情報セキュリティマネジメント試験について、2022年4月25日に大幅な試験制度の変更が発表されました。
情報セキュリティマネジメント試験の午後試験が科目B試験となり科目A試験と一括実施となったことで、実質的に午前試験と午後試験が統合されることになりました。
さらに科目B試験は従来の長文問題ではなく、やや長めの小問形式となります。
具体例として、サンプル問題が提示されていましたので、このページではその解説を紹介したいと思います。
出典: 情報セキュリティマネジメント試験 科目B試験サンプル問題
問1 A 社は,スマートフォン用のアプリケーションソフトウェアを開発・販売する従業員 100 名の IT 会社である。A 社には,営業部,開発部,情報システム部などがある。情報システム部には,従業員からの情報セキュリティに関わる問合せに対応する者(以下,問合せ対応者という)が所属している。
A 社は,社内の無線 LAN だけに接続できるノート PC(以下,NPC という)を従業員に貸与している。A 社の従業員は,NPC から社内ネットワーク上の共有ファイルサーバ,メールサーバなどを利用している。A 社の従業員は,ファイル共有には,共有ファイルサーバ及び SaaS 型のチャットサービスを利用している。
A 社は,不審な点がある電子メール(以下,電子メールをメールといい,不審な点があるメールを不審メールという)を受信した場合に備えて,図 1 の不審メール対応手順を定めている。
【メール受信者の手順】
- メールを受信した場合は,差出人や宛先のメールアドレス,件名,本文などを確認する。
- 少しでも不審メールの可能性がある場合は,添付ファイルを開封したり,本文中の URL をクリックしたりしない。
- 少しでも不審メールの可能性がある場合は,問合せ対応者に連絡する。
【問合せ対応者の手順】
(省略)
図 1 不審メール対応手順
ある日,不審メール対応手順が十分であるかどうかを検証することを目的とした,標的型攻撃メールへの対応訓練(以下,A 訓練という)を,営業部を対象に実施することが A 社の経営会議で検討された。営業部の情報セキュリティリーダである B 主任が,マルウェア感染を想定した A 訓練の計画を策定し,計画は経営会議で承認された。
今回の A 訓練では,PDF ファイルを装ったファイルをメールに添付して,営業部員 1 人ずつに送信する。このファイルを開くと PC が擬似マルウェアに感染し,全文が文字化けしたテキストが表示される。B 主任は,A 訓練を実施した後,表 1 に課題と解決案をまとめて,後日,経営会議で報告した。
課題 No. | 課題 | 解決案 |
課題1 | 不審メールだと気付いた営業部員が,注意喚起するために部内の連絡用のメーリングリスト宛てに添付ファイルを付けたまま転送している。 | 不審メール対応手順の【メール受信者の手順】の 3 を,“少しでも不審メールの可能性がある場合は,問合せ対応者に連絡した上で, a ”に修正する。 |
課題2 | (省略) | (省略) |
設問 表 1 中の a に入れる字句はどれか。解答群のうち,最も適切なものを選べ。
解答群
- 注意喚起するために,同じ部の全従業員のメールアドレスを宛先として,添付ファイルを付けたまま,又は本文中の URL を記載したまま不審メールを転送する。
- 注意喚起するために,全従業員への連絡用のメーリングリスト宛てに添付ファイルを付けたまま,又は本文中の URL を記載したまま不審メールを転送する。
- 添付ファイルを付けたまま,又は本文中の URL を記載したまま不審メールを共有ファイルサーバに保存して,同じ部の全従業員がアクセスできるようにし,メールは使わずに口答,チャット,電話などで同じ部の全従業員に注意喚起する。
- 問合せ対応者の指示がなくても,不審メールを問合せ対応者に転送する。
- 問合せ対応者の指示に従い,不審メールを問合せ対応者に転送する。
解答・解説
解答
オ
解説
不審なメールやその添付ファイルを他の従業員に転送したり、閲覧可能な状態にするのは、マルウェア等の拡散行為になりますのでNGです。
また、不審なメール受信時は、問合せ対応者に連絡する旨、不審メール対応手順に定められているため、連絡の上、問合せ対応者の指示に従うべきです。
出題趣旨
標的型攻撃メールへの対応訓練を題材にして,不審なメールを受信した従業員が順守すべき対応手順が十分であるかどうかを検証し,その際に発見された課題を解決する能力を問う。
問2 国内外に複数の子会社をもつ A 社では,インターネットに公開する Web サイトについて,A 社グループの脆弱性診断基準(以下,A 社グループ基準という)を設けている。A 社の子会社である B 社は,会員向けに製品を販売する Web サイト(以下,B 社サイトという)を運営している。会員が 2 回目以降の配達先の入力を省略できるように,今年の 8 月,B 社サイトにログイン機能を追加した。B 社サイトは,会員の氏名,住所,電話番号,メールアドレスなどの会員情報も管理することになった。
B 社では,11 月に情報セキュリティ活動の一環として,A 社グループ基準を基に自己点検を実施し,その結果を表 1 のとおりまとめた。
項番 | 点検項目 | A 社グループ基準 | 点検結果 |
(一) | Web アプリケーションプログラム(以下,Web アプリという)に対する脆弱性診断の実施 |
・インターネットに公開しているWeb サイトについて,Web アプリの新規開発時,及び機能追加時に行う。 ・機能追加などの変更がない場合でも,年 1 回以上行う。 |
・毎年 6 月に,Web アプリに対する脆弱性診断を外部セキュリティベンダに依頼し,実施している。 ・今年は 6 月に脆弱性診断を実施し,脆弱性が 2 件検出された。 |
(二) | OS 及びミドルウェアに対する脆弱性診断の実施 |
・インターネットに公開しているWeb サイトについて,年 1 回以上行う。 |
・毎年 10 月に,B 社サイトに対して行っている。 ・今年 10 月の脆弱性診断では,軽微な脆弱性が 4 件検出された。 |
(三) | 脆弱性診断結果の報告 |
・Web アプリ,OS 及びミドルウェアに対する脆弱性診断を行った場合,その結果を,診断後 2 か月以内に各社の情報セキュリティ委員会に報告する。 |
・Web アプリに対する診断の結果は,6 月末の情報セキュリティ委員会に報告した。 ・OS 及びミドルウェアに対する診断の結果は,脆弱性が軽微であることを考慮し,情報システム部内での共有にとどめた。 |
(四) | 脆弱性診断結果の対応 |
・Web アプリ,OS 及びミドルウェアに対する脆弱性診断で,脆弱性が発見された場合,緊急を要する脆弱性については,速やかに対応し,その他の脆弱性については,診断後,1 か月以内に対応する。指定された期限までの対応が困難な場合,対応の時期を明確にし,最高情報セキュリティ責任者(CISO)の承認を得る。 |
・今年 6 月に検出した Web アプリの脆弱性 2 件について,1 週間後に対応した。 ・今年 10 月に検出した OS 及びミドルウェアの脆弱性 4 件について,2 週間後に対応した。 |
設問 表 1 中の自己点検の結果のうち,A 社グループ基準を満たす項番だけを全て挙げた組合せを,解答群の中から選べ。
解答群
- (一)
- (一),(二)
- (一),(二),(三)
- (一),(三)
- (一),(四)
- (二),(三),(四)
- (二),(四)
- (三)
- (三),(四)
解答・解説
解答
キ
解説
(一)毎年一回以上の脆弱性診断を行うという条件は満たしていますが、機能追加時に脆弱性診断を行うという条件を満たしていません。(8月の機能追加後に診断が行われていません)
(ニ)A 社グループ基準を満たしています。
(三)OS 及びミドルウェアに対する診断の結果を部内の判断で情報セキュリティ委員会に報告していないため、条件を満たしていません。
(四)A 社グループ基準を満たしています。
出題趣旨
インターネットに公開している Web サイトの脆弱性診断を題材にして,情報セキュリティ活動の一環である自己点検の実施状況が,順守を求められている基準を満たしているか否かを判断する能力を問う。
問3 消費者向けの化粧品販売を行う A 社では,電子メール(以下,メールという)の送受信にクラウドサービスプロバイダ B 社が提供するメールサービス(以下,B サービスという)を利用している。A 社が利用する B サービスのアカウントは,A 社の情報システム部が管理している。
〔B サービスでの認証〕
B サービスでの認証は,利用者 ID とパスワードに加え,あらかじめ登録しておいたスマートフォンの認証アプリを利用した 2 要素認証である。入力された利用者 ID とパスワードが正しかったときは,スマートフォンに承認のリクエストが来る。リクエストを 1 分以内に承認した場合は,B サービスにログインできる。
〔社外のネットワークからの利用〕
社外のネットワークから社内システム又はファイルサーバを利用する場合,従業員は貸与された PC から社内ネットワークに VPN 接続する。
〔PC でのマルウェア対策〕
従業員に貸与された PC には,マルウェア対策ソフトが導入されており,マルウェア定義ファイルを毎日 16 時に更新するように設定されている。マルウェア対策ソフトは,毎日 17 時に,各 PC のマルウェア定義ファイルが更新されたかどうかをチェックし,更新されていない場合は情報システム部のセキュリティ担当者に更新されていないことをメールで知らせる。
ある日の 15 時頃,販売促進部の情報セキュリティリーダである C 課長は,在宅で勤務していた部下の D さんから,メールに関する報告を受けた。報告を図 1 に示す。
- 販売促進キャンペーンを委託している E 社の F さんから 9 時 30 分にメールが届いた。
- F さんとは直接会ったことがある。この数か月頻繁にやり取りもしていた。
- そのメールは,これまでのメールに返信する形で作成されており,メールの本文には販売キャンペーンの内容や F さんがよく利用する挨拶文が記載されていた。
- 急ぎの対応を求める旨が記載されていたので,メールに添付されていたファイルを開いた。
- メールの添付ファイルを開いた際,特に見慣れないエラーなどは発生せず,ファイルの内容も閲覧できた。
- ファイルの内容を確認した後,返信した。
- 11 時頃,D さんのスマートフォンに,承認のリクエストが来たが,B サービスにログインしたタイミングではなかったので,リクエストを承認しなかった。
- 12 時までと急いでいた割にその後の返信がなく不審に思ったので,14 時 50 分に F さんに電話で確認したところ,今日はメールを送っていないと言われた。
- 現在までのところ,PC の処理速度が遅くなったり,見慣れないウィンドウが表示されたりするなどの不具合や不審な事象は発生していない。
- 現在,PC は,インターネットには接続しているが,社内ネットワークへの VPN 接続は切断している。
- D さんはすぐに会社に向かうことは可能で,D さんの自宅から会社までは 1 時間掛かる。
図 1 D さんからの報告
C 課長は,D さんの PC がマルウェアに感染した可能性もあると考え,マルウェア感染による被害の拡大を防止するために D さんに二つ指示をした。
設問 次の(一)~(五)のうち,D さんへの指示として適切なものを二つ挙げた組合せを,解答群の中から選べ。
(一) B サービスのパスワードを変更するように情報システム部に依頼する。
(二) PC のネットワーク接続を切断し,PC のフルバックアップを実施する。
(三) PC を会社に持参し,オフラインでマルウェア対策ソフトのマルウェア定義ファイルを最新に更新した後,フルスキャンを実施し,結果を C 課長に報告する。
(四) 社内ネットワークに VPN 接続した上で,ファイルサーバに添付ファイルをコピーする。
(五) メールに添付されていたファイルを再度開き,警告が表示されたり,PC に異常がみられたりするかどうかを確認し,結果を C 課長に報告する。
解答群
- (一),(二)
- (一),(三)
- (一),(四)
- (一),(五)
- (二),(三)
- (二),(四)
- (二),(五)
- (三),(四)
- (三),(五)
- (四),(五)
解答・解説
解答
イ
解説
(一) 「D さんのスマートフォンに,承認のリクエストが来た」ことからパスワードが漏洩しているおそれがあるため、パスワードを変更依頼は適切です。
(二) PC がマルウェアなどに感染しているとすれば、その PC のフルバックアップを実施しても意味がありません。
(三) PC を会社に持参できるタイミングが、ちょうどマルウェア定義ファイルの更新タイミングですので、更新した後にフルスキャンを実施することは適切です。
(四) マルウェア感染のおそれのある端末を社内ネットワークに接続することは危険です。
(五) 怪しいメールに添付されていたファイルを開くことはNGです。
出題趣旨
マルウェア EMOTET は,2021 年 11 月から活動を再開し,多くの企業に被害をもたらしている。本問では,マルウェア感染被害の拡大を防ぐために実施すべき事項を題材にして,情報セキュリティインシデント発生時の初動対応を判断する能力を問う。