平成30年秋期試験午後問題 問2

問2 情報セキュリティ

リスク対応策の検討に関する次の記述を読んで,設問1に答えよ。

 A社は,ECサイトで旅行商品を販売している,資本金1億円,従業員数80名の会社である。もともとA社は旅行商品を店舗で販売していたが,2014年にECサイト(以下,A社ECサイトという)での販売を開始し,3年後の現在はA社ECサイトでの販売だけを行っている。A社ECサイトでの販売になってから旅行商品の販売のほとんどはクレジットカード決済である。A社には,総務部,人事部,旅行企画部,旅行営業部の四つの部がある。A社ECサイトは旅行営業部が管理,開発及び保守を行っており,A社ECサイトのシステム管理者も旅行営業部に所属している。A社ECサイトを除くA社の情報システムのシステム管理者は総務部に所属している。
 A社全体の情報セキュリティ責任者は旅行営業部長である。旅行営業部に所属するEさんは,A社全体の情報セキュリティ推進を担う情報セキュリティリーダーに任命されている。A社には,社長,総務部長,人事部長,旅行企画部長,旅行営業部長及びEさんが参加する情報セキュリティ委員会があり,Eさんは事務局を務めている。

〔A社における情報セキュリティ対策〕
 A社で最も情報セキュリティが必要とされる情報は,顧客のクレジットカード情報である。このクレジットカード情報には,クレジットカード番号,クレジットカード会員名などが含まれている。A社が保有するクレジットカード情報及び販売履歴は,A社ECサイトのデータベースサーバ1台とファイルサーバ1台に保存されている。データベースサーバとファイルサーバは,A社の社内LANに接続されている。ファイルサーバには,テープバックアップ装置が接続され,クレジットカード情報などを含む特定のフォルダにある全てのファイルを毎週バックアップするように設定されている。バックアップは2世代分保存されている。バックアップテープは,テープバックアップ装置の隣にあるキャビネットに保管されている。また,A社で使われている全てのPCにはマルウェア対策ソフト(以下,対策ソフトという)が導入されており,マルウェア定義ファイルを自動的に最新版に更新するように設定されている。対策ソフトの設定は,対策ソフトの管理サーバによって一元的に管理されている。A社が使用している対策ソフトには,PCでのソフトウェアの起動可否をホワイトリスト又はブラックリストで制御する機能がある。これらのリストを管理サーバで変更すると,A社の全てのPCに自動的にそのリストが反映される。ブラックリストには,次の機能がある。
  • 制御する対象のソフトウェアを,個別のソフトウェア単位及びソフトウェアのカテゴリ単位で指定できる。
  • 指定したソフトウェアに対して,許可モード,禁止モード又は監視モードのいずれかを選択できる。監視モードを選択した場合は,指定したソフトウェアの起動を許可するが,実行されたソフトウェアの実行履歴を管理サーバのログに記録する。

 A社は,業務マニュアルなどの有用な情報を大量に蓄積した掲示板システムを保有している。当該システムは社内LANだけからアクセスが可能であり,多くの従業員がほぼ毎日アクセスしている。当該システムが使用しているソフトウェアパッケージ(以下,現行パッケージという)は,最新バージョンのOSをサポートしていない。また,当該システムには,個人情報は保存されていない。
 A社では,毎年10名ほどの従業員が退職し,ほぼ同数の従業員が採用されている。入社時には雇用契約書及び秘密保持契約書を含む複数の契約書に署名させている。署名が済むと,システム管理者が,各情報システムに共通の利用者ID(以下,従業員IDという)を所属部に応じて,必要な情報システムに登録する。従業員IDを登録する際には,従業員の氏名及び所属部も一緒に各情報システムへ登録する(以下,従業員ID,従業員の氏名及び所属部を併せてID情報という)。従業員の退職時には,雇用期間中に知り得た秘密を守るという誓約書(以下,退職時誓約書という)への署名を依頼することになっている。

〔情報セキュリティ委員会の開催〕
 A社では,情報セキュリティ委員会を毎月開催している。2017年12月に開催された情報セキュリティ委員会において,同業他社のECサイトでの大規模なクレジットカード情報の漏えい事件が報告された。そこで情報セキュリティ委員会では,情報セキュリティ点検と,その結果に基づく改善を行うことを決め,その評価基準と情報セキュリティ点検の外部委託先の選定をEさんに指示した。A社は10年前に情報セキュリティポリシー及び関連規程類(以下,A社規程類という)を策定しているが,これまでほとんど見直しを行っていない。Eさんは,A社規程類は情報セキュリティ点検の評価基準として適切ではないと考え,JIS Q 27002:2014の管理策を基に新たに評価基準を作成した。さらに,外部委託先として幾つかの候補を比較検討した。その結果は翌月の情報セキュリティ委員会で審議され,情報セキュリティ点検の実施,及びそこでの指摘事項についてA社が作成する対応方針のレビューを,情報セキュリティ専門会社U社に依頼することになった。U社では情報処理安全確保支援士(登録セキスペ)のP氏が担当することになった。

〔対応方針の検討〕
 情報セキュリティ点検が完了し,P氏は,図1に示す指摘事項を報告した。
pm02_1.png
 まずEさんは指摘事項1について,対応方針を検討することにした。最新バージョンのOSを導入すればOSの既知の脆弱性はなくなるが,現行パッケージの動作が保証されないこと,また,同等の機能をもつ他製品のソフトウェアパッケージであれば最新バージョンのOSでの動作が保証されるが,掲示板システムのデータは,手動で個別に再入力しなければならないことが分かった。Eさんは,掲示板システムの利用状況を踏まえて対応方針を検討し,P氏にその対応方針が適切かを聞いた。P氏からは,Eさんの対応方針は適切であるとの回答が得られた。Eさんは,①この対応方針について情報セキュリティ委員会の承認を得てから,総務部に提示し,対応を指示した。
 次にEさんは②指摘事項2について,対応方針を検討することにした。その際のP氏からの助言は,従業員の入社時に締結する秘密保持契約書に,退職後も一定期間は秘密を守るという条項を追加するのがよいというものであった。人事部もその助言に同意し,従業員の入社時に締結する秘密保持契約書に追加することにした。
 次にEさんは指摘事項3について,対応方針を検討することにした。A社規程類では,従業員が退職した際,又は各情報システムに業務上アクセスする必要がなくなった際には,当該従業員の従業員IDの無効化を上司が各情報システムの管理者に申請するように定められているが,申請を忘れてしまうことがあった。Eさんは,A社の管理職全員に,従業員ID無効化の申請を忘れずに行うよう注意喚起した。更にリスクを低減するためには,過去,一度だけ実施したことのある従業員IDの棚卸を定期的に実施することが効果的だと考えた。EさんはP氏及び社内の関係者と相談の上,従業員IDの棚卸手順を図2のとおり整備した。
pm02_2.png
 次にEさんは指摘事項4について,対応方針を検討することにした。Eさんは,指摘されたソフトウェアを使っていた従業員をよく知っていたので聞いてみたところ,そのソフトウェアである必要はなく,広く一般的に使用されている安全性の高い他のソフトウェアでも十分に検査はできるという報告を受けた。そこでEさんは,高リスクソフトの使用を禁止することにした。
 Eさんは,インターネットで高リスクソフトを調査して一覧を作成し,対策ソフトのブラックリストに登録することによって高リスクソフトの起動を制限する案を考え,P氏にレビューを依頼した。P氏は,③この案の問題点を指摘した。
 問題点を指摘されたEさんは,代替案として,従業員から利用申請があったソフトウェアが高リスクソフトではないと判断できた場合に,ホワイトリストに登録する案を考え,P氏にレビューを依頼した。P氏は,④この案の問題点を指摘した。代替案として,P氏は,高リスクソフトが含まれているカテゴリをブラックリストに指定することによって,高リスクソフトの起動を禁止する案を提案した。
 そこでEさんは,ブラックリストでの制御を有効にする際に旅行営業部の業務に影響が出ないようにする方針を検討し,P氏の案と併せて情報セキュリティ委員会に提案して承認を受け,総務部に指示した。
 次にEさんは指摘事項5について,対応方針を検討することにした。ファイルサーバ及びバックアップテープにはクレジットカード情報などの重要な情報が格納されていることから,Eさんは,P氏の助言を得ながら,ファイルサーバとそのデータのバックアップに関するリスクと対策を検討して表1にまとめた。
pm02_3.png
 次にEさんは指摘事項6について,対応方針を検討することにした。EさんがP氏に相談したところ,PCI DSSへの準拠には多額の費用が掛かるが,gという方法だと費用が少額で済み,2018年6月の改正割賦販売法の施行にも間に合うのでその方法で対応するとよいと助言された。
 Eさんは,指摘事項5及び指摘事項6の対応方針について情報セキュリティ委員会で承認を得た。その後,旅行営業部でその方法を実施することとした。

 Eさんは,他の指摘事項についてもP氏の助言を得ながら対応方針を検討して対策を実施し,A社規程類も見直されて,A社の情報セキュリティは大きく改善した。

設問1

〔対応方針の検討〕について,(1)~(7)に答えよ。
(1) 本文中の下線①について,対応方針として最も適切なものを解答群の中から選べ。
解答群
  • OSの延長サポートサービスを契約してパッチを入手し,検証用のシステムにパッチを適用し,稼働を検証してから本番システムにパッチを適用する。
  • 速やかに情報システムを停止し,OSベンダからパッチが提供されるのを待って,提供されたら適用し,稼働を検証する。
  • 速やかに情報システムを停止し,最新バージョンのOS,及び現行パッケージと同等の他製品のソフトウェアパッケージを導入し,データを移行する。
  • 速やかにデータをバックアップし,最新バージョンのOSを導入した上で現行パッケージを再インストールし,バックアップしたデータをリストアする。
解答選択欄
  •  
  •  

解説

  • 正しい。掲示板システムは、多くの従業員がほぼ毎日アクセスしていること、OSベンダから延長サポートが提供されていること、既知の脆弱性があり対処が必要なことを総合すれば、延長サポートを契約してパッチを適用することになります。
  • 掲示板システムは、多くの従業員がほぼ毎日アクセスしています。停止してしまうと業務に支障が出るため不適切です。
  • 掲示板システムは、多くの従業員がほぼ毎日アクセスしています。停止してしまうと業務に支障が出るため不適切です。
  • 掲示板システムは、最新バージョンのOSをサポートしていないので不適切です。
(2) 本文中の下線②について,P氏の指摘事項はどれか。解答群のうち,最も適切なものを選べ。
解答群
  • 退職時誓約書に,秘密を開示した際にA社が損害賠償を請求するという条項が含まれていない。
  • 退職時誓約書に,不正競争防止法に関する説明が含まれていない。
  • 退職時誓約書に,有効とは思えないような競業避止条項が含まれている。
  • 退職者から退職時誓約書への署名を拒否されることがあった。
  • 退職者に署名後の退職時誓約書を渡していない。
解答選択欄
  •  
  •  

解説

A社では、退職する従業員に対して、秘密保持に関する事項を含む退職時誓約書への署名を依頼することになっています。それにもかかわらず、指摘事項②の対策として、入社時の秘密保持契約書に退職後の秘密保持を条項を追加するということは、退職時誓約書の運用がうまくいっていないということです。署名は任意ですから、あえて同意する退職者が少ないのも当然といえば当然です。

入社時の秘密保持契約の範囲を退職後の一定期間まで広げることで、この問題を解決することができます。ただ、これだけだと今後入社する人に限られてしまうので、現在の従業員にも退職後の秘密保持契約を課す必要があるでしょう。

∴エ
(3) 図2中のabに入れる字句はどれか。解答群のうち,最も適切なものをそれぞれ選べ。
a,b に関する解答群
  • ID情報の一覧の出力を,各システム管理者に依頼する。
  • ID情報の一覧の出力を,人事部に依頼する。
  • ID情報の一覧を,在籍する全従業員を登録した名簿から作成する。
  • ID情報の一覧を,前回の従業員IDの棚卸結果から作成する。
  • 退職者一覧及びID情報の一覧をP氏に渡し,無効化すべき従業員IDが存在していないかの確認を依頼する。
  • 退職者一覧及びID情報の一覧を各システム管理者に渡し,無効化すべき従業員IDが存在していないかの確認を依頼する。
  • 退職者一覧及びID情報の一覧を各情報システムを用いる業務の責任者に渡し,無効化すべき従業員IDが存在していないかの確認を依頼する。
  • 退職者一覧及びID情報の一覧を人事部に渡し,無効化すべき従業員IDが存在していないかの確認を依頼する。
解答選択欄
  • a:
  • b:
  • a=
  • b=

解説

aについて〕
指摘事項③には、「幾つかの情報システムで退職者の従業員ID及び業務上アクセスが不要になった従業員IDが有効なままである」と記載されています。退職者のIDは、全情報システムから削除すべきですが、他の従業員のIDについては情報システムごとに必要・不要を判断しなくてはなりません。

したがって、情報システムごとに登録されている従業員IDの一覧を入手する必要があります。

a=ア

bについて〕
一覧に載っている従業員IDが、その情報システムで必要か不要かを判断できるのは、その情報システムを用いる業務の責任者です。よって、無効化すべき従業員IDがあるかどうかの確認は、業務責任者に依頼すべきです。

b=キ
(4) 本文中の下線③について,P氏が指摘した問題点を二つ,解答群の中から選べ。
解答群
  • 調査から漏れた高リスクソフトが使われてしまう可能性がある。
  • 高リスクソフトの使用はライセンス違反になる可能性がある。
  • 高リスクソフトを継続的に調査して登録し続けることは工数が掛かりすぎる。
  • ブラックリストを利用して高リスクソフトの使用を禁止するとマルウェアを検知できなくなる。
  • ブラックリストを利用するとPCがA社ECサイトにアクセスできなくなる可能性がある。
解答選択欄
  •  
  •  
  •  
  •  
※順不同

解説

  • 正しい。
  • ライセンス違反となるかどうかは、高リスクソフトウェアのライセンス条項によります。ブラックリストに登録しただけでライセンス違反となるとは断定できません。
  • 正しい。
  • ブラックリストを利用すると、マルウェア対策ソフトが動作しなくなる旨の記述はありません。
  • このような記述はどこにもありません。
∴ア,ウ
(5) 本文中の下線④について,P氏が指摘した問題点を三つ,解答群の中から選べ。
解答群
  • 申請されたソフトウェアが高リスクソフトではないことの判断が難しい場合がある。
  • 申請されたソフトウェアが高リスクソフトではないことを確認し,検証する工数が掛かりすぎる場合がある。
  • ソフトウェアの利用申請から,実際に利用できるようになるまで時間が掛かるので,業務に影響が出る場合がある。
  • ソフトウェアをホワイトリストに登録すると,そのソフトウェアのライセンス違反になる場合がある。
  • 対策ソフトには,従業員がソフトウェアの利用を申請する機能がない場合がある。
解答選択欄
  •  
  •  
  •  
  •  
  •  
  •  

解説

  • 正しい。
  • 正しい。
  • 正しい。
  • ライセンス違反となるかどうかは、申請されたソフトウェアのライセンス条項によります。ホワイトリストに登録しただけでライセンス違反となるとは断定できません。
  • 対策ソフトに申請する機能がなくても、書類で申請し、審査後ホワイトリストに登録する手順で問題ありません。
∴ア,イ,ウ
(6) 表1中のcfに入れる字句はどれか。解答群のうち,最も適切なものをそれぞれ選べ。
c,d,e,f に関する解答群
  • 一時的に構築した情報システムに,バックアップテープの全ファイルをリストアし,ファイル比較ツールを使用してファイルサーバのバックアップ対象ファイルと比較し,ファイルが減っていないことを確認する。
  • 現在のバックアップに加え,日次で増分バックアップを行い,増分バックアップを6世代分取得し,世代ごとに別のバックアップテープに保存する。
  • テープバックアップ装置を,より高速な製品に交換する。
  • バックアップ先の媒体をバックアップテープからハードディスクに変更する。
  • バックアップ中にエラーが発生したら電子メールでシステム管理者に通知するツールを導入する。
  • バックアップテープをエラーの起きにくい信頼性の高い製品に変更する。
  • バックアップを2組み取得し,うち1組みを遠隔地に保管する。
  • ファイルサーバに対策ソフトを導入する。
解答選択欄
  • c:
  • d:
  • e:
  • f:
  • c=
  • d=
  • e=
  • f=

解説

cについて〕
現状では、毎週1回のバックアップになっています。これでは、週の途中でバックアップが必要になった場合、前回のバックアップ後に行われた業務処理データが全て失われてしまうことになります。
よって、対策としては、現在の週1回のフルバックアップに加えて、日次の増分バックアップを追加することが推奨されます。

c=イ

dについて〕
現状では、バックアップテープが、テープバックアップ装置の隣になるキャビネットに保管されています。これでは、火災や自然災害などでシステムが重大な被害を受けたとき、その横にあるバックアップテープも同時に破損してしまう恐れがあります。こうなってしまっては、バックアップからの回復の道が途絶え、業務の存続が不可能になるほどの重大な影響を受けることになります。
よって、このことへの備えとして、現在のバックアップテープと同じものを用意し、安全な遠隔地に保管しておくことが推奨されます。

d=キ

eについて〕
バックアップの取得が失敗していることに気が付かないことがリスクなのですから、失敗時に通知を行う仕組みを設ければ解決します。
「カ」のようにエラーの起きにくい信頼性の高い製品に変更することも考えられますが、エラーが起きにくいだけでエラーが起きないわけではないため、やはりエラー時に通知する仕組みは必要です。

e=オ

fについて〕
バックアップされた全ファイルと、バックアップ対象の全ファイルを比較することで、バックアップ設定の過不足を発見できます。よって「ア」が正解です。
「ケ」は、ファイルサーバのファイルを消して、バックアップしたファイルでリストアするという方法ですが もし、バックアップ設定に漏れがあったときに、そのファイルがファイルサーバから失われてしまうので不適切です。

f=ア
(7) 本文中のgに入れる字句はどれか。解答群のうち,最も適切なものを選べ。
g に関する解答群
  • A社ECサイトに対してASV(認定スキャニングベンダ)による脆弱性スキャンを実施し,発見された全ての脆弱性に対応する
  • A社ECサイトの決済機能を変更することによって,クレジットカード情報の非保持化を実現する
  • A社ECサイトのシステム運用業務を外部業者に委託する
  • A社ECサイトのペネトレーションテストを外部業者に委託し,指摘された内容を全て修正する
  • ISO/IEC 27001:2013又はJIS Q 27001:2014認証,及びISO/IEC 27017:2015に基づく認証を取得している組織のクラウドサービスを利用してA社ECサイトを再構築する
  • クレジットカードの取扱いをやめることによって,クレジットカード情報漏えいのリスクを回避する
解答選択欄
  • g:
  • g=

解説

2018年6月施行の改正割賦販売法では、加盟店に対し、クレジットカード番号等の情報管理や自らの委託先に情報管理に係る指導等を行うことを義務付けています。

この改正割賦販売法の規定するセキュリティ対策の実務上の指針と位置付けられているものに、クレジット取引セキュリティ対策協議会により策定された「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」があります。この「実行計画」の中で、カード情報保護及び漏洩対策として、事業者に求められるセキュリティ対策として「カード情報の非保持化」または「PCI DSS準拠」を示しています。

割賦販売法では、事業者に対して「実行計画」に示すセキュリティ対策を義務付け、法令施行後にセキュリティ対策を講じていない事業者は法令違反となります。

よって、A社の取り得る対応策としては「PCI DSS準拠」または「カード情報の非保持化」しかありません。本文中で、PCI DSS準拠は多額の費用がかかるとしていますので、gには費用のかからない「カード情報の非保持化」を勧める文言が入ります。

g=イ
非保持化
カード情報を保存する場合、それらの情報は紙のレポートやクレジット取引にかかる紙伝票、紙媒体をスキャンした画像データ等6のみであり、電磁的に送受信しないこと、すなわち「自社で保有する機器・ネットワークにおいて「カード情報」を『保存』、『処理』、『通過』しないこと」をいう

Pagetop