平成28年秋期試験午後問題 問1

問1 情報セキュリティ

オンラインストレージサービスの利用における情報セキュリティ対策に関する次の記述を読んで,設問1~4に答えよ。

 J社は,従業員数150名の電気機器メーカーである。顧客企業から提示される仕様に基づいて電気製品を設計,製造している。 J社では,1年前に最高情報セキュリティ責任者(CISO)及び情報セキュリティ委員会を設置し,情報セキュリティポリシーを定め,情報セキュリティ関連規程を整備した。情報セキュリティ委員会の事務局は,情報システム課が担当している。また,各部の部長は,情報セキュリティ委員会の委員及び部における情報セキュリティ責任者を務め,自部の情報セキュリティを適切に確保し,維持,改善する役割を担っている。各情報セキュリティ責任者は,自部の情報セキュリティに関わる実務を担当する情報セキュリティリーダーを選任する。
 J社では,社内ネットワークとインターネットの間にファイアウォールを設置している。また,社外のWebサイトの閲覧は,全てプロキシサーバ経由とし,業務上不要と思われるWebサイトへの接続をコンテンツフィルターで制限している。制限されているWebサイトへの接続が必要になった場合は,接続するPCを限定して,情報システム課が一時的に制限を解除している。J社では,DHCPは使っておらず,PCのIPアドレスは固定である。

〔オンラインストレージサービス〕
 50名の従業員が所属する製造部では,製造の一部を協力会社であるB社に委託している。製造部からB社へは,従来,USBメモリを使用して製品製造に関係するファイルを提供していたが,USBメモリを管理する手間や,顧客企業からの急な仕様変更への対応が課題であった。製造部は,これらの課題を解決するために,顧客企業各社の了解も得た上で,2年前から,X社が提供するオンラインストレージサービス(以下,Xサービスという)をB社へのファイル提供に利用している。Xサービスはインターネット上で提供されている。サービス仕様(抜粋)を次に示す。
  • 専用のドメイン名をもち,インターネット上のどこからでもアクセスできる。
  • スマートフォンやタブレットなど,PC以外の端末からでも利用できる。
  • インターネット上における盗聴や改ざんへの対策として,サービスへの接続にHTTP over TLS(HTTPS)を使用している。
  • 利用アカウントのIDとして電子メールアドレス(以下,メールアドレスという)を登録し,パスワードを設定すれば,Webブラウザだけですぐに利用を始められる。
  • 利用アカウントごとに専用のフォルダが与えられ,ファイルの登録や,登録したファイルの閲覧,編集などの操作を行うことができる。フォルダ容量が10Gバイトまでは無料である。
  • ファイルの登録時,又は登録後に,ファイル共有先を指定し,共有権限を付与することによって,指定した利用アカウントにファイルの操作を許可したり,インターネット上の誰にでもファイルの閲覧を許可したりすることができる。ファイルの共有設定には表1に示す4種類がある。
pm01_1.png
〔Xサービス利用規則〕
 2年前,Xサービスの利用開始に当たって,製造部ではXサービス利用規則を作成し,部内に通知した。現在のXサービス利用規則を図1に示す。
 なお,J社の社内規程では,スマートフォンやタブレットの業務利用は認めていない。かつ,PCを社外に持ち出して使用することも禁止している。
pm01_2.png
〔事故発生〕
 1か月前,Q社からJ社に連絡が入った。Q社はJ社と取引関係はないが,Q社従業員がインターネット検索を行っていたところ,J社の社名が記載され,秘密情報と記されたファイルがXサービスで公開されているのを発見したので連絡したということであった。製造部の情報セキュリティリーダーであるS主任が調査したところ,J社がB社に提供するためにXサービスに登録している顧客企業の製品製造に関係するファイルの一つが公開されてしまっていることが判明した。問題のファイルは,ファイル共有先にa1が指定され,かつ,共有権限にa2が付与されていた。
 S主任から報告を受けた製造部の情報セキュリティ責任者であるT部長は,CISOに一報を入れるとともに,①直ちにXサービスに登録している全てのファイルを削除し,Xサービスの利用を中止するように指示した
 今回の事故を重く見たCISOは,情報セキュリティ委員会を招集し,T部長に事故原因の調査と対策の検討を指示した。また,情報システム課のU課長には,製造部への支援を指示した。

〔原因調査〕
 S主任は,T部長から指示を受けて事故原因の調査を開始し,Xサービスの情報セキュリティに影響する問題,つまり外部からの攻撃やシステム障害などが発生しなかったか,対象ファイルの共有設定を変更した者は誰かなどをX社に問い合わせた。X社からは,Xサービスの情報セキュリティに影響する問題は発生しておらず,また,操作の履歴情報を開示できるのは法令に基づいた開示請求があった場合に限ると回答があった。
 X社から調査協力を得ることができず,また,この時点で事件として警察に捜査を依頼することも難しいと思われたので,S主任はU課長と相談し,J社内の調査を進めることにした。U課長は②プロキシサーバを調査したが,不審な点は確認されず,また,製造部の全PCも調査したが問題点は見つけられなかったので,S主任は製造部の従業員全員に個別にヒアリングを行うことにした。

〔個別ヒアリング〕
 S主任は,自分とT部長を除く製造部の従業員48名一人一人に対して,Xサービスの利用状況を確認した。ヒアリング結果を図2に示す。
pm01_3.png
 Xサービスでは,ファイル登録時点の共有設定は,ファイル共有先"なし",共有権限"権限なし"が初期値である。B社にファイルを提供するには,ファイル登録時,又は登録後に共有設定を変更する必要がある。S主任は,ヒアリング結果のうちbという製造部の状況では,"B社にファイルを提供する際に,Xサービスのファイル共有設定を間違える"という事故が起きやすいと考えた。そこで,従業員がXサービスの利用を開始する時点でXサービス利用規則と利用方法についての十分な教育を行うとともに,③万一間違った共有設定がなされても第三者にファイルを読まれる可能性を下げる対策をXサービス利用規則の中に定めておくべきであったと反省した。

〔問題点の整理,対策の検討〕
 S主任は,一連の調査結果をT部長に報告した。T部長は,Xサービスの利用中止によってB社への製造委託に支障を来していることから,Xサービスの利用を早期に再開できるようにS主任に検討を指示した。S主任は,製造部の従業員による共有設定の誤り防止を含めた対策をU課長と相談した。U課長は,XサービスをB社へのファイル提供に利用したこと自体が誤りであったとして,表2のように,Xサービスを業務で利用することの問題点とその理由を三つ指摘した。
pm01_4.png
 次は,U課長とS主任の会話である。
U課長:
製造部の業務を考慮すると,USBメモリを使ったファイル提供に戻すことは難しいのではないかと思いますが,何か代替案を考えていますか。
S主任:
同じオンラインストレージサービスでも,法人向けに有償で提供されているサービスには管理機能を強化しているものが多いので,そうしたサービスを使うことを考えたいと思います。
U課長:
利用するサービス自体を切り替えることによって,問題点1~3の解決を図るということですね。
S主任:
はい。ただし,現在のXサービス利用規則の内容では,④事故発生時の原因特定は困難です。適切な法人向けサービスに切り替えるとともに,利用規則も作り直すつもりです。
U課長:
今回の事故によって,全社の情報セキュリティ対策がまだ十分でないことに気付きました。情報セキュリティ委員会の事務局として,情報セキュリティ委員会に対して追加の⑤組織的対策を行うように働きかけた上で,情報システム課としても⑥技術的対策を進め,情報セキュリティの改善に努めます。
 S主任は,新しい利用規則をどのように作成すべきか,U課長とともに検討した。また,法人向けサービスの選定方法についてU課長から技術的なアドバイスを受けた。
 その後,S任は問題点1~3に対応したオンラインストレージサービスとして,W社の法人向けオンラインストレージサービス(以下,Wサービスという)を選定し,Xサービスからの切替えについて,T部長の承認を得た。T部長は,情報セキュリティ委員会の承認と顧客企業各社の了解を得た上でWサービスの利用規則を新たに定め,製造部従業員への周知など十分な準備を行い,Wサービスを使ってB社へのファイル提供を再開した。

設問1

〔事故発生〕について,(1),(2)に答えよ。
(1) 本文中のa1a2に入れる字句の組合せはどれか。aに関する解答群のうち,適切なものを選べ。
a に関する解答群
pm01_5.png
解答選択欄
  • a:
  • a=

解説

表1に示されているXサービスにおける4種のファイル共有設定を見ると、ファイル共有先をパブリックにすると共有対象がインターネット利用者全般になることがわかります。その他の指定ではインターネット上に公開されることはないため共有先に「パブリック」が指定されていたと考えられます。
付与可能はな2つの共有権限ですが、編集権限と閲覧権限のどちらもファイルの閲覧が可能です。しかしファイル共有先がパブリックの場合に付与できる権限は「閲覧権限」のみなのでa2は閲覧権限になります。

a1=パブリック、a2=閲覧権限 になるので「オ」の組合せが適切です。
pm01_6.png
(2) 本文中の下線①のように指示した理由はどれか。解答群のうち,最も適切なものを選べ。
解答群
  • J社が使用しているXサービスの利用アカウントのIDとパスワードが漏えいしたことが明らかであり,J社がXサービスに登録している全てのファイルに被害が及ぶおそれがあったから
  • Xサービスがサイバー攻撃を受けたことが明らかであり,公開されたファイルの他にも,流出したファイルやマルウェア感染などの被害を受けたファイルが存在する可能性があったから
  • Xサービスよりも機能が豊富であり,かつ,不正アクセスやマルウェアへの対策も十分な信頼できるサービスに早急に移行することを決定したから
  • 原因は不明だが,Xサービスに登録されている全てのファイルが公開されたことが明らかであり,]社としても早急に被害の拡大を防止する必要があったから
  • ファイルが公開された原因が不明であり,J社がXサービスに登録している他のファイルや,今後登録するファイルにも被害が及ぶおそれがあったから
  • ファイルがマルウェアに感染したことが明らかであり,J社がXサービスに登録している他のファイルや,今後登録するファイルにも被害が及ぶおそれがあったから
解答選択欄
  •  
  •  

解説

  • 「アカウントIDとパスワードの漏えいしたことが明らか」とありますが、報告を受けた時点では原因はわかっていません。IDとパスワードの漏えいだけでなく「外部からの攻撃」「Xサービスの不具合」「利用者の設定ミス」など様々な原因が考えられるため記述は誤りです。
  • 「ア」と同様に原因がサイバー攻撃と判明したわけではないため誤りです。
  • 報告を受けた時点では他サービスへの移行は決定していないため誤りです。
  • 公開されていると報告を受けたのは全てではなく1つのファイルのため記述は誤りです。
  • 正しい。報告を受けた時点ではセキュリティ事故の原因は不明ですが、原因究明よりも先に被害の範囲を最小限に収めるための対策をとることが重要と判断したからです。
  • ファイルがマルウェアに感染していたことは確認されていないため誤りです。

設問2

本文中の下線②について,次の(ⅰ)~(ⅲ)のうち,調査を行う目的として適切なものだけを全て挙げた組合せを,解答群の中から選べ。
  1. Xサービス以外のオンラインストレージサービスが利用されていなかったかを確認するため
  2. 情報システム課が一時的に制限を解除したWebサイトへの接続状況を確認するため
  3. 製造部のPC以外のJ社PCの中に,Xサービスに接続したものがあるかを確認するため
解答群
  • (ⅰ)
  • (ⅰ),(ⅱ)
  • (ⅰ),(ⅱ),(ⅲ)
  • (ⅰ),(ⅲ)
  • (ⅱ)
  • (ⅱ),(ⅲ)
  • (ⅲ)
解答選択欄
  •  
  •  

解説

  1. 誤り。J社では業務上不要とされる社外Web閲覧をコンテンツフィルターで制限しています。もし誰かがXサービス以外のオンラインストレージサービスを利用しようとしたとしても通信が遮断されるので、勝手には他サービスを利用できません。このためプロキシサーバのログを調べるまでもなく他サービス利用の可能性は排除されます。
  2. 誤り。インターネット上に公開されてしまったファイルはXサービスで共有しているファイルなので、原因究明のためにプロキシサーバで確認すべき事項は社内からXサービスに対するアクセス情報です。
  3. 正しい。プロキシサーバの調査は、社内からXサービスに対するアクセスの中で不審なものがあるかを確認するために行われたと考えられます。
適切な説明は「(ⅲ)」のみなので「キ」が正解です。

設問3

〔個別ヒアリング〕について,(1),(2)に答えよ。
(1) 本文中のbに入れる字句はどれか。解答群のうち,最も適切なものを選べ。
b に関する解答群
  • Xサービスの利用方法を知らない従業員が3名いた
  • Xサービス利用規則の存在を従業員全員が認識していた
  • Xサービスをスマートフォンやタブレット,自宅のPCなどから利用している従業員がいなかった
  • ファイルの共有設定に関係する用語の意味を正しくは理解していない従業員がいた
解答選択欄
  • b:
  • b=

解説

文章の前後関係から、bに入るのはヒアリング結果のうち「Xサービスの共有設定を間違える」事故につながるものとわかります。
  • Xサービスの利用方法を知らない3人はB社に関係する業務を行っていません。そもそもXサービスを利用することがないのですから、共有設定を行うこともないので問題ありません。
  • 利用規則は全員に周知されるべきなので問題ありません。
  • スマートフォン等を業務利用することは社内規定で禁止されています。社内規定を順守していたということなので問題ありません。
  • 正しい。利用規則の存在を認識していたとしても、内容の理解が曖昧であれば誤って設定を行ってしまう可能性があります。
(2) 本文中の下線③について,次の(ⅰ)~(ⅳ)のうち,該当する対策だけを全て挙げた組合せを,解答群の中から選べ。
  1. 登録するファイルに電子署名を付与する。
  2. 登録するファイルを暗号化する。
  3. ファイル登録後,B社だけに,登録したファイルのハッシュ値を連絡する。
  4. ファイル登録後,B社だけに連絡し,B社のダウンロードが完了次第直ちに削除する。
解答群
  • (ⅰ),(ⅱ)
  • (ⅰ),(ⅱ),(ⅲ)
  • (ⅰ),(ⅱ),(ⅳ)
  • (ⅰ),(ⅲ)
  • (ⅰ),(ⅲ),(ⅳ)
  • (ⅰ),(ⅳ)
  • (ⅱ),(ⅲ)
  • (ⅱ),(ⅲ),(ⅳ)
  • (ⅲ),(ⅳ)
解答選択欄
  •  
  •  

解説

下線③で求められる対策は「もしファイルが第三者に閲覧可能になってしまっても内容を読まれる可能性を下げる」ものです。
  1. 誤り。電子署名はファイルの正当性を保証するための技術であり、ファイル内容自体は暗号化されません。したがってたとえ電子署名を付与したとしても閲覧可能な状態にあれば内容を読まれてしまいます。
  2. 正しい。ファイルを暗号化した状態で共有すれば第三者に内容を読まれる可能性は下がります。
  3. 誤り。ハッシュ値の照合は電子署名と同様にファイルが改ざんされていないことを保証するために行われます。したがって、閲覧可能な状態にあれば内容を読まれてしまいます。
  4. 正しい。Xサービスに登録している時間を必要最小限にすることで、漏えいする可能性を下げることができます。
正しい組合せは「(ⅱ),(ⅳ)」なので「ケ」が適切です。

設問4

〔問題点の整理,対策の検討〕について,(1)~(4)に答えよ。
(1) 表2中のcdに入れる字句はどれか。解答群のうち,最も適切なものを選べ。
c,d に関する解答群
  • スマートフォンやタブレットから利用できる。
  • 操作の履歴情報が提供されない。
  • 通信中の情報が暗号化されない。
  • 登録したファイルに対するウイルスチェック機能をもたない。
  • メールアドレスとパスワードだけで利用できる。
解答選択欄
  • c:
  • d:
  • c=
  • d=

解説

cについて〕
今回の事故では原因調査を行いましたが、原因を特定することができませんでした。その理由の1つはX社から操作の履歴情報等の提供が受けられなかったからです。今後同じようなことが発生したときにもXサービスからの情報提供は期待できず、原因究明や業務改善に支障をきたします。
したがってこれがXサービスを業務で使用する問題点になります。

c=イ:操作の履歴情報が提供されない

dについて〕
J社のセキュリティ規定では社外サービスの利用時には2要素認証などのなりすまし対策が求められているとあります。
2要素認証とは、ICカードとパスワード、指紋とパスワードなどのように、利用者が知っている・持っている・有している情報のうち2種類の要素を使用して認証を行う方式です。Xサービスの利用時に提示するメールアドレスとパスワードはどちらも「知識による認証」に当たるため2要素認証ではありません。したがってXサービスの仕様ではJ社のセキュリティ規定を満たさないことが問題となります。

d=オ:メールアドレスとパスワードだけで利用できる
(2) 表2中のefに入れる字句はどれか。解答群のうち,最も適切なものを選べ。
e,f に関する解答群
  • DDoS攻撃
  • 意図的な公開
  • クラッキング
  • 誤操作
  • スパムメール
  • 中間者攻撃
  • なりすまし
  • フィッシング
解答選択欄
  • e:
  • f:
  • e=
  • f=
※eとfは順不同

解説

efには「従業員が自由にファイル共有を設定できる」ことが問題で発生する被害が入ります。共有設定を間違うと本来秘密として管理するファイルが意図せず公開されてしまう事故に繋がります。また、もし共有設定を間違ったとしてもアカウントのメールアドレスが流出することはありません。このため、それが原因でスパムメールやフィッシング・なりすましの被害が併発する確率は低いと考えられます。

すなわち選択肢の脅威のうち共有設定が原因で引き起こされる問題は、「誤操作」による予想外の公開、および内部不正を目的とした「意図的な公開」の2つです。

e=イ:意図的な公開(順不同)
f=エ:誤操作(順不同)
(3) 本文中の下線④について,図1のどの項番が事故発生時の原因特定を困難にしているか。解答群のうち,最も適切なものを選べ。
解答群
  • 1
  • 2
  • 3
  • 4
  • 5
解答選択欄
  •  
  •  

解説

Xサービスでは1つのフォルダに1つのアカウントが関連付けられます。このためXサービスを利用する場合は1つのアカウントを製造部の全員で共有することになります。このような運用方法では個人の責任が曖昧になり、誰がどのような操作を行ったかの履歴をとることが難しく、事故発生時の原因究明は困難です。
この問題に該当する利用規則の項番は3なので「ウ」が正解です。
(4) 本文中の下線⑤及びについて,次の(ⅰ)~(ⅷ)のうち,今回の事故を受けて情報セキュリティ委員会と情報システム課が行うべき対策を三つ挙げた組合せはどれか。解答群のうち,最も適切なものを選べ。
[情報セキュリティ委員会が行うべき組織的対策]
  1. オンラインストレージサービス業者との秘密保持契約を見直し,情報流出の予防に関する条項を強化する。
  2. 業務に関係がないインターネット利用を禁止する旨を情報セキュリティ関連規程に定める。
  3. 社外のITサービスの導入について,全て情報セキュリティ委員会の承認を必要とすることを情報セキュリティ関連規程に定める。
  4. 情報システムの利用アカウントの共有を禁止する旨を情報セキュリティ関連規程に定める。
[情報システム課が行うべき技術的対策]
  1. Xサービスの利用アカウントのIDに登録していたメールアドレスを廃止し,新たに選定する法人向けのオンラインストレージサービスの利用アカウントのIDとして登録する専用のメールアドレスを新たに用意する。
  2. 新たに選定する法人向けのオンラインストレージサービスに登録する全てのファイルを,定期的にバックアップする。
  3. 新たに選定する法人向けのオンラインストレージサービスに登録するファイルに電子署名を付与するために,電子証明書を準備する。
  4. オンラインストレージサービスは,情報セキュリティ委員会の承認を得たものだけ接続を許可するようにコンテンツフィルターを設定する。
解答群
  • (ⅰ),(ⅱ),(ⅵ)
  • (ⅰ),(ⅳ),(ⅷ)
  • (ⅰ),(ⅴ),(ⅷ)
  • (ⅱ),(ⅲ),(ⅶ)
  • (ⅱ),(ⅳ),(ⅵ)
  • (ⅱ),(ⅵ),(ⅶ)
  • (ⅲ),(ⅳ),(ⅷ)
  • (ⅲ),(ⅴ),(ⅶ)
  • (ⅳ),(ⅴ),(ⅵ)
解答選択欄
  •  
  •  

解説

  1. 誤り。今回の情報漏えい事故は、X社のミスではなくファイル共有設定が誤って指定されたことに起因するため秘密保持契約とは無関係です。
  2. 誤り。J社では既に業務に関係がないWebサイトの閲覧を制限しています。
  3. 正しい。Xサービスの導入は2年前であり、情報セキュリティ委員会の設置よりも1年前から導入されています。このためXサービスについては導入前に情報セキュリティ委員会の承認を得ていません。今後同様の事故を起こさないようにするためには導入前に必ず情報セキュリティ委員会で審理を行い、承認を得たものだけを導入する手続きを定めるのが適切です。
  4. 正しい。複数人でアカウントを共有することは、権限外の処理を誘発したり、責任をあいまいにしたりするためセキュリティ規定で禁止すべきです。
  5. 誤り。新しいメールアドレスを用意するだけでは前と同じなので有効な対策にはなりません。
  6. 誤り。自主的に定期的なバックアップを実施することは大切ですが、今回の事故の対策にはなっていません。
  7. 誤り。電子署名はファイルの完全性を保証するために有用ですが、今回の事故の対策にはなっていません。
  8. 正しい。これまでは情報システム課が全ての社外Webサイトの閲覧可否を判断していました。しかし、オンラインストレージサービスの利用は大きなセキュリティ事故に繋がりかねないことが分かったため、接続許可の判断は情報セキュリティ委員会の承認をもとに行う必要があります。
正しい組合せは「(ⅲ),(ⅳ),(ⅷ)」なので「キ」が適切です。

Pagetop