平成31年春期試験午前問題 午後問2

問2 情報セキュリティ

企業における情報セキュリティ管理に関する次の記述を読んで,設問1~4に答えよ。

 X社は,機械製品及び産業用資材の輸入及び国内販売業務を行う従業員数1,000名の商社であり,機械営業部,資材営業部,総務部,情報システム部などがある。
 X社は,数年前に同業他社で発生した情報セキュリティ事故を機に,情報セキュリティ管理に力を入れるようになり,JIS Q 27001に基づく情報セキュリティマネジメントシステム(以下,X社ISMSという)を構築し,ISMS認証を取得している。
 X社ISMSでは,副社長である最高情報セキュリティ責任者(CISO)を委員長とする情報セキュリティ委員会を設置し,各部の部長が情報セキュリティ委員会の委員を務めている。また,各部の部長は自部の情報セキュリティリーダを指名する。情報セキュリティ委員会はX社ISMSの年間活動計画を決定する。
 X社ISMSの活動の実務は,各部の情報セキュリティリーダから構成されるISMSワーキンググループ(以下,ISMS-WGという)が行っている。ISMS-WGのリーダは,情報システム部のS課長である。ISMS-WGは,年間活動計画に基づき活動するほか,X社ISMS規程などの文書(以下,X社ISMS文書という)の改定案の検討を行う。

〔X社ISMSの年間活動計画〕
 4月のある日,今年度初めてのISMS-WG会合が開催され,その席上で,表1に示すX社ISMSの年間活動計画が提示された。また,6月に実施される情報資産目録の見直しについてS課長から説明があった。X社ISMSでは各部において情報資産の名称,管理責任者,重要度,保管場所,保管期間を記した情報資産目録を作成し,毎年見直すことになっている。しかし,毎年見直し後に幾つかの記載の過不足が見つかっていることから,見直し後の記載に過不足がないことをよく確認するよう,改めてS課長がISMS-WGのメンバに対して注意を促した。
pm02_1.gif
〔販路拡大のための施策〕
 最近になって,主な取引先である海外のY社が,新製品として個人向けの3Dプリンタ(以下,3DPという)を開発した。これまでX社は個人向けには製品を販売していなかったが,機械営業部では3DPの個人向け販売を販路拡大の機会と捉え,そのための施策を検討した。その結果を表2に示す。
pm02_2.gif
 機械営業部の情報セキュリティリーダであるT課長は,これらの施策に係る情報セキュリティリスクアセスメントの実施とリスク対応が必要と考え,S課長に相談したところ,表3のようなアドバイスを受けた。
pm02_3.gif
 S課長のアドバイスを受け,T課長は個人向け通信販売については,案2を採用し,外部のオンラインショッピングサイトを利用するのがよいと考えた。利用するシステムの詳細が固まった後に改めて情報セキュリティリスクアセスメントを行い,ISMS-WGに確認してもらうことにした。
 次に,S課長とT課長はSNSを利用した情報提供に起因するリスクについて検討することにした。S課長は,T課長に次のリスクを説明した。
リスク1
X社の従業員が,X社公式アカウントを用いてX社の信用及び評判を低下させるような投稿を行う。
リスク2
第三者がX社公式アカウントを装い,X社の信用及び評判を低下させるような投稿を行う。
リスク3
第三者がX社公式アカウントを乗っ取り,X社の信用及び評判を低下させるような投稿を行う。
 S課長の説明を聞いたT課長は,機械営業部だけでこれらのリスクに対応することは困難と判断した。そこで,SNSを利用した情報提供に起因するリスクについては,全社的な対策を立案するようS課長に依頼した。
 また,S課長は,業務外でのSNSの個人利用についても,次のようなリスクがあることをT課長に説明した。
リスク4
X社の従業員が,X社の信用及び評判を損なうような不用意な投稿を行う。
リスク5
X社の従業員が,その投稿から③X社及び従業員の情報を攻撃者に推測さ
れ,X社に対する標的型攻撃の手掛かりにされる
ような不用意な投稿を行う。
 これらのリスクを踏まえ,T課長は,業務外でのSNSの個人利用についても,従業員向けに何らかの指針を示すのがよいのではないかとS課長に提言した。S課長は,SNSの利用に関するルールを立案し,ISMS-WGで検討することにした。

〔SNSの利用に関する情報セキュリティ対策〕
 数日後,S課長はX社公式アカウントの運用に関する情報セキュリティ対策の案を作成した。その内容を表4に示す。
pm02_4.gif
 また,S課長は,SNSの個人利用に関する指針を策定し,12月に実施する従業員向け情報セキュリティ教育の内容に含めることにした。SNSの個人利用を一律に禁止することは適切でないので,この指針では,法令及び雇用契約上の要求事項の観点から従業員が順守すべき事項と,SNSの利用に当たって従業員が実施することが推奨される事項に分けて記載することにした。その概要を表5に示す。
pm02_5.gif
 X社公式アカウントの運用に関する情報セキュリティ対策及びSNSの個人利用に関する指針は,ISMS-WGでの検討を経て情報セキュリティ委員会において承認された。

〔オンラインショッピングサイトの利用〕
 機械営業部は,大手通信販売業者であるZ社のオンラインショッピングサイト(以下,Zショップという)を利用して個人向けに3DP及びオプション品を販売することにした。Zショップでは,消費者向けサイト以外にも各出品者用にポータルサイトを提供している。
 X社には,Z社からX社専用のポータルサイト(以下,X社ポータルという)へのアクセス権が付与され,X社ポータルを利用する業務担当者用アカウントを追加又は削除可能な管理者用アカウントが一つ設定された。この管理者用アカウントでは,X社ポータルの他の機能を利用する個々の業務担当者用アカウントの管理だけを行うことにした。X社ポータルで業務担当者用アカウントを追加すると,その業務担当者のメールアドレスに対して電子メールが送信され,初期パスワードの変更が促される。X社ポータルで利用可能な機能とその内容を表6に示す。
pm02_6.gif
 機械営業部では,X社ポータルで表7に示すロールを新たに登録することにした。
pm02_7.gif
 アカウントにロールを設定された業務担当者は,自分の業務用PCでX社ポータルにアクセスし,利用権限を付与された機能を利用して作業を行う。
 機械営業部では,表6及び表7を基に,各ロールに付与する利用権限を検討することにした。その案を表8に示す。
pm02_8.gif
 X社ISMSでは,今回のように業務を大きく変更する場合は,情報セキュリティリスクアセスメントを実施し,リスク対応を行うことになっている。そこで,この案について,T課長がS課長に相談したところ,次の指摘を受けた。
指摘1
発送担当者ロールを割り当てられた業務担当者は業務で購入者情報を扱うので,その業務担当者の業務用PCに購入者情報が蓄積されるおそれがあり,対策が必要である。
指摘2
X社ポータル管理者ロールの利用権限が過大であり,不正が起こるおそれがある。X社ポータル管理者ロールの利用権限を分割すべきである。

 これらの指摘を受け,T課長は,指摘1については,発送担当者ロールを割り当てられた業務担当者に対して業務用PCに蓄積された購入者情報の利用後の削除を徹底させるとともに,購入者情報が蓄積されていないことを上長に定期的に点検させることにした。また,指摘2については,表8を見直してX社ポータル管理者ロールの利用はやめるとともに,アカウント管理を含むX社ポータルの各機能の利用状況のモニタリングを行うために,新たなロールを追加することにした。追加する新たなロールとそのロールに付与する利用権限の案を,表9に示す。
pm02_9.gif
 これらの案はISMS-WGで検討され,情報セキュリティ委員会の承認を得て,Zショップで3DPの販売が開始されることになった。
 その後,Zショップからの新製品の販売は順調に進んでいる。

設問1

表1中の下線①について,該当する作業を三つ,解答群の中から選べ。
解答群
  • 新たに追加された情報資産の名称と管理責任者を記載する。
  • 記載された情報資産の重要度が適切であるか確認する。
  • 記載された情報資産のリスクを低減する。
  • 情報資産目録に対するアクセス権を設定する。
  • 情報資産目録の情報セキュリティパフォーマンス及びX社ISMSの有効性を評価する。
  • 廃棄された情報資産を情報資産目録から削除する。
解答選択欄
  •  
  •  
  •  
  •  
  •  
  •  

解説

情報資産目録は、組織が業務で利用する全ての情報資産について、名称、管理部署、重要度、媒体・保存先、保存期限などの情報を記入し、一覧表にしたものです。JIS Q 27001:2014には資産目録という項目があり、「情報及び情報処理施設に関連する資産を特定しなければならない。また,これらの資産の目録を,作成し,維持しなければならない」としています。
  • 正しい。名称と管理者も記載事項です。
  • 正しい。重要度は時間の経過に伴い変化することがあります。前回の見直し作業時から重要度が変化している情報資産については重要度を更新する必要があります。
  • 誤り。リスク対策を実施するのはリスクアセスメントの実施後となります。X社のスケジュールで言えば「8月」にリスク対応計画が策定された以降の実施となります。
  • 誤り。情報資産目録の見直しではアクセス権の設定を行うことはありません。
  • 誤り。内部監査で実施します。
  • 正しい。情報資産目録内に現存しない情報資産が見つかった場合は、その項目を削除すべきです。
したがって、情報資産目録の見直しに該当する作業は「ア、イ、カ」です。

設問2

〔販路拡大のための施策〕について,(1)~(3)に答えよ。
(1) 表3中の下線②について,適用される法令,及び見直しが必要なX社ISMS文書の組合せはどれか。解答群のうち,最も適切なものを選べ。
解答群
pm02_10.gif
解答選択欄
  •  
  •  

解説

【適用される法令ついて】
通信販売の開始によって適用される法令ということですので、特定商取引に関する法律が該当します。
この法律では、特定商取引(訪問販売、通信販売、電話勧誘販売、連鎖販売取引、特定継続的役務提供に係る取引、業務提供誘引販売取引の7つ)について、事業者による違法・悪質な勧誘行為等を防止し、消費者の利益を守ることを目的としています。

X社は新たに個人向け通信販売業務を開始するので、通信販売については特定商取引に関する法律が適用されます。X社が行う通信販売業務には、通常の商取引に係る規制に加えて、特定商取引に基づく表記、不正な勧誘行為の禁止、広告規制、書面交付義務等が課されることとなります。

【見直しが必要がISMS文書】
ISMSを運用する組織は、各情報システム及び組織について、全ての関連する法令、規制及び契約上の要求事項、並びにこれらの要求事項を満たすための組織の取組みを、明確に特定し、文書化し、また、最新に保たなければなりません。「適用法規制一覧」はこれらの情報を記録したISMS文書です。
通信販売の開始によって、新たに特定商取引に関する法律が適用されることとなるため、適用法規制一覧を更新しなければなりません。

したがって正しい組合せは「ケ」です。
(2) 表3中のaに入れる適切な字句を,解答群の中から選べ。
a に関する解答群
  • JIS Q 15001
  • JIS Q 20000
  • JIS Q 27017
  • NIST SP 800-171
  • PCI DSS
  • 情報セキュリティサービス基準
解答選択欄
  • a:
  • a=

解説

PCI DSSは、クレジットカード会員データを安全に取り扱うことを目的に策定された、クレジット業界標準のセキュリティ基準です。クレジットカードの国際ブランド大手5社共同(VISA,MasterCard,JCB,AmericanExpress,Diners Club)により策定されました。

2018年6月施行の改正割賦販売法では、加盟店に対し、クレジットカード番号等の情報管理や自らの委託先に情報管理に係る指導等を行うことを義務付けています。この改正割賦販売法の規定するセキュリティ対策の実務上の指針と位置付けられているものに、クレジット取引セキュリティ対策協議会により策定された「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」があります。この「実行計画」の中で、カード情報保護及び漏洩対策として、事業者に求められるセキュリティ対策として「カード情報の非保持化」または「PCI DSS準拠」を示しています。

案1のように、X社がWebサイトを改修し、X社でクレジットカード決済を行う(X社でクレジットカード会員情報を保持する)のであれば、PCI DSS準拠が必要となります。

∴オ:PCI DSS

なお、正解以外の各用語の意味は次の通りです。
JIS Q 15001
個人情報保護マネジメントシステムの要求事項が規定されたJIS規格です。
JIS Q 20000
サービスマネジメントシステムの要求事項が規定されたJIS規格です。
JIS Q 27017
情報セキュリティマネジメントシステム(JIS Q 27002)のサブセットで、クラウドサービスのための情報セキュリティ管理策が規定されたJIS規格です。
NIST SP 800-171
SP800シリーズは、NIST(米国国立標準技術研究所)によって策定されているコンピュータシステムの技術に関する報告書です。SP 800-171は、連邦政府外のシステムと組織における管理された非格付け情報の保護についての文書です。
情報セキュリティサービス基準
情報セキュリティサービスについて、一定の品質の維持・向上に努めていることを第三者が客観的に判断し明らかにするための基準です。
(3) 本文中の下線③に当てはまる攻撃手法はどれか。解答群のうち,最も適切なものを選べ。
解答群
  • キーロガー
  • クリプトジャッキング
  • サイドチャネル攻撃
  • セッション固定攻撃
  • 総当たり攻撃
  • ソーシャルエンジニアリング
  • ディレクトリトラバーサル
  • パスワードリスト攻撃
  • レインボー攻撃
解答選択欄
  •  
  •  

解説

下線③の攻撃とは、攻撃者がX社及び従業員の情報から、X社に対する標的型攻撃の手掛かりを推測するというものです。
このように、技術的な手段ではなく人の心理的な弱みや隙に付け込んで機密情報等の取得を試みる行為を「ソーシャルエンジニアリング」といいます。

標的型攻撃では偵察や情報収集の段階において、インターネット上の公開情報を用いて組織や人物を調査し、攻撃に有用な情報を得ることが常套手段となっています。これらの行為はソーシャルエンジニアリングに該当します。

∴カ:ソーシャルエンジニアリング

設問3

〔SNSの利用に関する情報セキュリティ対策〕について,(1)~(4)に答えよ。
(1) 表4中のb1b3に入れる,次の(ⅰ)~(ⅴ)の組合せはどれか。bに関する解答群のうち,最も適切なものを選べ。
  1. SNSアカウントのプロフィールにおいて,X社のアカウントであることを明示する。
  2. SNS担当者の個人アカウントとX社公式アカウントとの相互フォローを行う。
  3. SNSの提供業者に審査を申請し,認証済みアカウントであることを表示してもらう。
  4. X社Webサイトに,X社公式アカウントのページへのリンク及びX社公式アカウントの運用方針を明示する。
  5. X社のメールサーバで,SPF(Sender Policy Framework)を用いた送信ドメイン認証を行う。
b に関する解答群
pm02_11.gif
解答選択欄
  • b:
  • b=

解説

SNSでは、本人以外が同一名称のアカウントを作成できることがあり、そうしたなりすましアカウントの発信により企業のイメージが影響されてしまう可能性があります。こうしたリスクに対して、X社の公式アカウントであることを閲覧者に明示するために必要な施策を3つ選択します。
  1. 正しい。プロフィール欄等で公式のアカウントであることを明示することは有効です。
  2. 誤り。他の利用者にとっては個人アカウントが担当者本人であることを確認できないので、相互フォローしているだけでは信頼性の担保にはなりません。
  3. 正しい。認証された公式アカウントを取得できる場合には、それらを取得し認証済みアカウントである旨(認証バッジ等)を表示してもらうことも一つの方策です。
  4. 正しい。公式Webサイトにリンクが設置してあれば、他の利用者が本人であることを確認できます。
  5. 誤り。SPFは迷惑メールを防止するための仕組みですので無関係です。
適切な組合せは「(ⅰ),(ⅲ),(ⅳ)」なので「エ」が正解です。
(2) 表4中のc1c3に入れる,次の(ⅰ)~(ⅴ)の組合せはどれか。cに関する解答群のうち,最も適切なものを選べ。
  1. X社公式アカウントによる投稿への,利用者からのアクセス状況をレビューする。
  2. X社公式アカウントのパスワードを他のサービスのものと共用しない。
  3. X社公式アカウントの利用者IDを広く宣伝し,認知度を高める。
  4. X社公式アカウントへの投稿については,社内の定められた業務用PCからだけ行う。
  5. X社公式アカウントへのログインには,記憶を利用した認証と所持しているものを利用した認証を併用する。
c に関する解答群
pm02_12.gif
解答選択欄
  • c:
  • c=

解説

アカウントの乗っ取りを防止するために、SNS担当者に求められる事項を3つ選択します。
  1. 誤り。発信に対する利用者の反応を分析するためには有効ですが、アカウントの乗っ取り対策にはなりません。
  2. 正しい。パスワードリスト攻撃による被害を防止するのに有効です。
  3. 誤り。利用者IDを公開してしまうと、後はパスワードさえ一致すればログイン認証を不正突破されてしまいます。アカウントへの不正ログインされるリスクが高まるので不適切な運用です。
  4. 正しい。適切な情報セキュリティ対策が施された端末に限って投稿を許可するのが安全です。SNS担当者の個人用PCやスマートフォンからの投稿を許可してしまうと、それだけ秘密情報が漏えいする確率も上がります。
  5. 正しい。多要素認証を採用することで不正ログインのリスクを低減できます。
適切な組合せは「(ⅱ),(ⅳ),(ⅴ)」なので「ケ」が正解です。
(3) 表5中のd1d3に入れる,次の(ⅰ)~(ⅴ)の組合せはどれか。dに関する解答群のうち,最も適切なものを選べ。
  1. 業務上の守秘義務に反する投稿を行わない。
  2. 業務用PCではSNSの個人利用を行わない。
  3. 自分の投稿はX社の公式見解である旨をSNSのプロフィールに明示する。
  4. 投稿に当たっては,著作権,肖像権などの他人の権利の侵害に注意する。
  5. 取引先の従業員とはSNS上での私的な交流は行わない。
d に関する解答群
pm02_13.gif
解答選択欄
  • d:
  • d=

解説

従業員のSNSの個人利用について、順守させるべき事項を3つ選択します。
  1. 正しい。組織と従業員の秘密保持契約に基づき、業務上の秘密事項に関わる情報の書き込みは行わないように要求することは可能です。また、企業や組織のブランドイメージを損なう発言をしないように求めることも大切です。
  2. 正しい。業務用PCで個人用SNSを利用することは、職務専念義務や就業規則の規定に違反することになるため禁止すべきです。
  3. 誤り。一個人の意見が組織全体の見解として扱われてしまうので絶対に避けるべきです。
  4. 正しい。情報発信をする際には、他人の権利を侵害しないように気を付けなければなりません。写真・イラストや音楽は言うに及ばすインターネット上のほとんどの文書にも著作権があります。また、人物の写真の場合には写っている人に肖像権があります。これらを利用する際には原則として権利者の許可が必要であり、許可なしで行った発信は法令違反行為となります。著作権法等の順守を従業員に求めることは可能です。
  5. 誤り。SNSの個人利用の制限する法的根拠はありませんので、組織権限での禁止が許される事項ではありません。ただし、取引先従業者とSNS上で私的に交流する場合、双方の立場をわきまえ、社会人として良識の範囲で交流する旨を推奨事項として求めることは可能です。
適切な組合せは「(ⅰ),(ⅱ),(ⅳ)」なので「イ」が正解です。
(4) 表5中のe1e3に入れる,次の(ⅰ)~(ⅴ)の組合せはどれか。eに関する解答群のうち,最も適切なものを選べ。
  1. SNS上で投稿を削除しても,その投稿が拡散されてしまう可能性があることに留意して投稿する。
  2. SNSを利用する個人所有の端末について,適切な物理的及び技術的対策を実施する。
  3. 投稿にURLを含めるときは,URL短縮サービスを利用する。
  4. 面識のなかった人からSNSを通じて"友達"関係の形成など交流の申出を受けた場合には,積極的に受諾し,人間関係の拡大に努める。
  5. 利用するSNSごとに,発信する情報の公開範囲を適切に設定する。
e に関する解答群
pm02_14.gif
解答選択欄
  • e:
  • e=

解説

法令や規定に基づく順守事項とは言えないまでも、適切にSNSを利用するために推奨される事項を3つ選択します。
  1. 正しい。一旦インターネット上に発信された情報は、その後投稿を削除しても、別の誰かによって保存された情報が残り続ける可能性があります(スクリーンショットによる画面記録やウェブ記録サービスによるページ保存など)。この点に十分に注意して投稿を行うことが求められます。
  2. 正しい。 SNS用のアプリケーションが提供するセキュリティ設定を行い、アカウントの乗っ取りやなりすましに注意することが望まれます。
  3. 誤り。 短縮URLは、URLを短縮して表示する外部のサービスです。SNSでは文字数の制約があるため、URLを短く記載できる短縮URLが使われることがあります。しかし、短縮URLはドメイン部等が変換されているため一見しただけではどのようなサイトにリンクされているかわからないという問題があります。実際に短縮URLを悪用してフィッシング詐欺やワンクリック詐欺などの悪意のあるホームページに誘導する手口が確認されていますので、短縮URLの利用は推奨されていません。
  4. 誤り。SNSを利用する人の中には匿名であることをいいことに嫌がらせ等を行う悪意のアカウントが存在します(ネットストーカーなど)。それらのアカウントと繋がらないためには、交流の申出があった際に、相手のアカウントが信頼できることを確認してから受諾するべきです。
  5. 正しい。アプリケーションの設定不備等により個人情報が意図せずに公開状態になってしまっていることもあります。インターネット上に公開した情報は様々な人に閲覧される可能性があるということを心に留め、友人間のコミュニケーション用又は情報発信用など、利用するSNSごとに適切な情報公開範囲を設定すべきです。
適切な組合せは「(ⅰ),(ⅱ),(ⅴ)」なので「ウ」が正解です。

設問4

〔オンラインショッピングの利用〕について,(1)~(2)に答えよ。
(1) 表9中のf1f2に入れる記号の適切な組合せを,fに関する解答群の中から選べ。ここで,◎,〇及び×は表8の注記と同一である。
f に関する解答群
pm02_15.gif
解答選択欄
  • f:
  • f=

解説

表8「各ロールに付与する利用権限」を見ると、X社ポータル管理者ロールには全ての機能に"編集"の利用権限が与えられており、これが問題となっています。特権アカウントの権限が強すぎると内部不正リスクが高まるからです。

新設するアカウント管理ロールとモニタリングロールは、X社ポータル管理者ロールの権限を分割するために追加されたロールです。アカウント管理ロールに付与すべき権限については次のように判断できます。

[アカウント管理]
その名称通りアカウント管理に関する操作を担うロールです。他のロールにはアカウント管理機能の編集権限を付与されたものが存在しませんので、X社ポータルでアカウントの追加やロールの登録等の操作を行うためには、アカウント管理ロールに編集"◎"の利用権限を付与する必要があります。

[売上管理]
アカウント管理ロールを追加したのは権限を適切に分割するためなので"◎"以外が入ります。"〇"と"×"どちらが入るかについては以下のように考えることができます。

表8を見ると、売上管理は経理担当者ロールのみに権限が付与されており、他の2つのロール(商品担当者ロールと発送担当者ロール)には閲覧権限さえも与えられていません。
pm02_17.gif
これだと経理担当者ロールの不正操作を検知することができませんので、相互牽制の観点から操作を監視するロールが必要となります。この場合、いずれかのロールに売上管理の閲覧権限"〇"を付与することが求められますが、本問では監視用にモニタリングロールが追加されています。
アクセス権限の付与は「最小権限の原則」に従うことが求められるので、モニタリングロールに閲覧権限"〇"が付与される以上、アカウント管理ロールにも閲覧権限を付与する理由はありません。よって、アカウント管理ロールの売上管理に対する権限は"×"が適切です。

したがって「キ」の組合せが適切です。
(2) 表9中のg1g2に入れる記号の適切な組合せを,gに関する解答群の中から選べ。ここで,◎,〇及び×は表8の注記と同一である。
g に関する解答群
pm02_16.gif
解答選択欄
  • g:
  • g=

解説

アカウント管理ロールに、売上管理"×"、アカウント管理"◎"の利用権限を付与すると、各ロールに与えられる権限は以下のようになります。
pm02_18.gif
(1)の解説でも触れましたが、アカウント管理はアカウント管理ロールだけに、売上管理は経理担当者ロールだけに利用権限が付与されています。監視が存在しない状況では内部不正が起こりやすくなるので、監視体制を構築することが求められます。モニタリングロールはこのために用意されたロールですので、2つの機能の閲覧権限"〇"を付与することになります。

したがって「オ」の組合せが適切です。

Pagetop