情報セキュリティマネジメント試験 平成28年秋(2016)午後 ③業務用 PC での Web サイト閲覧

ここでの勉強のポイント

このサイトは、国家試験、情報セキュリティマネジメント試験の過去問題の中の一部です。
このページでは主に下記の事柄を勉強致します。

  1. ウイルス対策ソフトの必要性
  2. インシデント発生における初動対応とは
  3. 時系列に沿った整理と分析法
  4. アクセス権の設定ミスからの情報漏洩
  5. 情報漏洩した場合の対策



はじめに、架空の会社 P 社の説明

P 社は、従業員数 1,000名の消費者向け健康食品製造会社であり、経営方針として自社のブランドイメージを重視している。P 社では全従業員が基盤情報システムを利用して日々の業務を行っている。
基盤情報システムは、会社貸与の業務用 PC 、LAN 及びインターネット接続からなるネットワークサービス、ディレクトリサービス、社内ファイル共有サービス、電子メールサービスなどから構成されている。P 社従業員は、LAN からのプロキシサーバを経由しないインターネット接続はファイアウォールによって遮断されている。
P 社には、基盤情報システム以外にも勤怠管理システム、交通費精算管理システム及び人事管理システムなどがある。

P 社基盤情報システムにおける設定と運用管理

利用規定

インシデントの発見と初動対応

9 月 26 日( 金 ) 10 時、運用管理課の H さんが基盤情報システムを運用監視していたところ 9 月23 日( 金 ) 20 時から 25 日( 日 )にかけての社内からインターネットへの通信料が前週の金曜日から日曜日にかけてのものと比較して大幅に増えていることを発見し、直ちに運用管理課の D 課長に報告した。D 課長は不審に思い、プロキシサーバのログを調査した。そして下記が判明した。

プロキシサーバのログの調査結果

B 課長は、利用規定にのっとり、E さんに E-PC の HDD 内のふぉるだとファイルに対して何も操作をしない。又、E-PC を LAN から切り離すなどの初動対応を指示し、併せて A 部長に報告した。B 課長は、自席 PC を利用して E さんの勤怠管理情報を調査した。E さんは市場調査業務を担当しているので、P 社の競合情報、消費者動向などについての様々なインターネット上の Web サイトを日々閲覧している。次に情報システム部の協力の下、B 課長による調査結果と E-PC からインターネットへのアクセスログとを突き合わせたところ多量に通信が記録されていた時刻の中には、E さんが退勤していた時刻が含まれていた。更に、E さんへの聞き取り調査を行ったところ、E さんは、P 社が入居するオフィスビルの法定点検に基づく停電時以外は離席、外出又は帰宅の際、E-PC にログインしたままにしていたことが判明した。この事より、今回の不審なアクセスは、E さん自身によるものではないと推定された。更に B 課長と D 課長の協議と情報システム部の調査の結果を次に示す。

情報システム部における調査の結果

各事象の発生日時

上の表の情報システム部が、次に示す調査及び対応を開始で行った作業は
E-PC の HDD を別の HDD にフルコピーした上で、最新のパターンファイルを搭載した別の PC に、その HDD を接続してフルスキャンを実施
・プロキシサーバなどのネットワーク機器上のログと E-PC など時系列に沿って整理及び分析

情報システム部による調査結果の中間報告

マーケティング部と情報システム部の間でソフト Z に対するパッチ適用を含めた運用管理については何も取り決めがない状態でした。
マーケティング部からのソフトウェアインストール申請書には、バッチ適用などの運用管理についての依頼は記載されていませんでした。

E さんがアクセスしたのは、閲覧するだけで不正プログラムに感染するように企業の正規の公開 Web サイトが改ざんされたものだったと考えられます。

Web サイトが改ざんされたことによって、その Web サイトの所有者たる企業は、被害者となるだけでなく、Web サイト閲覧者にたいしても不正プログラムによる被害が及ぶので加害者の立場になってしまうおそれがあり、非常に怖いです。私自身の職務からもひとごとではないので、自社 Web サイトの脆弱性を定期的に実施して、問題があれば修正する。また、新たな脆弱性が発見された場合にも必要な対応をとる。などすぐに対策を検討します。

課題の改善

内容が不明なデータが E-PC から社外に大量に送信されたことから情報漏洩が起きたおそれもあります。そこで E さんへのヒアリングと、マーケティング 2 課へのヒアリングも行った。

B 課長による E さん及ぼマーケティングのヒアリングの結果

いつか業務に役立つと考え社内共有フォルダ N から E-PC にコピーした。これは、アクセスの権限が部単位に設定されていたので発生した。課単位への変更が必要。

A 部長はこれまでの結果から次の事柄の検討が必要であると進言した。

検討が必要な項目

情報システム部の調査結果から情報漏洩が発生したおそれは低いことがわかった。
改善すべき課題、1-1 から 1-5 の他にもないかの確認を提案し、了承を得た。

B 課長は、改善すべき課題が他にもないか、マーケッティング部内で取り扱っている全ての情報資産とその取扱い状況を可視化した上でリスクアセスメントを実施した。



関連する用語

証拠保全
攻撃や被害の痕跡を誤って消してしまえば、事故後の調査や分析ができなくなります。そうなると、再発防止策を立てたり、被害者への対応を検討したりすることもできません。組織として情報セキュリティ事故への適切な対応を行うためには、分析が可能な状態で証拠を保全し、収集することが不可欠なのです。
これは、自社で分析を行うときはもちろん、セキュリティベンダーに調査を依頼するときにも必要な考え方です。不用意にシステムやコンピュータ上のデータを触ってしまうことで証拠の状態が変化し、セキュリティベンダーによる分析が困難になることがあるからです。場合によっては、証拠を維持するために「何もしない、何も触らない」という判断をすることも必要になります。




学習の確認

  1. ウイルス対策ソフトの必要性
  2. インシデント発生における初動対応とは
  3. 時系列に沿った整理と分析法
  4. アクセス権の設定ミスからの情報漏洩
  5. 情報漏洩した場合の対策