リスクアセスメントに関する次の記述を読んで,設問に答えよ。
G百貨店は,国内で5店舗を営業している。G百貨店では,贈答品として販売される菓子類のうち,特定の地域向けに配送されるもの(以下,菓子類Fという)の配送と在庫管理をW社に委託している。
〔W社での配送業務〕
W社は従業員100名の地域運送会社で,本社事務所と倉庫が同一敷地内にあり,それ以外の拠点はない。
G百貨店では,贈答品の受注情報を,Sサービスという受注管理SaaSに登録している。菓子類Fの受注情報(以下,菓子類Fの受注情報をZ情報という)が登録された後の,W社の配送業務におけるデータの流れは,図1のとおりである。
図1 W社の配送業務におけるデータの流れ
W社の配送管理課では,毎日09:00-21:00の間,常時稼働1名として6時間交代で配送管理業務を行っている。配送管理用PCは1台を交代で使用している。
Sサービスに登録されたZ情報をW社が参照できるようにするために,G百貨店は,自社に発行されたSサービスのアカウントを一つW社に貸与している(以下,G百貨店がW社に貸与しているSサービスのアカウントを貸与アカウントという)。貸与アカウントでは,Z情報だけにアクセスできるように権限を設定している。なお,SサービスとW社の各システムは直接連携しておらず,W社の配送管理課員がZ情報を参照して,在庫管理サーバ及び配送管理SaaSに入力している。1日当たりのZ情報の件数は10〜50件である。Z情報には,配送先の住所・氏名・電話番号の情報が含まれている。配送先の情報に不備がある場合は,配送員が配送管理課に電話で問い合わせることがある。なお,配送に関するG百貨店からW社への特別な連絡事項は,電子メール(以下,メールという)で送られてくる。
〔リスクアセスメントの開始〕
ランサムウェアによる“二重の脅迫”が社会的な問題となったことをきっかけに,G百貨店では全ての情報資産を対象にしたリスクアセスメントを実施することになり,セキュリティコンサルティング会社であるE社に作業を依頼した。リスクアセスメントの開始に当たり,G百貨店は,G百貨店の情報資産を取り扱っている委託先に対して,E社の調査に応じるよう要請し,承諾を得た。この中にはW社も含まれていた。
情報資産のうち贈答品の受注情報に関するリスクアセスメントは,E社の情報処理安全確保支援士(登録セキスペ)のTさんが担当することになった。Tさんは,まずZ情報の機密性に限定してリスクアセスメントを進めることにして,必要な調査を実施した。Tさんは,調査結果として,Sサービスの仕様とG百貨店の設定状況を表1に,W社のネットワーク構成を図2に,W社の情報セキュリティの状況を表2にまとめた。
表1 Sサービスの仕様とG百貨店の設定状況(抜粋)
図2 W社のネットワーク構成
表2 W社の情報セキュリティの状況
Tさんは,G百貨店が定めた図3のリスクアセスメントの手順に従って,Z情報の機密性に関するリスクアセスメントを進めた。
図3 リスクアセスメントの手順
表3 リスクレベルの基準
表4 リスクアセスメントの結果(抜粋)
〔リスクの管理策の検討〕
報告を受けた後,G百貨店は,総合評価がA〜Cのリスクについて,リスクを低減するために追加すべき管理策の検討をE社に依頼した。依頼に当たり,G百貨店は次のとおり条件を提示した。
・図1のデータの流れを変更しない前提で管理策を検討すること
・リスク番号1-1及び2-4については,総合評価にかかわらず,管理策を検討すること
依頼を受けたE社は,Tさんをリーダーとする数名のチームが管理策を検討した。追加すべき管理策の検討結果を表5に示す。
表5 追加すべき管理策の検討結果(抜粋)
その後,Tさんは,Z情報の完全性及び可用性についてのリスクアセスメント,並びに菓子類F以外の贈答品の受注情報についてのリスクアセスメントを行い,必要に応じて管理策を検討した。
E社から全ての情報資産のリスクアセスメント結果及び追加すべき管理策の報告を受けたG百貨店は,報告内容からW社に関連する部分を抜粋してW社にも伝えた。G百貨店とW社は,幾つかの管理策を実施し,順調に贈答品の販売及び配送を行っている。
設問1 表4及び表5中の ア 〜 エ に入れる適切な字句を答えよ。 ア は,表2中から該当する項番を全て選び,数字で答えよ。該当する項番がない場合は,“なし”と答えよ。 イ は答案用紙の大・中・小のいずれかの文字を◯で囲んで示せ。 ウ は答案用紙のA・B・C・Dのいずれかの文字を◯で囲んで示せ。
解答・解説
解答例
ア:10,11,12,13
イ:大
ウ:C
エ:G百貨店で,Sサービスへログイン可能なIPアドレスをW社プロキシだけに設定する。
解説
ー
設問2 次の問いに答えよ。
(1)表4中の あ に入れる適切な字句を,本文に示した状況設定に沿う範囲で,あなたの知見に基づき,答えよ。
解答・解説
解答例
G百貨店からW社への連絡を装った電子メールに未知のマルウェアを添付して,配送管理課員宛てに送付する。
解説
ー
(2)解答した あ の内容に基づき,表4及び表5中の い 〜 き に入れる適切な字句を答えよ。 う は,表2中から該当する項番を全て選び,数字で答えよ。該当する項番がない場合は,“なし”と答えよ。 え は答案用紙の大・中・小のいずれかの文字を◯で囲んで示せ。 お は答案用紙の高・中・低のいずれかの文字を◯で囲んで示せ。 か は答案用紙のA・B・C・Dのいずれかの文字を◯で囲んで示せ。
解答・解説
解答例
い:配送管理課員が,添付ファイルを開き,配送管理用PCが未知のマルウェアに感染した結果,IDとPWを周知するメールが読み取られ,SサービスのIDとPWが窃取される。そのIDとPWが利用されて,W社外からSサービスにログインされて,Z情報が漏えいする。
う:2,3,5,6,9,12
え:大
お:高
か:A
き:配送管理用PCにEDRを導入し,不審な動作が起きていないかを監視する。
解説
ー
設問3 表4中の a , b に入れる適切な字句について,表2中から該当する項番を全て選び,数字で答えよ。該当する項番がない場合は,“なし”と答えよ。
解答・解説
解答例
a:5,10,12
b:2,3,4
解説
ー
IPA公開情報
出題趣旨
情報資産を保護するためには,リスクを洗い出すことが出発点となる。リスクを洗い出した後,そのリスクによる情報資産への影響を分析した上で,対策の必要性を評価し,具体的な対策の内容を検討することが重要である。これらのリスクアセスメントからリスク対応までのプロセスを適切に行えることが,情報処理安全確保支援士(登録セキスぺ)には要求される。
本問では,業務委託関係にある百貨店と運送会社を題材に,リスクアセスメントを実施する能力,及び個々のリスクを低減するための対策を立案する能力を問う。
採点講評
問 4 では,業務委託関係にある百貨店と運送会社を題材に,個人情報に関するリスクアセスメントについて出題した。全体として正答率は平均的であった。
リスクアセスメントの中でも,リスク特定は担当者の知見が重要なプロセスである。本文内の状況説明と受験者自らの知見とを組み合わせてリスクを洗い出す能力を,設問 2 では問うた。多くの受験者が適切な解答を記述していたが,特定したリスクが具体性に欠けており,リスク分析の段階で被害の大きさや発生頻度の評価ができていない解答が散見された。また,“W 社外の第三者”や“W 社へのサイバー攻撃”といったリスクの前提に合っていない解答も一部に見られた。
リスクアセスメントは,組織の秘密情報を保護するための基本的なプロセスであり,このプロセスで大きなリスクの見落としがあると,重大なインシデントの発生につながってしまうおそれがある。情報処理安全確保支援士(登録セキスぺ)の専門性が発揮されるべき重要なプロセスであるので,リスクアセスメントの流れについて理解するとともに,その流れの中で,脅威を想定して攻撃シナリオを作成する方法及び攻撃シナリオを分析する方法について理解を深めるよう,学習を進めてほしい。