情報セキュリティマネジメント過去問題 平成30年秋期 午後問1

問1 

インターネットを利用した振込業務の情報セキュリティリスクに関する次の記述を読んで,設問1〜5に答えよ。

 F社は,従業員数70名の商社であり,主にインテリアやギフト用品の仕入れ,販売を行っている。F社には,総務部,企画管理部,商品部,営業部がある。
 F社では,3年前に最高情報セキュリティ責任者(CISO)を委員長とする情報セキュリティ委員会を設置し,情報セキュリティポリシ及び情報セキュリティ関連規程を整備した。CISOは社長が兼務しており,情報セキュリティ委員会の事務局は,総務部が担当している。また,各部の部長は,情報セキュリティ委員会の委員,及び自部における情報セキュリティ責任者を務めている。各情報セキュリティ責任者は,自部の情報セキュリティを確保,維持及び改善する役割を担っており,さらに自部の情報セキュリティに関わる実務を担当する情報セキュリティリーダを選任している。F社の企画管理部には,経営企画課及び経理課がある。経営企画課のS主任は,企画管理部全体の情報セキュリティリーダである。

〔インターネットバンキングサービスの利用〕
 F社は,C銀行に口座をもち,C銀行が提供する法人向けインターネットバンキングサービス(以下,IBサービスという)を次の目的で利用している。
  • 自社の口座の残高及び入出金明細の照会
  • 取引先への商品代金の振込,運送業者への輸送費の振込,従業員への給与振込など
 F社でIBサービスを利用しているのは,経理課のL課長,M主任及びNさんの3名(以下,経理担当者という)である。振込に関する取引先との電子メール(以下,電子メールをメールという)連絡などは各自の会社貸与のPCで行い,IBサービスの利用はIBサービス専用のPC(以下,IB専用PCという)1台で,行っている。
 IBサービスにおける情報セキュリティに関する仕様を図1に示す。
 F社では,経理担当者それぞれに,IBサービスの利用者ID及びパスワードが発行され,トークンが提供されている。ICカードは1枚を3人で共用している。

〔F社における標準的な振込手続〕
 F社では,自社のサーバで稼働している会計システム(以下,F社会計システムという)の取引先口座マスタの登録,変更,削除の操作はM主任が担当している。取引先口座マスタには,取引先の口座情報(金融機関名,支店名,口座種別,口座番号,口座名義人など)が登録されている。F社における標準的な振込手続を図2に示す。
〔F社におけるIBサービス利用時の情報セキュリティリスク及びその対策〕
 F社では,IBサービス利用時の情報セキュリティリスクを想定し,表1に示す対策を実施している。

〔B社からの問合せ〕
 10月2日の朝,取引先であるB社の営業担当者から,先月末までに入金予定の商品代金800万円がまだ入金されていないとの電話が入った。応対したL課長は,折返しの返答を約束して電話を切り,NさんにF社会計システムの記録を確認させたところ,当該代金は振込済であることが分かった。あいにくM主任は外出しており不在だったので,L課長は,Nさんに振込の詳細を確認した。次は,NさんとL課長との会話である。

Nさん:
IBサービスの履歴も確認しましたが,先月28日に振り込んでいます。
L課長:
振込先誤りの可能性はありませんか。
Nさん:
振込先は振込依頼書どおりでしたが,8月まで利用していたB社の口座とは違っていました。振込時はL課長が出張中だったので,振込依頼書の承認は受けずに振込の承認依頼を実行するようM主任から直接指示を受けました。Bサービスで私が振込の承認依頼を実行した後,M主任がそのまま承認しています。
L課長:
M主任に経緯を確認しましょうIB専用PCのマルウェア感染も心配です。③振込の操作画面上は正しく操作しているように見えても,銀行との間で送受信される振込先口座情報をマルウェアが書き換えていたという報道記事を以前読んだことがあります。


 夕方,M主任が外出先から戻ると,L課長は,B社から受けた問合せと,振込の詳細について確認した内容を伝えた。
 M主任にも,B社に入金されていない理由は分からなかった。M主任によれば,先月末,B社の経理部長との間で請求書の発行時期や振込期眼などについてメールでやり取りをしており,口座変更の連絡と改訂された請求書を受信し,了解の旨を返信した後,お礼を受信してメールのやり取りを終えていた。
 M主任が口座変更の根拠として保管していたB社の経理部長からのメールを図3に示す。
 B社の経理部長からのメールに表示されていたメールアドレスを表2に示す。
 早速,M主任からB社の経理部長に確認したところ,B社は口座を変更しておらず,変更を伝えるメールは送っていないということだった。F社から第三者の口座に商品代金を振り込んだことが分かったので,F社は,振込先の銀行に連絡し,事実関係を整理して警察に被害屈を提出した。

〔手口と対策〕
 後日,警察から,9月末にB社を退職した元従業員を被疑者として逮捕し,犯行手口に関する供述を得たとの連絡があった。被疑者の指定した口座に振り込ませるよう,偽メールを送信したとのことであった。被疑者は8月にB社の経理部長の手帳からメール受信のためのパスワードを盗み見て以来,職場の自分のPCで経理部長のメールを不正に閲覧していた。④B社の情報システム部が自社のログ収集システムに保管していたログからこのことが分かり,被疑者特定の手掛かりになった。
 なお,被疑者は,cメールを送っていた。
 L課長は,今回の出来事を教訓としてF社で改善すべき点がないか,情報セキュリティリーダであるS主任と話し合った。そのときの会話を次に示す。

L課長:
今後,我が社が偽メールにだまされないための対策はありますか。
S主任:
第三者によるメールの不正な閲覧への対策にもなるので,できれば取引先にdを使ってもらいたいと思いますが,同意を得て準備する手間も掛かります。偽メールにだまされないための対策のうち確実であり,かつ,すぐできるものとして,振込に関わるメールのやり取りの際は,e1のがよいと考えます。そのためには,e2ことも必要です。
L課長:
我が社の取引先口座マスタの変更手続と,標準的な振込手続には問題はありませんか。
S主任:
振込依頼情報の作成前に,M主任が自分一人の判断で取引先口座マスタ中のB社の口座情報を変更できたという問題があります。対策として,f1ことを進めます。振込依頼書の承認が省略できたという問題については,f2ことを進めます。これによって,振込依頼書の書類を廃止でき,操作結果が社内システムに自動的に記録できるようにもなります。
 S主任は,これらの対策を情報セキュリティ委員会に提案し,対策を実施した。

設問1

図1中の下線①について,C銀行が,利用者にディジタル証明書と秘密鍵をIBサービスを利用するPC内のハードディスクに格納させるのではなく,ICカードに格納して提供する目的はどれか。解答群のうち,最も適切なものを選べ。
解答群
  • IBサービスを利用するPCのマルウェア感染による秘密鍵の漏えいリスクを低減するため
  • ディジタル証明書の更新を不要にするため
  • 複数枚のディジタル証明書を格納できるようにするため
  • 利用者が,IBサービスの利用者IDとパスワードを知らなくても,ICカードでIBサービスにログインできるようにするため
  • 利用者が,IBサービスを利用するPCを,複数人で共用できるようにするため

解答選択欄

  •  

解答

  •  

解説

この設問の解説はまだありません。

設問2

図2中の下線②について,この段階でM主任が内部不正を働くおそれに対して,内部不正を思いとどまらせるために有効な牽(けん)制手段はどれか。解答群のうち,最も適切なものを選べ。
解答群
  • IB専用PCを共用キャビネットに施錠保管し,必要なときだけ取り出して使うルールとする。
  • L課長が,IBサービスの履歴と振込依頼書を突き合わせて点検し,差があればM主任に理由を聞くルールとする。
  • 承認の操作の際,急がない修正は,修正して承認を実行する機能を利用せず,差し戻すルールとする。
  • トークンを共用キャビネットに施錠保管し,使うときだけ貸し出すルールとする。Nさんが共用キャビネットの鍵を管理して貸出記録をつける。
  • 振込先の口座情報はIBサービス画面で手入力せず,"振込依頼データ"をIBサービスにアップロードするルールとする。

解答選択欄

  •  

解答

  •  

解説

この設問の解説はまだありません。

設問3

〔F社におけるIBサービス利用時の情報セキュリティリスク及びその対策〕について,(1),(2)に答えよ。
(1) 表1中のa1a3に入れる,次の(@)〜(E)の組合せはどれか。aに関する解答群のうち,最も適切なものを選べ。
  1. IB専用PCでは,メール利用を禁止する。
  2. IB専用PCのOSにログインするには,経理担当者専用の共有アカウントを使う。
  3. IB専用PCは,社内ネットワークには接続せず,インターネットに直接接続する。
  4. IB専用PCから社内のファイルサーバへのアクセスは,企画管理部の共有フォルダへのアクセスだけを許可する。
  5. IB専用PCでは,使用していないUSBポートを物理的に閉鎖する。
  6. プロキシで,社外サイトへのアクセスはOSアップデートとマルウェア定義ファイルのアップデートだけを許可するように設定する。
a に関する解答群
pm01_6.gif/image-size:382×302

解答選択欄

  • a:

解答

  • a=

解説

この設問の解説はまだありません。
(2) 表1中のb1b3に入れる,次の(@)〜(E)の組合せはどれか。bに関する解答群のうち,最も適切なものを選べ。
  1. 経理担当者以外の者による,IBサービスへの不正なログイン操作
  2. 経理担当者が操作を誤ることによる,振込金額や振込先の誤り
  3. 経理担当者がフィッシングサイトに誘導されることによる,パスワード及びICカード中の秘密鍵の盗難
  4. 経理担当者による,自身の利用者IDを使った不正な振込の承認
  5. 経理担当者の他の経理担当者へのなりすましによる,IBサービスへの不正なログイン操作
  6. 経理担当者の他の経理担当者へのなりすましによる,又は経理担当者以外の者による,不正な振込の操作
b に関する解答群
pm01_7.gif/image-size:381×302

解答選択欄

  • b:

解答

  • b=

解説

この設問の解説はまだありません。

設問4

〔B社からの問合せ〕について,(1),(2)に答えよ。
(1) 本文中の下線③について,このようなサイバー攻撃手法の名称を,解答群の中から選べ。
解答群
  • CSRF
  • DDoS
  • MITB
  • クリックジャッキング
  • クロスサイトスクリプティング
  • フィッシング

解答選択欄

  •  

解答

  •  

解説

この設問の解説はまだありません。
(2) 本文中の下線③について,このようなサイバー攻撃手法への対策として,図1に示す情報セキュリティに関する仕様のうち,最も有効なものを解答群の中から選べ。
解答群
  • (a)
  • (b)
  • (c)
  • (d)
  • (e)
  • (f)
  • (g)
  • (h)

解答選択欄

  •  

解答

  •  

解説

この設問の解説はまだありません。

設問5

〔手口と対策〕について,(1)〜(5)に答えよ。
(1) 本文中の下線④について,被疑者を特定するために最も有効だったと考えられるものを,解答群の中から選べ。
解答群
  • B社の経理部長が使っているPCで記録されたメール送受信ログ
  • B社のメールサーバで記録されたメールクライアントソフトからの大量のログイン失敗ログ
  • B社のメールサーバで記録されたメールクライアントソフトからのメール受信要求ログ
  • B社のメールサーバで記録されたメールクライアントソフトからのメール送信ログ
  • 被疑者が自宅で使っていた個人所有のPCで記録された操作ログ

解答選択欄

  •  

解答

  •  

解説

この設問の解説はまだありません。
(2) 本文中のcに入れる字句はどれか。解答群のうち,最も適切なものを選べ。
c に関する解答群
  • B社から貸与されたPCを使い,B社の経理部長のアカウントを盗用して
  • B社から貸与されたPCを使い,メールクライアントソフトの設定で差出人メールアドレスをB社のドメイン名とよく似た実在しないドメイン名に詐称して
  • B社の経理部長が席を外した隙に,B社の経理部長が使っているPCのメールクライアントソフトを使って
  • B社のドメイン名とよく似たドメイン名を取得し,個人所有のPCでメールサーバを立ち上げて

解答選択欄

  • c:

解答

  • c=

解説

この設問の解説はまだありません。
(3) 本文中のdに入れる字句はどれか。解答群のうち,最も適切なものを選べ。
d に関する解答群
  • HTTP over TLS利用のWebメール
  • POP before SMTP
  • S/MIMEによるディジタル署名付き暗号メール
  • SMTP-AUTH
  • SPF(Sender Policy Framework)
  • パスワード付きZIPファイル

解答選択欄

  • d:

解答

  • d=

解説

この設問の解説はまだありません。
(4) 本文中のe1e2に入れる字句の組合せはどれか。eに関する解答群のうち,最も適切なものを選べ。
e に関する解答群
pm01_8.gif/image-size:500×304

解答選択欄

  • e:

解答

  • e=

解説

この設問の解説はまだありません。
(5) 本文中のf1f2に入れる,次の(@)〜(E)の組合せはどれか。fに関する解答群のうち,最も適切なものを選べ。
  1. F社会計システムから共有フォルダに出力した後の振込依頼データはL課長がディジタル署名を付与してから保管する
  2. F社会計システムの取引先口座マスタの登録及び変更のワークフローシステムを導入し,その申請権限と承認権限を分離する
  3. IBサービスでの振込(承認)の承認者を,振込依頼書の承認者と同一人物にする
  4. IBサービスでの振込の承認を実行する時に,もう一度,取引先の口座情報の変更の証憑と突き合わせて確認する
  5. 取引先口座マスタを登録,変更するときに取引先から入手すべき証憑の種類をマニュアルに明記する
  6. 振込依頼情報を申請するワークフローシステムをF社会計システムに導入し,かつ,振込依頼情報の申請権限と承認権限を分離する
f に関する解答群
pm01_9.gif/image-size:267×275

解答選択欄

  • f:

解答

  • f=

解説

この設問の解説はまだありません。
© 2015-2018 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop