情報セキュリティの管理に関する次の記述を読んで,設問に答えよ。
J社は,首都圏で生命保険の各種保険商品を販売する中堅企業である。J社の営業日は,月曜日から金曜日までの平日である。J社の情報システム部は,営業支援のための営業システムを運用しており,運用時間は,営業日の9時から19時までである。J社営業部の営業員は,営業部のPCを使って,営業管理サーバで稼働する営業システムを利用する。J社のシステム構成を図1に示す。
図1 J社のシステム構成
営業員は,電子メールを利用し,メールサーバを経由して社外のJ社の顧客と連絡を行っている。また,営業員は,クラウド事業者が提供するストレージサービスを利用し,営業活動に必要な業務データを保存している。ストレージサービスでは,利用者の要求に応じて容量を動的に拡張できる。なお,クラウド事業者とのインターネットを介した通信は,セキュリティ上の安全性が確保されている。
〔業務の生産性を向上させる活動〕
営業部では,本年からPCで稼働する業務効率化ツール(以下,業務ツールという)を使って,営業員の業務の生産性を向上させる活動を推進しており,業務効率向上推進委員として,M氏を任命している。なお,業務ツールは,営業員が自ら作成する。
M氏は,営業員に対して業務ツール作成方法の指導や好事例の紹介を行うとともに,業務ツール利用についての作業管理を行っている。作業管理の手順を図2に示す。
図2 作業管理の手順
〔情報セキュリティ対策の現状〕
情報システム部では,情報セキュリティ対策として,ウイルス対策サーバを設置し,PC及び各サーバ(以下,これらをJ社機器という)で,パターンマッチング方式によるウイルスチェックを行っている。また,情報セキュリティ管理の運用ルールでは,情報セキュリティインシデントが発生した場合は,インシデント対応手順に従って即時に対応し,解決に時間が必要なインシデントが発生したときでも,当日中にはインシデントの解決方法を決定することなどを定めている。
情報セキュリティインシデントが発生した場合は,J社機器のログを分析し,原因を調査している。毎月1回,営業日以外の日に行うシステム保守作業で,システム保守員が,各サーバのシステム時刻を正しい時刻に設定し直しているが,複数の機器のログを突き合わせたときに,それぞれのシステム時刻が正確ではなく,時間軸での発生事象の流れを正確に把握できないことがある。また,J社機器の各種ログは,それぞれのJ社機器の内蔵ストレージに記録しており,最新3か月分を保存できるようにしている。
〔情報セキュリティ対策強化の取組〕
昨今,他社において,マルウェア感染によって業務システムが長時間停止し,大きな事業影響を受ける事例が発生している。そこで情報システム部では,情報セキュリティ対策強化の取組を行うこととなり,情報システム部のITサービスマネージャK氏が,J社の情報セキュリティ対策を点検した。この結果,“未知マルウェアへの対応”及び“ログ管理方法の見直し”が必要であり,対策を検討することとした。
〔未知マルウェアへの対応〕
J社で実施しているパターンマッチング方式のウイルスチェックは,検査対象のファイルを,既知の脅威情報を基にしたパターン情報と比較し,一致したものをウイルスとして検知するだけである。そこで,未知の脅威に対応できるように,パターンマッチング方式以外の手法を用いた未知マルウェア対策システムを導入することとした。
K氏は,各社の製品を調査し,L社の製品(以下,Lソフトという)を選定した。これに伴い,J社機器にLソフトを導入し,管理用の未知マルウェア対策サーバ(以下,Lサーバという)を,J社情報システム部に設置する。Lソフトの主な機能は次のとおりである。
・実行ファイルの挙動を監視できる検査エンジンを有するLソフトが,機器内のファイルを監視し,不正プログラムを検知する。監視する挙動としては,ファイルオープン及び削除の大量な繰り返しなどである。
・Lソフトが不正プログラムを検知した場合,当該J社機器及びLサーバの画面に検知メッセージを表示し,不正プログラムを検体として採取する。
・検知対象外とする実行ファイルの指定ができる。Lサーバに検知対象外とする実行ファイルを登録すると,登録された実行ファイルのハッシュ値が,Lソフトを導入しているJ社機器に自動的に配付される。J社機器で,Lソフトの検査エンジンが実行ファイルの異常な挙動を検知した場合は,当該実行ファイルのハッシュ値を求め,事前に配付されたハッシュ値と比較して検知対象外とするか否かを判定し,一致した場合は検知対象外とする。
また,L社は,Lソフトに関連して,二つの保守サービスを提供している。L社の保守サービスの概要は,表1のとおりである。
表1 L社の保守サービスの概要
K氏は,J社の営業システムの運用時間及びL社の保守サービスの費用を考慮して,標準サポート保守サービスをL社と契約した。
〔ログ管理方法の見直し〕
J社で運用しているシステムについて,現在のログ管理は,情報セキュリティ対策面で幾つかの課題があることから,ログ管理方法を見直すこととした。表2に,現状のログ管理の課題及び検討した対策内容を示す。
表2 現状のログ管理の課題及び検討した対策内容
K氏は,“未知マルウェアへの対応”及び“ログ管理方法の見直し”の検討結果について,情報システム部のN部長に報告し,承認を得た。その後,対策を実施し,運用を開始することとした。
〔インシデントの発生とその対応〕
J社機器にLソフトを導入し,運用を開始後,ある日の18時30分頃に,営業部にある複数の営業員のPCで,不正プログラムが検知された。そこで,インシデント対応手順に従って,営業部の全PCのLANケーブルを緊急抜線し,PC利用を中止した。連絡を受けたK氏は,PC操作状況を営業員にヒアリングした結果,"ある業務ツールの利用を開始してすぐに,不正プログラムの検知メッセージが表示された”とのことであった。K氏は,採取されていた検体をL社に送付し,営業部でのPC操作状況を伝えて解析依頼を行った。
19時50分に,L社から“検体は,安全な実行ファイルであると確認できた。検体の挙動をLソフトが過検知して検知メッセージを表示した”との解析結果の回答があった。なお,検体は,営業システム内にある大量の保険契約ファイルのオープンを順次繰り返して自動処理する業務ツールであった。そこで,K氏は,翌営業日から,PCを利用して業務を再開できると判断した。
K氏は,情報セキュリティインシデントの対応状況を整理し,業務再開に向けた承認を得るため,情報システム部のN部長に報告した。N部長から,“当該業務ツールが再び過検知されないように,対策を講じた上で業務を再開すること”との指示があった。そこで,K氏は,(イ)過検知対策を講じ,業務を再開した。また,今後,今回と同様なインシデントの発生を防ぐために,日常的に実施する対策として,図2の作業管理の手順を見直し,図2の4の業務ツール利用申請の承認前に,(ウ)情報システム部が実施する手順を新たに追加して当該業務ツールが安全なファイルであることを確認することにした。
〔発生したインシデントの振り返り〕
K氏は,今回発生した情報セキュリティインシデントを振り返り,一連の対応について,N部長に報告した。N部長から,"一連の対応の妥当性は確認できたが,L社との保守サービスの契約が現在のままだと,情報セキュリティ管理の運用ルールを守れない場合があるので,(エ)L社との保守契約を見直すこと”との指摘があった。そこで,K氏は,プレミアムサポート保守サービスに契約を変更することにした。
設問1 〔ログ管理方法の見直し]について答えよ。
(1)表2中の a に入れる適切な字句を,25字以内で具体的に答えよ。
解答・解説
解答例
・時間軸での発生事象の流れを正確に把握
・時系列でインシデント状況を正確に把握
解説
ー
(2)表2中の下線(ア)について,ログ管理システムのサーバを設置する場所は,図1中のどのセグメントがよいか。答案用紙の"LAN1・LAN2"のいずれかの文字を○印で囲んで示せ。また,情報セキュリティ管理の観点から,そのセグメントとする理由について,40字以内で答えよ。
解答・解説
解答例
設置する場所:LAN1・LAN2
理由:内部セグメントは,外部から攻撃を受けにくく,ログの改ざ んから守れるから
解説
ー
(3)表2中の b に入れる具体的な対策内容を,図1中の字句を使って30字以内で答えよ。
解答・解説
解答例
ストレージサービスを使って,バックアップを保存
解説
ー
設問2 〔インシデントの発生とその対応〕について答えよ。
(1)本文中の下線(イ)について,業務再開後に当該業務ツールが再び過検知されないために必要な対策の内容を30字以内で答えよ。
解答・解説
解答例
当該業務ツールの実行ファイルを L サーバに登録する。
解説
ー
(2)本文中の下線(ウ)について,情報システム部が実施する具体的な手順を50字以内で答えよ。
解答・解説
解答例
完成した業務ツールを L ソフトでテストし,検知した場合は安全かどうかの判 定を L 社に依頼する。
解説
ー
設問3 〔発生したインシデントの振り返り〕について,本文中の下線(エ)で保守契約を見直す理由を40字以内で答えよ。
解答・解説
解答例
解析依頼時刻が 18 時以降の場合,L 社の回答が翌営業日になる可能性があるから
解説
ー
IPA公開情報
出題趣旨
情報セキュリティ管理の検討に当たっては,現在のシステム運用状況及び情報セキュリティ対策の内容を把握し,技術動向も踏まえて,効果的な強化策を策定する。
本問では,既存システムへの情報セキュリティ管理の強化を題材として,業務運用への影響を考慮したマルウェア対策製品の導入,ログ管理システムの導入検討などを通じて,情報セキュリティ管理の実務能力を問う。
採点講評
問 2 では,運用している営業システムの未知マルウェアへの対応,ログ管理方法の見直しなどを題材に,情報セキュリティ管理について出題した。全体として正答率は平均的であった。
設問 1(2)の解答で,セグメントを選択する理由は,正答率がやや低かった。情報セキュリティ管理の観点から,セキュリティへの脅威やリスクといった内容を解答してほしい。
設問 2(2)は,正答率がやや低かった。安全なファイルであることの事前確認なしで業務ツールを検知対象外として登録する誤答が多かった。情報システム部でテストを行い,必要に応じて保守サービスを利用して安全なファイルかどうかを確認する具体的な手順を導き出してほしい。
設問 3 は,正答率がやや低かった。標準サポートの保守サービスでは,解析依頼の時間帯によっては,情報セキュリティ管理の運用ルールが守れない場合があることを具体的に解答してほしい。
