平成31年春期試験午前問題 午後問2

問2 情報セキュリティ

企業における情報セキュリティ管理に関する次の記述を読んで,設問1~4に答えよ。

 X社は,機械製品及び産業用資材の輸入及び国内販売業務を行う従業員数1,000名の商社であり,機械営業部,資材営業部,総務部,情報システム部などがある。
 X社は,数年前に同業他社で発生した情報セキュリティ事故を機に,情報セキュリティ管理に力を入れるようになり,JIS Q 27001に基づく情報セキュリティマネジメントシステム(以下,X社ISMSという)を構築し,ISMS認証を取得している。
 X社ISMSでは,副社長である最高情報セキュリティ責任者(CISO)を委員長とする情報セキュリティ委員会を設置し,各部の部長が情報セキュリティ委員会の委員を務めている。また,各部の部長は自部の情報セキュリティリーダを指名する。情報セキュリティ委員会はX社ISMSの年間活動計画を決定する。
 X社ISMSの活動の実務は,各部の情報セキュリティリーダから構成されるISMSワーキンググループ(以下,ISMS-WGという)が行っている。ISMS-WGのリーダは,情報システム部のS課長である。ISMS-WGは,年間活動計画に基づき活動するほか,X社ISMS規程などの文書(以下,X社ISMS文書という)の改定案の検討を行う。

〔X社ISMSの年間活動計画〕
 4月のある日,今年度初めてのISMS-WG会合が開催され,その席上で,表1に示すX社ISMSの年間活動計画が提示された。また,6月に実施される情報資産目録の見直しについてS課長から説明があった。X社ISMSでは各部において情報資産の名称,管理責任者,重要度,保管場所,保管期間を記した情報資産目録を作成し,毎年見直すことになっている。しかし,毎年見直し後に幾つかの記載の過不足が見つかっていることから,見直し後の記載に過不足がないことをよく確認するよう,改めてS課長がISMS-WGのメンバに対して注意を促した。
pm02_1.gif
〔販路拡大のための施策〕
 最近になって,主な取引先である海外のY社が,新製品として個人向けの3Dプリンタ(以下,3DPという)を開発した。これまでX社は個人向けには製品を販売していなかったが,機械営業部では3DPの個人向け販売を販路拡大の機会と捉え,そのための施策を検討した。その結果を表2に示す。
pm02_2.gif
 機械営業部の情報セキュリティリーダであるT課長は,これらの施策に係る情報セキュリティリスクアセスメントの実施とリスク対応が必要と考え,S課長に相談したところ,表3のようなアドバイスを受けた。
pm02_3.gif
 S課長のアドバイスを受け,T課長は個人向け通信販売については,案2を採用し,外部のオンラインショッピングサイトを利用するのがよいと考えた。利用するシステムの詳細が固まった後に改めて情報セキュリティリスクアセスメントを行い,ISMS-WGに確認してもらうことにした。
 次に,S課長とT課長はSNSを利用した情報提供に起因するリスクについて検討することにした。S課長は,T課長に次のリスクを説明した。
リスク1
X社の従業員が,X社公式アカウントを用いてX社の信用及び評判を低下させるような投稿を行う。
リスク2
第三者がX社公式アカウントを装い,X社の信用及び評判を低下させるような投稿を行う。
リスク3
第三者がX社公式アカウントを乗っ取り,X社の信用及び評判を低下させるような投稿を行う。
 S課長の説明を聞いたT課長は,機械営業部だけでこれらのリスクに対応することは困難と判断した。そこで,SNSを利用した情報提供に起因するリスクについては,全社的な対策を立案するようS課長に依頼した。
 また,S課長は,業務外でのSNSの個人利用についても,次のようなリスクがあることをT課長に説明した。
リスク4
X社の従業員が,X社の信用及び評判を損なうような不用意な投稿を行う。
リスク5
X社の従業員が,その投稿から③X社及び従業員の情報を攻撃者に推測さ
れ,X社に対する標的型攻撃の手掛かりにされる
ような不用意な投稿を行う。
 これらのリスクを踏まえ,T課長は,業務外でのSNSの個人利用についても,従業員向けに何らかの指針を示すのがよいのではないかとS課長に提言した。S課長は,SNSの利用に関するルールを立案し,ISMS-WGで検討することにした。

〔SNSの利用に関する情報セキュリティ対策〕
 数日後,S課長はX社公式アカウントの運用に関する情報セキュリティ対策の案を作成した。その内容を表4に示す。
pm02_4.gif
 また,S課長は,SNSの個人利用に関する指針を策定し,12月に実施する従業員向け情報セキュリティ教育の内容に含めることにした。SNSの個人利用を一律に禁止することは適切でないので,この指針では,法令及び雇用契約上の要求事項の観点から従業員が順守すべき事項と,SNSの利用に当たって従業員が実施することが推奨される事項に分けて記載することにした。その概要を表5に示す。
pm02_5.gif
 X社公式アカウントの運用に関する情報セキュリティ対策及びSNSの個人利用に関する指針は,ISMS-WGでの検討を経て情報セキュリティ委員会において承認された。

〔オンラインショッピングサイトの利用〕
 機械営業部は,大手通信販売業者であるZ社のオンラインショッピングサイト(以下,Zショップという)を利用して個人向けに3DP及びオプション品を販売することにした。Zショップでは,消費者向けサイト以外にも各出品者用にポータルサイトを提供している。
 X社には,Z社からX社専用のポータルサイト(以下,X社ポータルという)へのアクセス権が付与され,X社ポータルを利用する業務担当者用アカウントを追加又は削除可能な管理者用アカウントが一つ設定された。この管理者用アカウントでは,X社ポータルの他の機能を利用する個々の業務担当者用アカウントの管理だけを行うことにした。X社ポータルで業務担当者用アカウントを追加すると,その業務担当者のメールアドレスに対して電子メールが送信され,初期パスワードの変更が促される。X社ポータルで利用可能な機能とその内容を表6に示す。
pm02_6.gif
 機械営業部では,X社ポータルで表7に示すロールを新たに登録することにした。
pm02_7.gif
 アカウントにロールを設定された業務担当者は,自分の業務用PCでX社ポータルにアクセスし,利用権限を付与された機能を利用して作業を行う。
 機械営業部では,表6及び表7を基に,各ロールに付与する利用権限を検討することにした。その案を表8に示す。
pm02_8.gif
 X社ISMSでは,今回のように業務を大きく変更する場合は,情報セキュリティリスクアセスメントを実施し,リスク対応を行うことになっている。そこで,この案について,T課長がS課長に相談したところ,次の指摘を受けた。
指摘1
発送担当者ロールを割り当てられた業務担当者は業務で購入者情報を扱うので,その業務担当者の業務用PCに購入者情報が蓄積されるおそれがあり,対策が必要である。
指摘2
X社ポータル管理者ロールの利用権限が過大であり,不正が起こるおそれがある。X社ポータル管理者ロールの利用権限を分割すべきである。

 これらの指摘を受け,T課長は,指摘1については,発送担当者ロールを割り当てられた業務担当者に対して業務用PCに蓄積された購入者情報の利用後の削除を徹底させるとともに,購入者情報が蓄積されていないことを上長に定期的に点検させることにした。また,指摘2については,表8を見直してX社ポータル管理者ロールの利用はやめるとともに,アカウント管理を含むX社ポータルの各機能の利用状況のモニタリングを行うために,新たなロールを追加することにした。追加する新たなロールとそのロールに付与する利用権限の案を,表9に示す。
pm02_9.gif
 これらの案はISMS-WGで検討され,情報セキュリティ委員会の承認を得て,Zショップで3DPの販売が開始されることになった。
 その後,Zショップからの新製品の販売は順調に進んでいる。

設問1

表1中の下線①について,該当する作業を三つ,解答群の中から選べ。
解答群
  • 新たに追加された情報資産の名称と管理責任者を記載する。
  • 記載された情報資産の重要度が適切であるか確認する。
  • 記載された情報資産のリスクを低減する。
  • 情報資産目録に対するアクセス権を設定する。
  • 情報資産目録の情報セキュリティパフォーマンス及びX社ISMSの有効性を評価する。
  • 廃棄された情報資産を情報資産目録から削除する。
解答選択欄
  •  
  •  
  •  
  •  
  •  
  •  

解説

この設問の解説はまだありません。

設問2

〔販路拡大のための施策〕について,(1)~(3)に答えよ。
(1) 表3中の下線②について,適用される法令,及び見直しが必要なX社ISMS文書の組合せはどれか。解答群のうち,最も適切なものを選べ。
解答群
pm02_10.gif
解答選択欄
  •  
  •  

解説

この設問の解説はまだありません。
(2) 表3中のaに入れる適切な字句を,解答群の中から選べ。
a に関する解答群
  • JIS Q 15001
  • JIS Q 20000
  • JIS Q 27017
  • NIST SP 800-171
  • PCI DSS
  • 情報セキュリティサービス基準
解答選択欄
  • a:
  • a=

解説

この設問の解説はまだありません。
(3) 本文中の下線③に当てはまる攻撃手法はどれか。解答群のうち,最も適切なものを選べ。
解答群
  • キーロガー
  • クリプトジャッキング
  • サイドチャネル攻撃
  • セッション固定攻撃
  • 総当たり攻撃
  • ソーシャルエンジニアリング
  • ディレクトリトラバーサル
  • パスワードリスト攻撃
  • レインボー攻撃
解答選択欄
  •  
  •  

解説

この設問の解説はまだありません。

設問3

〔SNSの利用に関する情報セキュリティ対策〕について,(1)~(4)に答えよ。
(1) 表4中のb1b3に入れる,次の(ⅰ)~(ⅴ)の組合せはどれか。bに関する解答群のうち,最も適切なものを選べ。
  1. SNSアカウントのプロフィールにおいて,X社のアカウントであることを明示する。
  2. SNS担当者の個人アカウントとX社公式アカウントとの相互フォローを行う。
  3. SNSの提供業者に審査を申請し,認証済みアカウントであることを表示してもらう。
  4. X社Webサイトに,X社公式アカウントのページへのリンク及びX社公式アカウントの運用方針を明示する。
  5. X社のメールサーバで,SPF(Sender Policy Framework)を用いた送信ドメイン認証を行う。
b に関する解答群
pm02_11.gif
解答選択欄
  • b:
  • b=

解説

この設問の解説はまだありません。
(2) 表4中のc1c3に入れる,次の(ⅰ)~(ⅴ)の組合せはどれか。cに関する解答群のうち,最も適切なものを選べ。
  1. X社公式アカウントによる投稿への,利用者からのアクセス状況をレビューする。
  2. X社公式アカウントのパスワードを他のサービスのものと共用しない。
  3. X社公式アカウントの利用者IDを広く宣伝し,認知度を高める。
  4. X社公式アカウントへの投稿については,社内の定められた業務用PCからだけ行う。
  5. X社公式アカウントへのログインには,記憶を利用した認証と所持しているものを利用した認証を併用する。
c に関する解答群
pm02_12.gif
解答選択欄
  • c:
  • c=

解説

この設問の解説はまだありません。
(3) 表5中のd1d3に入れる,次の(ⅰ)~(ⅴ)の組合せはどれか。dに関する解答群のうち,最も適切なものを選べ。
  1. 業務上の守秘義務に反する投稿を行わない。
  2. 業務用PCではSNSの個人利用を行わない。
  3. 自分の投稿はX社の公式見解である旨をSNSのプロフィールに明示する。
  4. 投稿に当たっては,著作権,肖像権などの他人の権利の侵害に注意する。
  5. 取引先の従業員とはSNS上での私的な交流は行わない。
d に関する解答群
pm02_13.gif
解答選択欄
  • d:
  • d=

解説

この設問の解説はまだありません。
(4) 表5中のe1e3に入れる,次の(ⅰ)~(ⅴ)の組合せはどれか。eに関する解答群のうち,最も適切なものを選べ。
  1. SNS上で投稿を削除しても,その投稿が拡散されてしまう可能性があることに留意して投稿する。
  2. SNSを利用する個人所有の端末について,適切な物理的及び技術的対策を実施する。
  3. 投稿にURLを含めるときは,URL短縮サービスを利用する。
  4. 面識のなかった人からSNSを通じて"友達"関係の形成など交流の申出を受けた場合には,積極的に受諾し,人間関係の拡大に努める。
  5. 利用するSNSごとに,発信する情報の公開範囲を適切に設定する。
e に関する解答群
pm02_14.gif
解答選択欄
  • e:
  • e=

解説

この設問の解説はまだありません。

設問4

〔オンラインショッピングの利用〕について,(1)~(2)に答えよ。
(1) 表9中のf1f2に入れる記号の適切な組合せを,fに関する解答群の中から選べ。ここで,◎,〇及び×は表8の注記と同一である。
f に関する解答群
pm02_15.gif
解答選択欄
  • f:
  • f=

解説

この設問の解説はまだありません。
(2) 表9中のg1g2に入れる記号の適切な組合せを,gに関する解答群の中から選べ。ここで,◎,〇及び×は表8の注記と同一である。
g に関する解答群
pm02_16.gif
解答選択欄
  • g:
  • g=

解説

この設問の解説はまだありません。

Pagetop