情報セキュリティマネジメント試験 2018年 秋②リスク対応策の検討

はじめに架空の会社の説明

A 社は、EC サイトで旅行商品を販売している。資本金 1 億円、従業員数 80 名の会社である。もともと A 社は旅行商品を店舗で販売していたが、2014 年に EC サイトでの販売を開始し、3 年後の現在は A 社 EC サイトでの販売を行っている。A 社 EC サイトでの販売になってから旅行商品の販売のほとんどはクレジットカード決済で行っている。

A 社における情報セキュリティ対策

A 社で最も情報セキュリティが必要とされる情報は、顧客のクレジットカード情報である。このクレジットカード情報には、クレジットカード番号、クレジットカード会員名などが含まれている。
A 社が保有するクレジットカード情報及び販売履歴は、A 社 EC サイトのデータベースサーバ 1 台とファイルサーバ 1 台に保存されている。データベースサーバとファイルサーバは、A 社の社内 LAN に接続されている。ファイルサーバには、テープバックアップ装置が接続され、クレジットカード情報などを含む特定のフォルダにあるすべてのファイルを毎週バックアップするように設定されている。バックアップは 2 世代分保存されている。バックアップテープは、テープバックアップ装置の隣にあるキャビネットに保存されている。又、A社で使われている全てのPCにはマルウェア対策ソフトが導入されており、マルウェア定義ファイルを自動的に最新版に更新するように設定されている。対策ソフトの設定は、対策ソフトの管理サーバによって一元的に管理されている。A 社が使用している対策ソフトには、PC でのソフトウェアの起動可否をホワイトリスト又は、ブラックリストで制御する機能がある。これらのリストを管理サーバーで変更すると、A 社の全ての PC に自動的にそのリストが反映される。ブラックリストには次の機能がある。
・制御する対象のソフトウェアを、個別のソフトウェア単位及びソフトウェアのカテゴリ単位で指定できる。
・指定したソフトウェアに対して、許可モード、禁止モード又はモード又は監視モードのいずれかを選択できる。監視モードを選択した場合は、指定したソフトウェアの起動を許可するが、実行されたソフトウェアの実行履歴を管理サーバのログに記録する。

A 社は、業務マニュアルなどの有用な情報を大量に蓄積した掲示板システムを保有している。当該システムは社内 LAN だけからアクセスが可能であり、多くの従業員がほぼ毎日アクセスしている。当該システムが使用しているソフトウェアパッケージは、最新バージョンの OS をサポートしていない。又、当該システムには、個人情報は保存されていない。

A 社では、毎年 10 名ほどの従業員が退職し、ほぼ同数の従業員が採用されている。入社時には雇用契約書及び秘密保持契約書を含む複数の契約書に署名させている。署名が済むと、システム管理者が、各情報システムに共通の利用者IDを所属部に応じて、必要な情報システムに登録する。従業員IDを登録する際には、従業員の指名及び所属部も一緒に各情報システムへ登録する。従業員の退職時には、雇用期間中に知り得た秘密を守るという誓約書への署名を依頼することになっている。

情報セキュリティ委員会の開催

A 社では情報セキュリティ委員会を毎月開催している。2017 年 12 月に開催された情報セキュリティ委員会において、同業他社の EC サイトでの大規模なクレジットカード情報の漏洩事件が報告された。そこで情報セキュリティ委員会では、情報セキュリティ点検と、その結果に基づく改善をおこなうことを決め、その評価基準と情報セキュリティ点検の外部委託先の選定を E さんに指示した。

A 社は 10 年前に情報セキュリティポリシ及び関連規定類を作成しているが、これまでほとんど見直しを行っていない。E さんは、A 社規定類は情報セキュリティ点検の評価基準として適切ではないと考え、JIS Q 27002:2014  の管理策を基に新たに評価基準を作成した。さらに外部委託先としていくつかの候補を比較検討した。その結果は翌月の情報セキュリティ委員会で審議され、情報セキュリティ点検の実施、及びそこでの指摘事項について A 社が作成する対応方針のレビューを情報セキュリティ専門会社 U 社に依頼することになった。U 社では情報処理安全確保支援士の P 氏が担当することになった。

対応方針の検討

指摘事項 1

掲示板ンシステムが使用しているバージョンの OS は,標準サポート契約期限が切れている。延長サポートサービスが提供されているが、A 社は契約していないので、OS ベンダからパッチが提供されていない。そのため既知の脆弱性があり、対応が必要である。

指摘事項 2(省略)

指摘事項 3

幾つかの情報システムで退職者の従業員 ID 及び業務上アクセスが不要になった従業員 ID が有効になったままである。

指摘事項 4

脆弱性を悪用した攻撃を行う機能があり、不正アクセスにも悪用される危険性の高いソフトウェアがA 社 EC サイトの脆弱性を検査するために使用されている。

指摘事項 5

ファイルサーバ用のバックアップテープが劣化してエラーが起き、バックアップが 3 週間取得されていなかった。

指摘事項 6

A 社 EC サイトではクレジットカード決済をおこなっているのでクレジットカード情報を保持している。そのため PCI DSS へ準拠が必要だが、準拠に必要な要件を満たしているかどうかを確認していない。

指摘事項 1について

最新バージョンの OS を導入すれば OS の既知の脆弱性はなくなるが、現行パッケージの動作が保証されないこと、又、同等の機能をもつ他データは、手動で個別に再入力しなければならないことが分かった。E さんは、掲示板システムの利用状況を踏まえて対応方針を検討し、P 氏にその対応方針か適切かを聞いた。P 氏からは E さんの対応方針は適切であると回答を得れれた。E さんは、①この対応方針について情報セキュリティ委員会の承認を得てから、総務部に提示し、対応を指示した。
下線①に対して対応方針としてもっとも適切なも
OSの延長サポートを契約してパッチを入手し、検証用のシステムにパッチを適用し、稼働を検証してから本番システムにパッチを適用する。

指摘事項 2について対応方針を検討することにした。その際の P 氏からの助言は、従業員の入社時に締結する秘密保持契約書の退職後も一定期間は秘密を守るという条項を追加するのがよい。というものだった。人事部もその助言に同意し、従業員の入社時に締結する秘密保持契約書に追加することにした。
P氏の指摘事項はどれか?
退職者から退職誓約書への署名を拒否されることがあった。

指摘事項 3について、A 社規定類では、従業員が退職した際、又は各情報システムに業務上アクセスする必要がなくなった際には、当該従業員の従業員 ID の無効化を上司が各情報システムの管理者に申請するように定めているが、申請を忘れてしまうことがあった。E さんは、A 社の管理職全員に従業員 ID 無効化の申請を忘れずに行うよう注意喚起した。更にリスクを低減するためには、過去、一度だけ実施したことのある従業員 ID の棚卸を定期的に実施することが効果的だと考えた。E さんは P 氏及び社内の関係者と相談の上、従業員 ID の棚卸手順を整備した。

手順1:人事部から前回棚卸以後に退職した従業員一覧を入手する。
手順2:「 ID 情報の一覧の出力を、各システム管理者に依頼する。  」
手順3:「 退職者一覧表及び ID 情報の一覧を各情報システムを用いる業務の責任者に渡し、無効化すべき従業員 ID が存在していないかの確認を依頼する。 」
手順4:不要な従業員 ID の無効化を各システム管理者に申請する。

次に E さんは、指摘事項 4 について対応方針を検討することにした。E さんは指摘されたソフトウェアを使っていた従業員をよく知っていたので聞いてみたところ、そのソフトウェアである必要はなく、広く一般的に使用されている安全性の高い他のソフトウェアでも十分に検査はできるという報告を受けた。そこで E さんは、高リスクソフトの使用を禁止することにした。

E さんは、インターネットで高リスクソフトを調査して一覧表を作成し、対応ソフトのブラックリストに登録することによって高リスクソフトの起動を制限する案を考え、P 氏にレビューを依頼した。P氏は、③この案の問題点を指摘した。
下線③について、P 氏が指摘した問題点 2 つは?
・調査から漏れた高リスクソフトが使われてしまう可能性がある。
・高リスクソフトを継続的に調査して登録し続けることは工数が掛かりすぎる。

問題点を指摘された E さんは、代替案として、従業員から利用申請があったソフトウェアが高リスクソフトではないと判断できた場合にホワイトリストに登録する案を考え、P 氏にレビューを依頼した。P氏は、④この案の問題点を指摘した。代替案として、P 氏は、高リスクソフトが含まれているカテゴリをブラックリストに指定することによって、高リスクソフトの起動を禁止する案を提案した。
下線④について、P 氏が指摘した問題点 3 つは?
申請されたソフトウェアが高リスクソフトではないことの判断が難しい場合がある。
申請されたソフトウェアが高リスクソフトではないことを確認し、検証する工数が掛かりすぎる場合がある。
ソフトウェアの利用申請から、実際に利用できるようになるまで時間が掛かるので、業務に影響が出る場合がある。

そこで E さんは、ブラックリストでの制御を有効にする際に旅行営業部の業務に影響が出ないようにする方針を検討し、P 氏の案と併せて情報セキュリティ委員会に提案して承認を受け、総務部に指示した。

次に指摘事項 5 について、対応方針を検討することにした。ファイルサーバ及びバックアップテープにはクレジットカード情報などの重要な情報が格納されていることから、E さんは、P 氏の助言を得ながら、ファイルサーバとそのデータのバックアップに関するリストと対策を検討して表にまとめた。

ファイルサーバとそのデータのバックアップに関するリスクと対策(抜粋)

1)ファイルサーバ上のデータを誤操作で消したり、ランサムウェアによって暗号化されたりした結果、データを利用できなくなるリスク
対策「 現在のバックアップに加え、日時で増分バックアップを行い、増分バックアップを6世代分取得し、世代ごとに別のバックアップテープに保存する。  」

2)ファイルサーバ周辺で火災が発生した結果、データを利用できなくなるリスク
対策「 バックアップを2組取得し、うち1組を遠隔地に保管する。  」

3)バックアップの取得が失敗していることに気づかないリスク
対策「 バックアップ中にエラーが発生したら電子メールでシステム管理者に通知をするツールを導入する。 」

4)バックアップ対象の設定を誤り、必要なデータのバックアップが取得されないリスク
対策「 一時的に構築した情報システムに、バックアップテープの全ファイルをリストアし、ファイルと比較ルールを使用してファイルサーバのバックアップ対象ファイルと比較し、ファイルが減っていないことを確認する。 」

指摘事項 6 について、E さんが P 氏に相談したところ、PCI DSS への準拠には多額の費用がかかるが、「 A 社 EC サイトの決済機能を変更することによって、クレジットカード情報の非保持化を実現する。 」という方法だと費用が少額で済み、2018 年 6 月の改訂割賦販売法の施行にも間に合うのでその方法で対応するとよいと助言された。

E さんは、指摘事項 5 及び指摘事項 6 の対応方針について情報セキュリティ委員会で承認を得た。その後旅行営業部でその方法を実施することにした。

E さんは、他の指摘事項についても P 氏の助言を得ながら対応方針を検討して対応を実施し、A 社規定類も見直しされて、A 社の情報セキュリティは大きく改善された。