平成31年春期試験午後問題 問1

問1 情報セキュリティ

サイバー攻撃を想定した演習に関する次の記述を読んで,設問1~4に答えよ。

 W社は,自動車電装部品,ガス計測部品及びソーラシステム部品を製造する従業員数1,000名の企業である。経営企画部,人事総務部,情報システム部,調達購買部などのコストセンタ並びに自動車電装部,ガス計測部,及び昨年新規事業として立ち上げられたソーラシステム部の三つのプロフィットセンタから構成されている。ソーラシステム部は現在30名の組織であるが,事業を拡大させるために,毎月,3~4名の従業員を採用しており,組織が拡大している。
 W社では,7年前に最高情報セキュリティ責任者(CISO)を委員長とする情報セキュリティ委員会を設置し,情報セキュリティポリシー及び情報セキュリティ関連規程を整備して,ISMS認証を全社で取得した。経営企画部が,情報セキュリティ委員会の事務局を担当している。また,各部の部長が,情報セキュリティ委員会の委員,及び自部における情報セキュリティ責任者を務めている。各情報セキュリティ責任者は,自部の情報セキュリティに関わる実務を担当する情報セキュリティリーダーを選任している。
 W社は年に1回,人事総務部が主管となり,大規模な震災などを想定した事業継続計画の演習を実施している。サイバー攻撃を想定した演習は実施したことがないものの,サイバー攻撃などの情報セキュリティインシデント(以下,インシデントという)の対応手順はあり,これまで,事業に深刻な影響を与えるようなサイバー攻撃は受けていない。

〔ソーラシステム部の状況〕
 ソーラシステム部では,省エネルギーを推進しており,部で使用する全てのPCには,消費電力の少ないノートPC(以下,NPCという)を選定している。省エネルギー対策の一つとして,全てのNPCは,カバーを閉じると自動的にスリープモードに切り替わるように設定されている。また,情報セキュリティ対策の一つとして,全てのNPCでは,USBストレージなどの外部記憶媒体を使用できないように技術的対策を講じている。
 ソーラシステム部の情報セキュリティ責任者はE部長で,情報セキュリティリーダーはFさんである。Fさんは,最近,競合他社がサイバー攻撃を受け,その対応に手間取って大きな被害が発生したとのニュースを聞いた。そこで,Fさんは,ソーラシステム部内でサイバー攻撃を想定した演習を行うことを提案した。E部長は提案を承認し,Fさんに演習を計画するように指示した。

〔演習の計画〕
 サイバー攻撃を想定した演習は,年1回行うことにした。演習は,一般的に表1に示すような机上演習と機能演習の2種類に大別される。機能演習の具体的な形式には,実際のサイバー攻撃に近い形で疑似的なサイバー攻撃を行うaが含まれる。
pm01_1.png
 Fさんは,机上演習と機能演習を比較検討した結果,今回は,参加者に気付きを与えられる机上演習として,ワークショップを実施することにした。演習終了後には,参加者からの意見を集めて次回の演習に反映することにした。
 Fさんは,机上演習のシナリオを検討するに当たり,サイバーキルチェーンを参考にすることにした。サイバーキルチェーンとは,サイバー攻撃の段階を説明した代表的なモデルの一つである。サイバー攻撃を7段階に区分して,攻撃者の考え方や行動を理解することを目的としている。サイバーキルチェーンのいずれかの段階でチェーンを断ち切ることができれば,被害の発生を防ぐことができる。サイバー攻撃のシナリオをサイバーキルチェーンに基づいて整理した例を表2に示す。
pm01_2.png
 Fさんは,次の二つの演習のシナリオを取り上げることにした。
シナリオ1
標的型メール攻撃のシナリオである。W社の取引先をかたった者から,W社の公開Webサイトが停止しておりアクセスできない旨の報告をメールで受信した。メールの本文には,W社の公開Webサイトを模した偽サイトのURLが記載されている。この場合の対応を行う。
シナリオ2
標的型メール攻撃を受けた結果,マルウェア感染したというシナリオである。従業員のNPCのマルウェア対策ソフトからアラートが画面に表示された。アラートは,マルウェア感染らしき異常が認められたというものである。この場合の対応を行う。
 シナリオ1は,表2の"b1"の段階での対応であり,シナリオ2は,表2の"b2"の段階での対応である。

〔演習の実施〕
 演習にはソーラシステム部の全メンバーが参加した。Fさんは,メンバーを会議室に招集し,参加者を三つのグループに分けて,ワークショップを実施した。ワークショップでは,Fさんは,ファシリテータとして,参加者に対して二つのシナリオを提示した。参加者はグループごとに,W社のインシデント対応手順に従って取るべきアクションを議論し,発表した。W社のインシデント対応手順は,図1のとおりである。
pm01_3.png
 各グループのワークショップの発表結果は,表3のとおりである。
pm01_4.png
 Fさんは,シナリオ1及びシナリオ2について,適切な対応方法を参加者に解説した。その中で,参加者から,なぜ,通常のOS終了処理ではいけないのかと質問を受けたので,③その理由について説明した。また,演習後に,参加者にアンケートを実施した。
 こうして,Fさんは,無事にワークショップを終えた。

〔演習結果の振り返り〕
 Fさんが演習中に参加者から受けた質問とFさんの回答は表4のとおりであった。
pm01_5.png
〔演習結果の報告〕
 Fさんは,演習結果,参加者からの質問及び意見,インシデント対応手順の改善案並びに次回の演習に向けての改善案をまとめ,E部長に報告した。また,Fさんは,④ソーラシステム部の組織の状況などを考慮すると,年1回の演習だけでは十分とはいえないと考えて,演習の頻度を上げることをE部長に提案した。E部長は,Fさんからの提案を受け,演習結果とあわせて提案内容を情報セキュリティ委員会に提出した。
 情報セキュリティ委員会は,E部長からの提案を受けて,全社としても,サイバー攻撃を想定した演習を実施することにした。
 その後,ソーラシステム部は,大きなインシデントの被害もなく順調に事業を拡大し,W社全体としても,更なる情報セキュリティの強化を図ることができた。

設問1

〔演習の計画〕について,(1)~(3)に答えよ。
(1) 本文中及び表1中のaに入れる具体的な形式はどれか。解答群のうち,最も適切なものを選べ。
a に関する解答群
  • 広域災害対策演習
  • 情報セキュリティ監査
  • パンデミック対策演習
  • 脆弱性診断
  • ビジネスインパクト分析
  • ファジングテスト
  • ホワイトボックステスト
  • マルウェア解析
  • レッドチーム演習
解答選択欄
  • a:
  • a=

解説

aについて〕
レッドチーム演習は、演習参加者が仮の攻撃チームとなり、実際の組織やシステムに対して、攻撃者が用いる手法やツールを使って疑似的な攻撃を試みることで、脆弱性の有無やセキュリティ対策の実効性を確認するものです。「レッドチーム」には攻撃側という意味があります。
本問のように自組織内で実施するほか、レッドチーム演習サービスを提供する外部の事業者に依頼することもできます。

aについて、「実際のサイバー攻撃に近い形で疑似的なサイバー攻撃を行う」と説明されているため、レッドチーム演習が適切です。

a=コ:レッドチーム演習

その他の用語の意味については次の通りです。
広域災害対策演習
地震などのように広域にわたる災害が発生した場合に備えた演習
情報セキュリティ監査
独立かつ専門的な立場から、組織体の情報セキュリティの状況を検証又は評価して、情報セキュリティの適切性を保証し、情報セキュリティの改善に役立つ的確な助言を与えるもの
パンデミック対策演習
特定の感染症が爆発的に流行した場合に備えた演習
脆弱性診断
システムやプログラムのセキュリティホールを発見・検出するために行われる
ビジネスインパクト分析
障害や災害によりシステムが停止した場合の事業への影響を評価する分析手法
ファジングテスト
検査対象のソフトウェア製品に「ファズ(英名:fuzz)」と呼ばれる問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視することで(未知の)脆弱性を検出する検査手法
ホワイトボックステスト
主にプログラムやモジュールの単体テストとして実施されるテスト手法で、内部構造に基づき仕様書どおりに動作するかを検証するために実施される
マルウェア解析
静的解析及び動的解析などの方法でマルウェアを分析し、セキュリティ対策に繋げること
リバースエンジニアリング
既存ソフトウェアの動作を解析するなどして、製品の構造を分析し、そこから製造方法や動作原理、設計図、ソースコードなどを調査する技法
(2) 表2中の下線①について,次の(ⅰ)~(ⅴ)のうち,該当する行為だけを全て挙げた組合せを,解答群の中から選べ。
  1. 攻撃者が,WHOISサイトから,W社の情報システム管理者名や連絡先などを入手する。
  2. 攻撃者が,W社の公開Webサイトから,HTMLソースのコメント行に残ったシステムのログイン情報などを探す。
  3. 攻撃者が,W社の役員が登録しているSNSサイトから,攻撃対象の人間関係や趣味などを推定する。
  4. 攻撃者が,一般的なWebブラウザからはアクセスできないダークWebから,W社のうわさ,内部情報などを探す。
  5. 攻撃者が,インターネットに公開されていないW社の社内ポータルサイトから,会社の組織図や従業員情報,メールアドレスなどを入手する。
解答群
  • (ⅰ),(ⅱ),(ⅲ)
  • (ⅰ),(ⅱ),(ⅲ),(ⅳ)
  • (ⅰ),(ⅱ),(ⅲ),(ⅴ)
  • (ⅰ),(ⅱ),(ⅳ)
  • (ⅰ),(ⅱ),(ⅳ),(ⅴ)
  • (ⅰ),(ⅲ),(ⅳ),(ⅴ)
  • (ⅰ),(ⅳ),(ⅴ)
  • (ⅱ),(ⅲ),(ⅳ),(ⅴ)
  • (ⅲ),(ⅳ),(ⅴ)
解答選択欄
  •  
  •  

解説

「偵察」の段階では、誰でも閲覧が可能なインターネット上の情報を用いて組織や人物を調査し、攻撃対象の組織や人物に関する情報を取得する段階です。
  1. 正しい。インターネット上の情報から攻撃に繋がる情報を収集しているため「偵察」に該当します。
  2. 正しい。公開Webサイト上の情報を集める行為も「偵察」に該当します。
  3. 正しい。SNS上で公開されている情報を集める行為も「偵察」に該当します。
  4. 正しい。ダークウェブから情報を集める行為も「偵察」に該当します。
  5. 誤り。インターネット上に公開されている情報ではないので誤りです。
    社内ポータルサイトは未公開であるため部外者はアクセスできません。もし、そこから情報収集するのであれば、それはW社システムへの侵入後となります。
したがって「(ⅰ),(ⅱ),(ⅲ),(ⅳ)」となる「イ」が正解です。
(3) 本文中のb1b2に入れる段階の組合せはどれか。bに関する解答群のうち,最も適切なものを選べ。
b に関する解答群
pm01_6.png
解答選択欄
  • b:
  • b=

解説

b1について〕
シナリオ1では、偽サイトのURLを記載した不審なメールを受信した場面での対応が演習対象となっています。これは、表2における「3 配送」の段階を想定したシナリオです。

b2について〕
シナリオ2では、標的型攻撃を受けた結果、従業員のNPCがマルウェアに感染した場面での対応が演習対象となっています。これは、表2における「5 インストール」の段階を想定したシナリオです。

したがって適切な組合せは「オ」です。

設問2

〔演習の実施〕について,(1)~(4)に答えよ。
(1) 図1中の下線②を表すものはどれか。解答群のうち,最も適切なものを選べ。
解答群
  • Webアプリケーションの脆弱性診断
  • 技術動向の監視
  • 従業員の情報セキュリティ教育や啓発
  • セキュリティ製品やソリューションの評価
  • セキュリティツールの開発
  • デジタルフォレンジックス
解答選択欄
  •  
  •  

解説

デジタルフォレンジックスは、情報セキュリティインシデントが発生した際に、原因究明や後の法的手続きに必要となるデータを収集・保全し、解析する一連の作業です。IPAが公表している「インシデント対応へのフォレンジック技法の統合に関するガイド」によれば、フォレンジックプロセスは、収集・検査・分析・報告の4つのフェーズから成ります。

下線②は「証拠保全した機器の調査」となっており、その前文で証拠保全した機器とは「インシデントに関係するコンピュータやデバイスなどの機器」と説明されています。これらを調査する活動はデジタルフォレンジックスに当たります。

∴カ:デジタルフォレンジックス
(2) 表3のシナリオ1の発表結果について,W社のインシデント対応手順に沿った対応であるか否かを示す組合せはどれか。解答群のうち,最も適切なものを選べ。ここで,"正"は手順に沿った対応であることを示し,"誤"は手順に沿った対応ではないことを示す。
解答群
pm01_7.png
解答選択欄
  •  
  •  

解説

W社のインシデント対応手順では、「1.検知」として次の手順を定めています。
  • インシデント又はインシデントのおそれを発見した場合は,直ちに自部の情報セキュリティリーダーに報告する。
不審メールを受信した際の各グループの対応が、この手順に沿っているか否かを判定することとなります。

[グループ1] 誤り
「標的型メール攻撃であるか否かを確認するため」ということは、受信したメールが標的型メール攻撃である可能性に気が付いているということです。インシデント対応手順では、インシデントのおそれを発見した時点で直ちに報告をしなければならないことになっていますが、これを守っていないため手順に沿った対応ではありません。


[グループ2] 正しい
URLをクリックせず、インシデントのおそれありと考えた時点でセキュリティリーダーに報告しているため、手順に沿った対応です。


[グループ3] 誤り
怪しいメールと判断したにもかかわらず、勝手にインシデントの恐れなしと考えて報告を怠っているため、手順に沿った対応ではありません。また、怪しいメールをごみ箱に捨ててしまう対応も手順に沿っていません。

したがって正しい組合せは「ウ」です。
(3) 表3のシナリオ2の発表結果について,W社のインシデント対応手順に沿った対応であるか否かを示す組合せはどれか。解答群のうち,最も適切なものを選べ。ここで,"正"は手順に沿った対応であることを示し,"誤"は手順に沿った対応ではないことを示す。
解答群
pm01_8.png
解答選択欄
  •  
  •  

解説

W社のインシデント対応手順では、「4.一時対応」として次の手順を定めています。
  • マルウェア感染が疑われる場合は、感染が疑われるNPCなどをネットワークから切り離すことを最優先に実施する。
  • ランサムウェア感染が疑われる場合は、上記の一時対応に加えて、電源の強制切断を実施する。
マルウェア感染らしき異常に気付いた各グループの対応が、この手順に沿っているか否かを判定することとなります。

[グループ1] 誤り
ファイルが勝手に暗号化されるような兆候が認められたということはランサムウェア感染が疑われます。ランサムウェア感染のときは電源の強制切断が求められます。インシデント対応手順の欄外"注"では電源の強制切断について「通常のOS終了処理やスリープモードへの切替えはせずに,機器側から電源ケーブルを抜くこと。NPCの場合は,電源ケーブルを抜いた上でバッテリを外すことも含む」と記載されています。
グループ1は、OS再起動した後にバッテリを外しているため、手順に沿った対応ではありません。


[グループ2] 正しい
電源ケーブルを抜き、カバーを開けたままバッテリを外しているので、手順に沿った対応です。

[グループ3] 誤り
W社のNPCはカバーを閉じると自動的にスリープモードに切り替わるようになっています。NPCを閉じたあとにバッテリを外すと、スリープモードに切り替わった後にバッテリを外すことになるため、手順に沿った対応ではありません。

したがって正しい組合せは「ウ」です。
(4) 本文中の下線③の理由について,次の(ⅰ)~(ⅴ)のうち,該当するものを二つ挙げた組合せを,解答群の中から選べ。
  1. 通常のOS終了処理を行うと,記憶媒体に異常が生じることがあるから
  2. 通常のOS終了処理を行うと,その間にもファイルが暗号化され,被害が拡大することがあるから
  3. 通常のOS終了処理を行うと,調査に必要な情報の一部が失われることがあるから
  4. 通常のOS終了処理を行うと,バッテリやマザーボードが故障することがあるから
  5. 通常のOS終了処理を行うと,メーカーのサポートを受けられなくなることがあるから
解答群
  • (ⅰ),(ⅱ)
  • (ⅰ),(ⅲ)
  • (ⅰ),(ⅳ)
  • (ⅰ),(ⅴ)
  • (ⅱ),(ⅲ)
  • (ⅱ),(ⅳ)
  • (ⅱ),(ⅴ)
  • (ⅲ),(ⅳ)
  • (ⅳ),(ⅴ)
解答選択欄
  •  
  •  

解説

  1. 誤り。通常のOS終了処理は安全に終了する方法です。強制切断した場合の方が、OSの破損やデータ損失などの記憶媒体の異常に繋がります。
  2. 正しい。OS終了処理にはある程度の時間が掛かり、ランサムウェアはその間にもファイルの暗号化を進めます。被害を最小限に抑えるためには強制切断が有効です。
  3. 正しい。OS終了処理により、一時ファイルやスワップファイルが削除されるなど多くの情報が変更されます。また、OS終了処理に呼応したマルウェアの動作により痕跡が消されてしまう可能性も考えられます。
    強制切断により正常なOS終了処理により失われる情報を保護できます。これらの情報はデジタルフォジックスに役立てられます。
  4. 誤り。通常のOS終了処理により、マザーボードやバッテリが故障することはありません。
  5. 誤り。通常のOS終了処理により、メーカーのサポートが受けられなくなくことはありません。
正しい組合せは「(ⅱ),(ⅲ)」なので「オ」が正解です。

設問3

〔演習結果の振り返り〕について,(1),(2)に答えよ。
(1) 表4中のc1c2に入れる,次の(ⅰ)~(ⅶ)の組合せはどれか。cに関する解答群のうち,最も適切なものを選べ。
  1. インシデント発生後に迅速な対応ができるように,社内にCSIRTを構築する。
  2. インターネット上の匿名掲示板などに社内情報を書き込まないように,従業員に対して情報セキュリティ教育を行う。
  3. 攻撃者に有用な情報を渡さないように,外部のセキュリティ専門業者に,SNSや匿名掲示板などの監視を依頼する。
  4. 攻撃者の偵察を検知するために,W社の社内Webサーバやプロキシサーバへのアクセス内容をログに記録する。
  5. 実行形式のファイルが添付されたメールを受信したら直ちに削除するように,従業員に対して情報セキュリティ教育を行う。
  6. 情報漏えいの被害を低減させるために,W社のファイルサーバのファイルを全て暗号化する。
  7. マルウェア感染の被害を低減させるために,W社の全てのNPCに対して,マルウェア対策ソフトのマルウェア定義ファイルを更新する。
c に関する解答群
pm01_9.png
解答選択欄
  • c:
  • c=

解説

cについて〕
"1 偵察"段階への対策を2つ選択します。偵察段階では、インターネット上の公開情報から情報収集を行うので、攻撃者にとって有用な情報をインターネット上に流さないような施策が適切となります。選択肢の中では(ⅱ)と(ⅲ)がこれに該当します。

したがって「ウ」が正解です。
(2) 表4中のd1d2に入れる,次の(ⅰ)~(ⅴ)の組合せはどれか。dに関する解答群のうち,最も適切なものを選べ。
  1. 偽サイトが閉鎖されるまでの間,W社の公開Webサイトを閉鎖する。
  2. 偽サイトにアクセスしないように,その存在と危険性について外部に公表する。
  3. 偽サイトにアクセスできないように,Webフィルタリングを設定する。
  4. 偽サイトを攻撃するように,外部のセキュリティ専門業者に依頼する。
  5. 偽サイトを閉鎖するように,偽サイトのIPアドレスの割当てを管理しているプロバイダに依頼する。
d に関する解答群
pm01_10.png
解答選択欄
  • d:
  • d=

解説

dについて〕
偽サイトが発見された場合に、取引先及び顧客が被害に遭わないようにする施策2つを選択します。
  1. 誤り。W社の公開サイトを閉鎖しても偽サイトへのアクセスを減らすことはできません。
  2. 正しい。情報を公開し、偽サイトの存在を周知することで被害に遭う可能性を減らせます。
  3. 誤り。Webフィルタリングは、W社の従業員が偽サイトにアクセスするのを防ぐ施策です。今回は、取引先と顧客が対象となっているので不適切です。
  4. 誤り。偽サイトだからといって攻撃を依頼するのは、正当防衛の域を超えており犯罪行為です。
  5. 正しい。証拠をもとにISPに削除要請すれば、送信を防止する措置その他の適切な措置等で偽サイトを閉鎖させることができます。
正しい組合せは「(ⅱ),(ⅴ)」なので「キ」が正解です。

設問4

本文中の下線④について,Fさんが考えた理由はどれか。解答群のうち,最も適切なものを選べ。
解答群
  • ISMS認証を取得しているから
  • オフィスの省エネルギーを推進しているから
  • 事業に深刻な影響を与えるようなサイバー攻撃を過去に受けたことがあるから
  • プロフィットセンタであるから
  • 毎月,3~4名の従業員を採用しているから
解答選択欄
  •  
  •  

解説

Fさんが年1回の演習では不足だと考えた理由を、ソーラシステム部の組織の状況に関連付けて考えます。

本文冒頭部には「ソーラシステム部は現在30名の組織ではあるが,事業を拡大するために,毎月,3~4名の従業員を採用しており」と説明されており、新しい従業員が継続して入社している状況にあるとわかります。年1回の演習だと、新入社員が最大で1年間も演習に参加せずに実際の業務に従事することとなります。またワークショップの発表を踏まえると、インシデント対応手順が部内で十分に理解されているとは言えない現状があります。これでは、実際に攻撃を受けたときの対応に不安が残るため、演習の頻度を上げてセキュリティ意識の向上を図る必要があります。

∴オ:毎月,3~4名の従業員を採用しているから

Pagetop