの情報セキュリティの改善
設問3-1:インシデントに対する組織的対策と技術的対策
IB(インターネットバンキング専用)のPCのマルウェア対策を選ぶ問題。
(i)IB専用PCでは,メール利用を禁止する。
→◯振込が実行されたメールはあらかじめ登録されたメールアドレスに送られるため、IB専用PCではメールを禁止にしても問題ありません。
(ii)IB専用PCのOSにログインするには,経理担当者専用の共有アカウントを使う。
→X マルウェアの感染とは関係ない項目です。
(iii)IB専用PCは,社内ネットワークには接続せず,インターネットに直接接続する。
→X インターネットへの直接接続は危険です。
(vi)IB専用PCから社内のファイルサーバへのアクセスは,企画管理部の共有フォルダへのアクセスだけを許可する。
→◯必要な権限のみに絞るべきです。
(v)IB専用PCでは,使用していないUSBポートを物理的に閉鎖する。
→◯USBポートを防ぐことで、マルウェアに感染した外部記録媒体からのマルウェア感染を防ぐことができます。
(vi)プロキシで,社外サイトへのアクセスはOSアップデートとマルウェア定義ファイルのアップデートだけを許可するように設定する。
→X インターネットバンキングへアクセスができなくなってしまいます。
設問5-3:不正なメールへの対策
送信元を偽装したメールへの対策を選ぶ問題。
→X 送信元の偽装とは関係ない。
→X 送信元の偽装とは関係ない。
POP Before SMTP(POP Before SMTP) | セコムトラストシステムズのBCP(事業継続計画)用語辞典
→◯メールの暗号化と送信者の身元証明をする技術。
S/MIMEとは?メールへの電子署名と暗号化の仕組み|GMOグローバルサイン【公式】
→X 送信元の偽装とは関係ない。
オSPF(Sender Policy Framework)
→X 正規のサーバから送られたかを検証する技術。悪意を持った第三者がドメインを正規に取得している場合は機能しない。
カパスワード付きZIPファイル
→X 送信元の偽装とは関係ない。
設問5-4:不正なメールへの暫定対応策
S/MIMEを導入してもらうには時間がかかるので、その間にすぐできる対策を問う問題です。
e1の選択肢は以下の3つです。
・受信メールの差出人メールアドレスと文面を慎重にチェックする
→X 1件1件チェックするのは現実的ではない
・メールの内容について電話をかけて確認する
→◯数は限られており、かつ確実
・メールをサーバに保存する
→X 保存しても対策にはならない
「・メールの内容について電話をかけて確認する」
を選ぶと、自然とe2の選択肢は以下2つに絞られます。
・振込に関する詐欺事例と振込時の注意事項を経理担当者に教育する
→◯
・メールには必ず差出人の電話番号を記載してもらう
→偽のメールと共にに偽の番号を書いた場合、誤った連絡先に情報を確認してしまう可能性がある
よって、この2つの組み合わせであるウが答えになります。
問2:リスク対応策の検討
設問1-2:退職時の署名について
自社の点検をした時に見つかった退職時の
署名の不備について最も適切なものを選ぶ問題。
ア退職時誓約書に,秘密を開示した際にA社が損害賠償を請求するという条項が含まれていない。
イ退職時誓約書に,不正競争防止法に関する説明が含まれていない。
ウ退職時誓約書に,有効とは思えないような競業避止条項が含まれている。
エ退職者から退職時誓約書への署名を拒否されることがあった。
オ退職者に署名後の退職時誓約書を渡していない。
→正解はオなのですが、正直、
この選択肢だけだと、どれも正解に見えます。。。
問題文を見ると、最初の方に
「従業員の退職時には,雇用期間中に知り得た秘密を守るという誓約書(以下,退職時誓約書という)への署名を依頼することになっている。」
と書いてあり、誓約書を回収するとまでは書いていないため、
同意してもらえない可能性があります。
【退職時の契約書】サインは義務?会社から求められても拒否することは可能? | JobQ[ジョブキュー]
まだ問題となっている文章の周辺を見ると、
「その際のP氏からの助言は,
従業員の入社時に締結する秘密保持契約書に、
退職後も一定期間は秘密を守るという条項を追加するのがよいというものであった。」
とあり、
今ある問題のために、
入社時の誓約書に、
退職後の対応を追加する
ことがわかります。
よって、そもそも内容云々ではなく
オ退職者に署名後の退職時誓約書を渡していない。
が正解となります。
設問1-6:バックアップの対応
ファイルサーバとそのデータのバックアップに関する4つのリスクに対して、その対策を選ぶ問題です。
ア.一時的に構築した情報システムに,バックアップテープの全ファイルをリストアし,ファイル比較ツールを使用してファイルサーバのバックアップ対象ファイルと比較し,ファイルが減っていないことを確認する。
→◯「f.必要なデータのバックアップが取得されないリスク」の対策になります。
イ.現在のバックアップに加え,日次で増分バックアップを行い,増分バックアップを6世代分取得し,世代ごとに別のバックアップテープに保存する。
→◯「c.ファイルサーバ上のデータを誤操作で消したり、ランサムウェアによって暗号化されたりした結果、データを利用できなくなるリスク」の対策なります。現在は週に1回バックアップをとる、という設定なので、週の途中でバックアップデータが必要になった場合、前回のバックアップ取得後のデータは失われます。そのため日次でバックアップを行うことが必要です。
ウ.テープバックアップ装置を,より高速な製品に交換する。
→X 高速にするのはバックアップの失敗への対策にはならない。
エ.バックアップ先の媒体をバックアップテープからハードディスクに変更する。
→X それぞれのメリットデメリットがあります。
バックアップの失敗への対策にはならない。
磁気テープをバックアップストレージとして利用するメリットは?|ITトレンド
オ.バックアップ中にエラーが発生したら電子メールでシステム管理者に通知するツールを導入する。
→◯「e.バックアップの取得が失敗していることに気づかないリスク」の対策になります。
カ.バックアップテープをエラーの起きにくい信頼性の高い製品に変更する。
→X エラーが起きにくいだけではバックアップの失敗への対策にはならない。
キ.バックアップを2組み取得し,うち1組みを遠隔地に保管する。
→◯「d.ファイルサーバ周辺で火災が発生した時にデータを利用できなくなるリスク」の対策になります。
ク.ファイルサーバに対策ソフトを導入する。
→X マルウェアの感染を防ぐことはできるが、その他の要因でのバックアップの失敗への対策にはならない。
ケ.ファイルサーバのファイル一覧を出力した後,ファイルを全て消去し,バックアップテープのデータをファイルサーバにリストアして出力したファイル一覧と照合し,ファイルが減っていないことを確認する。
→X ファイルを削除した時にうまくバックアップが取られていなければファイルが消失します。
設問1-7:PCI DSSへの対応
A社は、PCI DSSの準拠が必要だが、自社が準拠できているかわからないので、費用が少額ですむ案を選ぶことにしました。それはどれかを問う問題です。
ア.A社ECサイトに対してASV(認定スキャニングベンダ)による脆弱性スキャンを実施し,発見された全ての脆弱性に対応する
→X 脆弱性への対応を行うだけではPCI DSSは満たせません。
イ.A社ECサイトの決済機能を変更することによって,クレジットカード情報の非保持化を実現する
→◯PCI DSSでカード情報を持つ事業者にはPCI DSSの準拠か、カード情報の非保持化が求められています。
ウ.A社ECサイトのシステム運用業務を外部業者に委託する
→X 外部業者に全てを委託するのは多額の費用がかかります。
A社ECサイトのペネトレーションテストを外部業者に委託し,指摘された内容を全て修正する
→X ペネとレーションテストの結果への対応を行うだけではPCI DSSは満たせません。
エ.ISO/IEC 27001:2013又はJIS Q 27001:2014認証,及びISO/IEC 27017:2015に基づく認証を取得している組織のクラウドサービスを利用してA社ECサイトを再構築する→X 再構築は、多額の費用がかかります。
オ.クレジットカードの取扱いをやめることによって,クレジットカード情報漏えいのリスクを回避する→X A社のビジネスは全てECで行なっているため、ビジネスができなくなります。
問3:標的型メール攻撃への対応訓練
設問1:標的型メール攻撃の訓練を実施する理由
標的型メール攻撃の訓練を実施する理由を選択肢から全て選びます。
i.X社を不審メールの宛先にされないようにすること
→X 標的型メール攻撃訓練をしても宛先になってしまうことはあります。
ii.会員が不審メールを受信した場合に備えて,問合せ窓口を設置すること
→X 対象者は自社の営業部員であり、X社のサービスを使う会員は対象ではありません。
iii.会員に不審メールが送信されないようにすること
→X 対象者は自社の営業部員であり、X社のサービスを使う会員は対象ではありません。
iv.会員に不審メールを見分けるポイントを周知すること
→X 一見良さそうに見える...が、対象者は自社の営業部員であり、X社のサービスを使う会員は対象ではありません。
v.問合せ対応者が不審メール対応手順に従って対応できるようにすること
→◯問い合わせ担当者も正しく対応できるように訓練する必要があります。
vi.不審メール受信者が不審メールの差出人を特定できるようにすること
→X 差出人の特定を行うことは困難であり、訓練の目的ではありません。
vii.不審メール受信者が不審メールを見分けられるようにすること
→◯
viii.不審メール受信者が不審メール対応手順に従って対応できるようにすること
→◯
設問2-2:標的型メール攻撃の内容
実在する外部の組織の名前を使って標的型メール攻撃を行った場合の
リスクを選ぶ問題。
ア.会員から当該組織名を使用したことによって,名誉段損で訴えられたり
→X 会員は今回の訓練の対象外です。
イ.会員が当該組織に問い合わせることによって,当該組織からクレームを受けたり
→X 会員は今回の訓練の対象外です。
ウ.訓練対象者が注意喚起のためにインターネット上のSNSに訓練メールの内容を投稿することによって,当該組織の風評被害につながったり
→◯可能性としてありえます。
エ.訓練対象者が添付ファイルの内容についての確認に追われることによって,日常の業務が遅延したり
→X 送られるのは「文字化けしたテキスト」とあるので不審であることには気づきます
オ.訓練対象者が問合せ対応者に連絡することによって,メールを送ったかどうかを問合せ対応者が当該組織に確認するのに追われたり
→X 問い合わせ対応者は情報システム室所属とあるので、今回訓練が行われることは知っています。
カ.訓練対象者が問合せ対応者の指示によってX-PCをマルウェア対策ソフトでフルスキャンすることになったり
→X 問い合わせ対応者は訓練が行われることは知っているので、指示は出しません。
キ.訓練対象者が当該組織に問い合わせることによって,当該組織からクレームを受けたり
→◯可能性としてありえます。
設問4-2:マルウェア検査サイトのリスク
マルウェア検査サイトに仮に会員からの情報を含む添付ファイルをアップロードしていると何が起きるかを問う問題。
(i)会員の個人情報が有料サービスの利用者に漏えいする。
→◯有料サービスは他人のアップロードしたファイルを見ることができるので可能性としてありえます。
(ii)会員のメールアドレス宛てにフィッシングメールが送られる。
→◯最初の方に、
「会員から電子メールに添付されて送られてきた連絡先の電話番号及びメールアドレスを含む履歴書や職務経歴書など」とあり、
ファイルの中には会員のメールアドレスが含まれることがわかります。
よって、第三者にファイルの中身を見られた場合には
フィッシングメールが送られる可能性があります。
(iii)外部メールサーバによって,X社ドメイン宛てのメールが拒否される。
→X 今回は関係ありません。
(vi)無料のサービスを利用した訓練対象者の個人情報が漏えいする。
→X 訓練対象者の個人情報は入力しなくてもこのサービスは使えます。
図解
問1
※本記事に記載している過去問はIPAの配布サイトより引用しています。一部表現を変えている場合があります。