サンプル問題 [科目B]問49
問49
A社は,放送会社や運輸会社向けに広告制作ビジネスを展開している。A社は,人事業務の効率化を図るべく,人事業務の委託を検討することにした。A社が委託する業務(以下,B業務という)を図1に示す。
委託先候補のC社は,B業務について,次のようにA社に提案した。 A社は,C社と業務委託契約を締結する前に,秘密保持契約を締結して,C社を訪問し,業務委託での情報セキュリティリスクの評価を実施した。その結果,図3の発見があった。注1) C社の情報システム部だけが複合機の初期設定を変更可能である。 そこで,A社では,初期設定の状態のままではA社にとって情報セキュリティリスクがあり,対策が必要であると評価した。
設問 対策が必要であるとA社が評価した情報セキュリティリスクはどれか。解答群のうち,最も適切なものを選べ。
- 採用予定者から郵送されてくる入社時の誓約書,前職の源泉徴収票などの書類をPDFファイルに変換し,ファイルサーバに格納する。
(省略)
- B業務だけに従事する専任の従業員を割り当てる。
- B業務では,図2の複合機のスキャン機能を使用する。
- スキャン機能を使用する際は,従業員ごとに付与した利用者IDとパスワードをパネルに入力する。
- スキャンしたデータをPDFファイルに変換する。
- PDFファイルを従業員ごとに異なる鍵で暗号化して,電子メールに添付する。
- スキャンを実行した本人宛てに電子メールを送信する。
- PDFファイルが大きい場合は,PDFファイルを添付する代わりに,自社の社内ネットワーク上に設置したサーバ(以下,Bサーバという)に自動的に保存し,保存先のURLを電子メールの本文に記載して送信する。
- 複合機のスキャン機能では,電子メールの差出人アドレス,件名,本文及び添付ファイル名を初期設定1)の状態で使用しており,誰がスキャンを実行しても同じである。
- 複合機のスキャン機能の初期設定情報はベンダーのWebサイトで公開されており,誰でも閲覧できる。
設問 対策が必要であるとA社が評価した情報セキュリティリスクはどれか。解答群のうち,最も適切なものを選べ。
- B業務に従事する従業員が,B業務に従事する他の従業員になりすまして複合機のスキャン機能を使用し,PDFファイルを取得して不正に持ち出す。その結果,A社の採用予定者の個人情報が漏えいする。
- B業務に従事する従業員が,攻撃者からの電子メールを複合機からのものと信じて本文中にあるURLをクリックし,攻撃者が用意したWebサイトにアクセスしてマルウェア感染する。その結果,A社の採用予定者の個人情報が漏えいする。
- 攻撃者が,複合機から送信される電子メールを盗聴し,添付ファイルを暗号化して身代金を要求する。その結果,A社が復号鍵を受け取るために多額の身代金を支払うことになる。
- 攻撃者が,複合機から送信される電子メールを盗聴し,本文に記載されているURLをSNSに公開する。その結果,A社の採用予定者の個人情報が漏えいする。
分類
情報セキュリティマネジメントの運用・継続的改善 » 業務の外部委託における情報セキュリティ
正解
イ
解説
一見どの選択肢も正解に当てはまりそうですが、問題文中の情報セキュリティリスクの評価で発見された「図3 発見事項」に注目することで必要な対策を絞り込むことができます。解答時のポイントとして問題文の状況設定から設問に素直に解答することが大切です。筋の通らない自論を主張する必要はありません。
- 誤り。複合機のスキャン機能を利用するには、従業員ごとに利用者IDとパスワードを入力する必要があるので、別の従業員がなりすまして不正利用するリスクは低くなっています。
- 正しい。B社複合機のスキャン機能は、差出人、件名、本文、添付ファイル名が初期設定で使用されており、その初期設定の情報はインターネット上で誰でも入手できるようになっています。これを悪用した攻撃者が、B社従業員に対して複合機からのメールを装った攻撃メールを送り、B社従業員が誤認してメール中のURLをクリックすることでマルウェア感染等の被害を受けるリスクがあります。マルウェアが外部に情報を送信することで、A社の採用予定者の個人情報が漏えいしてしまいます。
- 誤り。脆弱性のあるコンピュータを勝手に暗号化してアクセスできないようし、解除するための金銭を要求するマルウェアをランサムウェアと言います。ランサム(Ransom)は身代金の意味です。
もしメールが通信経路上で盗聴され、添付ファイルが再暗号化された状態で宛先に届いたとしても、複合機から再送信すればよいだけの話なので、復号のために金銭を支払うことはありません。また、暗号化するのはPCやサーバ単位、最近ではシステム丸ごとといった規模で、電子メールの添付ファイルのみ暗号化することは通常ありません。 - 誤り。スキャンしたPDFファイルが保存されているのは、B社の社内ネットワークに設置しているサーバ内です。社内サーバに外部からアクセスできるような脆弱性は提示されていないので、メール内のURLが漏えいしてもPDFファイルにアクセスされるリスクはありません。