情報セキュリティマネジメント試験 平成29年秋(2017)午後 ①情報セキュリティリスクアセスメント

ここでの勉強のポイント

このサイトは、国家試験の情報セキュリティマネジメント試験の過去問題の中の一部です。
このページでは主に下記の事柄を勉強致します。

  • 情報資産管理台帳の作成方法
  • 評価の仕方
  • リスク値の求め方
  • 受容リスクと保有以外のリスク対応
  • 情報セキュリティの技術的対策には?




はじめに、架空の会社の D 社の説明

D 社は、資本金 1 億円、従業員数 1,000 名の中堅機械製造会社で精密機械の設計、製造、販売を行っている。経営企画部、人事総務部、情報システム部など管理部門の従業員数は、 120 名である。D 社では、情報セキュリティリスクアセスメント手順を下図のように定めている。

中小企業の情報セキュリティ対策ガイドラインの表

脅威及び脆弱性の評価基準

在宅勤務の試行導入

D 社では、従業員のワークライフバランスの実現と業務の生産性向上を目的として、在宅勤務の導入を経営会議で決定した。在宅勤務の最終利用登録者数は、全社で 100 名程度を想定している。この決定を受け、在宅勤務の労務管理士の課題抽出のために、人事総務内で在宅勤務を 3 か月間試行することになり、人事総務部の F さんが在宅勤務推進担当に任命された。そして、2 つの案を検討した。

案 1 :業務用に会社から貸与されたノート PC を自宅に持ち帰り、社内システムにアクセスして業務を行う。
案 2 :自宅にある個人所有の PC を使用し、社内システムにアクセスして業務を行う。
なお、NPC の会社からの持ち出しは、NPC利用規則によって禁止されているので、在宅勤務の開始にあたっては、該当規則の改訂が必要になる。

在宅勤務の実現案の確認

在宅勤務形態は、PC の紛失・盗難によるリスクのことを考えると、オンライン持出型で、シンクライアント型が理想的です。

在宅勤務形態の三つのパターン

シンクライアント型を導入するには、専用サーバーやソフトウェアなどの導入費用が発生するので予算の確保が必要になる。

専用サーバー、ソフトウェアのシステム構築にも時間が掛かるのですぐに対応することは難しい。という事で、オンライン持出型に決まった。

情報セキュリティリスクの再評価

情報資産管理台帳

上記の
・情報セキュリティリスクアセスメント手順
・中小企業の情報セキュリティ対策ガイドライン表
・脅威及び脆弱性の評価基準
より、情報資産管理台帳を完成させる。

情報資産管理台帳で、リスク値がしきい値以下なので、在宅勤務が可能だと安心できません。
社内と違って、在宅勤務には特有の脅威があり、リスク値が変化する場合もあります。

リスク値が、ほかにも変化する事柄
・OSに深刻な脆弱性が発見され、セキュリティパッチの適用までに時間が掛かる場合
・使用している暗号アルゴリズムが危たい化した場合
・取引先から秘密と指定されていた情報が一般公開され、秘密でなくなりリスク値が下がった。
・標的型攻撃メールが急増した。

在宅勤務における脅威と脆弱性

在宅勤務で NPC を自宅に持ち帰る途中で紛失・盗難に遭う事があるので、脅威αの評価値は 2 とします。現状の対策では、当社の本社及び各事業所では IC カードによる入退室管理を行っており、かつ NPC は、ケーブルロックによって固定する物理的対策も行っているので対策は十分と考えてリスクの低減は実施していません。

NPC では、脅威 α によるリスクに有効な幾つかの技術的対策として、NPC 利用時の利用者認証や、データのバックアップの実施など行っていますが、紛失・盗難の状況化では、第三者によって情報が取り出される恐れがあります。
このため、必要な管理策のうち一部の管理策だけを実施していると判断されますので、脅威 α に対する脆弱性の評価を 1 から 2 に見直すとリスク値は 8 となり、しきい値を超えてしまいます。

この場合、リスクの低減に当たるハードディスク全体の暗号化を行うべきです。現在 NPC で使用している OS では標準機能でハードディスク全体の暗号化をサポートしているので、新たなソフトウェア・ハードウェアは不要せす。教育など人的対策を行った上でハードディスク全体の暗号化を行えば脆弱性の評価は 1 と判断してよいでしょう。再度、算出するとリスク値は 4 となり、しきい値内に収まります。

ここで、管理策の十分性の判断にばらつきが出ないようにするための解決策として、各脆弱性の評価を複数の評価者が行い、結果を調整する。評価者に対して、評価についての教育、訓練を実施する。や、リスク値を客観的に算定するための基準を設ける。などが必要です。

案 1 は、NPC の脅威に対しても管理策で実施しています。又、ソフトウェア構成やハードウェア構成も統制しています。一方案 2 で使用する自宅の個人所有の PC の場合、どのような管理策を実施しているのか、又、OS のバージョン、ソフトウェア、ハードウェアの構成がどうなっているのかについて会社が統制することができない。という問題点があり、案 1 で決定しました。




関連用語

リスクの回避
事業を撤退するなどでリスクそのものをなくすこと

リスク低減(軽減)
リスクの発生率や損失額を減らすこと

リスクの移転(転換、共有)
保険に加入したり、事業を外部に委託したりすることで、リスク発生時の影響、損失、責任の一部または全部を他社に肩代りさせること

リスクの保有(受容)
軽微なリスクに対してはあえて対策を行わず、リスクが発生した場合の損失は自社で負担すること。

情報セキュリティの 3 要素
機密性:アクセスに許可された者だけが情報にアクセスできる。
完全性:情報の内容や、情報の処理方法が正確で完全である。
可用性:許可された者が必要な時に情報資産にアクセスできる。

URL フィルタリング
不適切なサイトや業務上利用対象外としたいサイトなどの「URL」を対象に、サイトへのアクセスを制限すること。

情報セキュリティに関する対策の分類
■物理的対策
機密情報が保存されている部屋や建物に、部外者が侵入しないようのにしたり、機材などを勝手に外部にもちだされないようのしたりするための処置。勝手に持ち出されても問題がないように暗号化することも含まれる。
・入退室管理及び管理区域へ持ち込む機器の制限をする。
・機器の盗難防止(PC にケーブルロックをかけて固定する)
・USB メモリを持ち出す場合の漏洩防止(暗号化)
・ハードディスクの暗号化による PC 紛失時の漏洩禁止

■技術的対策
機密情報が保存されているシステムに、不正侵入されて情報を持ち出されたり、マルウェアに感染したりしないようにするための技術的な行動
・ファイアウォールによるアクセス制御
・マルウェア感染防止のため措置をとる
・適切なアクセス制御と利用者認証を行う
・データのバックアップを定期的に行う。

■人的対策
情報システムやデータを利用する際の企業内規定を整備する。また、従業員の教育・研修施し情報セキュリティの重要性を意識させ、データの取扱いミスや不正行為をさせないようにする。




学習の確認

  • 情報資産管理台帳の作成方法
  • 評価の仕方
  • リスク値の求め方
  • 受容リスクと保有以外のリスク対応
  • 情報セキュリティの技術的対策には?