情報処理安全確保支援士過去問題令和5年秋期午後問4

出題趣旨

情報資産を保護するためには，リスクを洗い出すことが出発点となる。リスクを洗い出した後，そのリスクによる情報資産への影響を分析した上で，対策の必要性を評価し，具体的な対策の内容を検討することが重要である。これらのリスクアセスメントからリスク対応までのプロセスを適切に行えることが，情報処理安全確保支援士（登録セキスぺ）には要求される。本問では，業務委託関係にある百貨店と運送会社を題材に，リスクアセスメントを実施する能力，及び個々のリスクを低減するための対策を立案する能力を問う。

設問1

- ア: 10，11，12，13
- イ: 大
- ウ: C
- エ: G百貨店で，Sサービスへログイン可能なIPアドレスをW社プロキシだけに設定する。

設問1は、表4のリスク番号1-1のリスクに対するリスクアセスメントの結果および対策について問われています。リスク番号1-1のリスクは以下です。

W社従業員が、SサービスのIDとPWをメモ用紙などに書き写して、持ち出す
持ち出されたIDとPWが利用され、W社外からSサービスにログインされて、Z情報が盗まれる

〔アについて〕
空欄アには、リスク番号1-1に関する情報セキュリティの状況について、表2「W社の情報セキュリティの状況」から関連する項番を記入します。IDとPWの持ち出しという内部不正に関わってくる内容かどうかという観点で見ていくことになります。

まず、リスク源としてW社従業員が挙げられているため、表2のカテゴリ"人的セキュリティ対策"となっている項番9、10、11を確認することになります。このうち、項番9は標的型攻撃に関するものなので除外されます。項番10は「全従業員に対して，次の基本的な情報セキュリティ研修を行っている」とあり、その中に「IDとPWを含む，秘密情報の取り扱い方法」がありますので、項番10は対象となります。また、項番11は「不正行為の動機づけは十分に低い」とあるため、リスクの発現確率という意味で項番11も対象となります。
次に、カテゴリ"貸与アカウントのPWの管理"の項番12、13については、いずれもSサービスの貸与アカウントに関する内容なので対象となります。

なお、項番1にもIDとPWの記載がありますが、こちらW社内のPCとサーバのログイン時に使用するIDとPWの説明ですから、SサービスのIDとPWとは関係がなく対象外と言えます。その他、IDとPWの持ち出しに関連する記載はないため、「10，11，12，13」が記入されます。

∴ア＝10，11，12，13
〔イについて〕
空欄イは被害の大きさについて、大・中・小のどれになるか問われています。大・中・小の定義は、図3中の2.(2)に記載があります。

Z情報の機密性が損なわれる被害については、"Z情報の機密性への影響に至る経緯"に「Z情報がW社外のPCなどに保存される」と説明されています。問題文冒頭の〔W社での配送業務〕には「貸与アカウントでは，Z情報だけにアクセスできるように権限を設定している」とあり、これを逆に言えば、貸与アカウントにログインした攻撃者は、Z情報の全てについてアクセスできるということになります。これを被害の大きさの定義に照らし合わせると、「大：ほぼ全てのZ情報について，機密性が確保できない」が妥当します。

∴イ＝大
〔ウについて〕
空欄ウはリスクレベルについて問われています。リスクレベルは表3の基準に基づいて判断します。被害の大きさはイで回答したとおり「大」、発生頻度は表4より「低」となっています。この組合せが該当するリスクレベルは、表3より「C：リスクレベルは中程度である」です。

∴ウ＝C
〔エについて〕
空欄エはリスク低減のために追加すべき管理策について問われています。表5ではリスク番号1-1に対する管理策として、次の2つが挙げられています。
- G百貨店で（中略）多要素認証に変更する
- G百貨店で，Sサービスの操作ログを常時監視し，不審な操作を発見したらブロックする
これ以外に、W社従業員がIDとPWをメモ用紙などに書き写して持ち出すリスクに関する低減策を考える必要があります。

表1を確認すると、項番3にはSサービスにはログインを許可するIPアドレスのリストを設定する機能があり、現在はOFFになっていることがわかります。ログインを許可するアクセス元IPアドレスを限定すれば、たとえIDとPWが社外に持ち出されても、W社外からSサービスへの不正ログインを防ぐことができます。SサービスにはHTTPSでアクセスすること、IPアドレス制限機能はアカウントごとに設定できること、W社からインターネットへの通信は全てプロキシサーバを経由して行われることを考慮し、G百貨店側において、W社の貸与アカウントについてアクセスを許可するIPアドレスをW社プロキシサーバのみに制限することが追加の管理策として有効です。

∴エ＝G百貨店で、Sサービスへログイン可能なIPアドレスをW社プロキシだけに設定する。

設問2

- あ: G百貨店からW社への連絡を装った電子メールに未知のマルウェアを添付して，配送管理課員宛てに送付する。
- い: 配送管理課員が，添付ファイルを開き，配送管理用PCが未知のマルウェアに感染した結果，IDとPWを周知するメールが読み取られ，SサービスのIDとPWが窃取される。そのIDとPWが利用されて，W社外からSサービスにログインされて，Z情報が漏えいする。
- う: 2，3，5，6，9，12
- え: 大
- お: 高
- か: A
- き: 配送管理用PCにEDRを導入し，不審な動作が起きていないかを監視する。
- あ: 配送管理課員がよく閲覧するWebサイトにおいて，脆弱性を悪用するなどして，配送管理課員が閲覧した時に，未知のマルウェアを別のWebサイトからダウンロードさせるようにWebページを改ざんする。
- い: 配送管理課員が，改ざんされたWebページを閲覧した結果，マルウェアをダウンロードしてPCがマルウェアに感染する。マルウェアがキー入力を監視して，配送管理課員がSサービスにアクセスした際にIDとPWが窃取される。そのIDとPWが利用されて，W社外からSサービスにログインされ，Z情報がW社外のPCなどに保存される。
- う: 2，3，6
- え: 大
- お: 低
- か: C
- き: プロキシサーバのURLフィルタリング機能の設定を変更して，配送管理用PCからアクセスできるURLを必要なものだけにする。
- あ: W社からアクセスすると未知のマルウェアをダウンロードする仕組みのWebページを用意した上で，そのURLリンクを記載した電子メールを，G百貨店からＷ社への連絡を装って送信する。
- い: 配送管理課員が，電子メール内のURLリンクをクリックすると，配送管理用PCが未知のマルウェアに感染する。PC内に残っていたZ情報を一括出力したファイルが，マルウェアによって攻撃者の用意したサーバに送信され，Z情報が漏えいする。
- う: 2，3，5，6，9，10
- え: 大
- お: 高
- か: A
- き: 全てのPCとサーバに，振舞い検知型又はアノマリ検知型のマルウェア対策ソフトを導入する。

設問2は受験者の知見に基づき、他の問題に比べると自由な解答が求められるという、異例の出題でした。IPAからは3つ解答例が公開されているので、それぞれについて解説します。なお、本設問においては、「本文に示した状況設定に沿う範囲で」と記載されているため、できる限り本文に記載されている内容から組み立てる必要があります。状況設定においてわかっているのが、リスク源が「W社外の第三者」、行為または事象の分類が「W社へのサイバー攻撃」でかつ、フィッシングメールによるリスクおよびサーバの脆弱性を悪用したリスクを除いたものであることです。

のが無難です。また、「リスク源」は「W社外の第三者」、「行為又は事象の分類」は「W社へのサイバー攻撃」である必要があります。

【解答例1】
あ：G百貨店からW社への連絡を装った電子メールに未知のマルウェアを添付して、配送管理課員宛に送付する。
い：配送管理員が、添付ファイルを開き、配送管理用PCが未知のマルウェアに感染した結果、IDとPWを周知するメールが読み取られ、SサービスのIDとPWが窃取される。そのIDとPWが利用されて、W社外からSサービスにログインされて、Z情報が漏洩する。
う：2、3、5、6、9、12
え：大
お：高
か：A
き：配送管理用PCにEDRを導入し、不審な動作が起きていないかを監視する。

〔アについて〕
表2の項番5によると、メールSaaSのセキュリティ対策のオプションとして、「添付ファイルに対するパターンマッチング型マルウェア検査」が有効にされています。パターンマッチング型マルウェア検査は、マルウェアの特徴をデータベース化し、一致するマルウェアを検出するものです。つまり、既存のマルウェアの亜種であれば検知できるかもしれませんが、全くの未知のマルウェアや、ファイルレスマルウェアの前には無力となります。したがって、未知のマルウェアをメールに添付してW社に送りつけ、W社の従業員が添付ファイルを開き、マルウェアに感染するシナリオが考えられます。

〔イについて〕
空欄アにより、W社内のPCがマルウェアに感染した場合、

設問3

- a: 5，10，12
- b: 2，3，4

表4のリスク番号1-5と2-2について、情報セキュリティの状況に記入すべき番号について問われています。

〔aについて〕
リスク番号1-5のリスク源は「過失によるIDとPWの漏えい」です。機密性が損なわれるシナリオは次のようなものです。
1. W社従業員が、SサービスのIDとパスワードを、誤ってW社外の第三者にメールで送信してしまう
2. メールを受信した第三者が、IDとパスワードを利用してSサービスにログインし、Z情報にアクセスされる
表2の項番を一つずつ見ていきます。

項番1は、W社内のPCとサーバにログインする際のID・PWの話ですが、今回問題としているのはSサービスのIDとPWですので、本内容には関係ありません。
項番2は、マルウェア対策ソフトの話ですので、関係ありません。
項番3は、脆弱性プログラムの適用についてですので、関係ありません。
項番4は、インターネットとの通信についての記載ですので、関係ありません。
項番5は、メールSaaSは「特定のキーワードを含むメール送信のブロック」機能を有します。この機能を使用して、IDとPWを含むメール送信等をブロックできる可能性があるため、関係しています。
項番6は、プロキシサーバの機能についてですので、関係ありません。
項番7は、取り外し可能媒体への書き込み禁止ですので、関係ありません。
項番8は、事務所への入退室についての記載ですので、関係ありません。
項番9は、標的型攻撃に関する周知状況についてですが、今回は外部からの攻撃ではなく、W社従業員の過失（ミスやしくじり）によるものですので、関係ありません。
項番10は、従業員への情報セキュリティ研修の項目に「メール送信時の注意事項」とあるため、関係しています。
項番11は、従業員の倫理意識についてです。倫理意識は従業員による故意の不正行為とは関係しますが、内部意識が高くても過失を防ぐことはできないため、関係ありません。
項番12は、変更後PWの周知をメールで行っており、誤送信の原因となる運用方法なので、関係しています。
項番13は、「PWを書いた付箋が机上に貼ってあった」とのことですが、メールの誤送信によるIDとPWの漏えいとは無関係です。

∴a＝5，10，12
〔bについて〕
リスク番号2-2のリスク源は「W社のサイバー攻撃」です。機密性が損なわれるシナリオは次のようなものです。
1. インターネット上からW社のPCやサーバが不正操作され、それらの端末を踏み台にして配送管理用PCにキーロガーが埋め込まれる
2. キーロガーが、配送管理用PCに入力されたSサービスのIDとパスワードを外部に送信する
3. IDとパスワードを不正取得した第三者がSサービスにログインし、Z情報にアクセスされる
先ほどと同様に表2の項番を一つずつ見ていきます。

項番1は、W社内のPCとサーバにログインする際のID・PWの話ですが、今回問題としているのはSサービスのIDとPWですので、本内容には関係ありません。
項番2は、マルウェア対策ソフトの話であり、キーロガーもマルウェアの一種なので関係しています。
項番3は、脆弱性プログラムの適用についてであり、PCやサーバは脆弱性を突かれて不正に操作されるシナリオなので関係しています。
項番4は、インターネットとの通信についてであり、「インターネットからW社への全ての通信を禁止している」という部分が関係しています。
項番5は、メールSaaSの話ですので、関係ありません。
項番6は、プロキシサーバの機能についてです。キーロガーがプロキシサーバを経由して通信する可能性があるので、関係ありそうですが、解答例では無関係となっています。
項番7は、取り外し可能媒体への書き込み禁止ですので、関係ありません。
項番8は、事務所への入退室についての記載ですので、関係ありません。
項番9は、標的型攻撃に関する周知状況についてですが、今回は不正侵入されたことによるものですので、関係ありません。
項番10は、従業員への情報セキュリティ研修ですが、今回は不正侵入されたことによるものですので、関係ありません。
項番11は、従業員の倫理意識についてです。W社従業員による内部不正ではないので、関係ありません。
項番12は、SサービスのPWの管理に関する記述ですが、PWの管理方法を問わず発生し得るシナリオなので、関係ありません。
項番13は、SサービスのPWの管理に関する記述ですが、PWの管理方法を問わず発生し得るシナリオなので、関係ありません。

∴b＝2，3，4

情報処理安全確保支援士過去問題 令和5年秋期 午後 問4

出題趣旨

設問1

設問2

設問3

情報処理安全確保支援士過去問題令和5年秋期午後問4