情報セキュリティマネジメント試験 平成31年春(2019) 午後②企業における情報セキュリティ管理

ここでの勉強のポイント

このサイトは、国家試験、情報セキュリティマネジメント試験の過去問題の中の一部です。
このページでは主に下記の事柄を勉強致します。

  1. 情報資産目録とは
  2. 個人向け通信販売を行う時に注意点
  3. SNS を使った情報発信で会社の注意点
  4. SNS 担当者の注意点
  5. アカウント管理について



はじめに、架空の会社 X 社の説明

X 社は、機械製品および産業用資材の輸入及び国内販売業務を行う従業員数 1,000名 の商社であり、機械管理業務、資材営業部、総務部、情報システム部などがある。
X 社は、数年前に同業他社で発生した情報セキュリティ事故を機に、情報セキュリティ管理に力を入れるようになり、JISQ27001 に基づく情報セキュリティマネジメントシステムを構築し取得している。
X 社の ISMS 活動の実務は、各部の情報セキュリティリーダから構成される ISMS ワーキンググループが行っている。ISMS・WG のリーダは、情報システム部の S 課長である。ISMS・WG は、年間活動計画に基づき活動するほか、X 社 ISMS 規定などの文書の改訂案の検討も行う。

 X 社 ISMS の年間活動計画

05月:ISMS-WG メンバ向け情報セキュリティ教育の実施
06月:各部における情報資産目録の見直し
08月:全社を対象にした情報セキュリティリスクアセスメントの実施及びリスク対応計画の策定
12月:従業員向け情報セキュリティ教育の策定
01月:X 社 ISMS 規定の順守状況に関する内部監査の実施
03月:情報セキュリティ委員会への年間活動報告及び情報セキュリティ委員会の審議事項のとりまとめ
臨時:情報セキュリティリスクアセスメントの実施及びリスク対応

情報資産とは
1.新たに追加された情報資産の名称と管理責任者を記載する。
2.廃棄された情報資産を情報資産目録から削除する。
3.記載された情報資産の重要度が適切であるかを確認する。
情報資産の名称、管理責任者、重要度、保管場所、保管期間などを記した情報資産目録として作成し、毎年見直しを行う。

これらの情報資産は、悪意のある者に狙われてしまえば顧客の個人情報のなどリスクを追う事になるので情報セキュリティで保護する。

 販路拡大のための施策

最近になって機械営業部では、3D プリンタを開発し、機械営業部で 3DP の個人向け販売を検討した。これまで X 社は個人向けには製品を販売していなかったが、機械営業部では 3DP の個人向け販売を販路拡大の機会と捉え、その為の施策を検討し下記のようにまとめた。

個人向け通信販売
インターネットを利用して、3DP の個人向け通信販売を行う。

X 社 Web サイトの改修
購入者が 3DP の関連情報を参照したり利用者登録をしたりできるよう、X 社 Web サイトを改修する。

SNS による情報提供
一般に広く使われている。短文の投稿及び写真の掲載が可能な SNS を利用し、新たに登録する X 社公式アカウントを通じて 3DP の使い方のコツ、ファームウェアの更新情報、利用事例などを紹介する。

機械営業部の T 課長は情報セキュリティリスクアセスメントの実施とリスク対応が必要と考え S 課長に相談したろころ下記のアドバイスを受けた。

S 課長のアドバイス

個人向け通信販売へのアドバイス
通信販売の開始によって、特定商取引に関する法律の対応と、それに伴う X 社 ISMS 文書の適用法規則一覧見直しが必要になる。又、クレジットカードによる決済への対応として、次の 2 つの案が考えられる。

  1. 案1:X 社 Web サイトを改修し、X 社で、クレジットカード決済を行う場合、PCI DSS への準拠が必要になるので、X 社 ISMS に管理策を追加する。
  2. 案2:通信販売は行うが、X 社としてクレジットカード情報を非保持化する。クレジットカード決済には、外部のオンラインショッピングサイトを利用する。

S 課長のアドバイスを受け、案 2 を採用し、外部のオンラインショッピングサイトを利用するのがよいと考えた。

X 社 ISMS においては、業務用 PC での SNS の利用が禁止されている。業務で SNS を利用するのであれば、SNS のリスクについて検討した上で、X 社 ISMS 文書を見直す必要がある。

次に、SNS を利用した情報提供に起因するリスクについて検討することにした。

  1. X 社の従業員が、X 社公式アカウントを用いて X 社の信用及び評判を低下させるような投稿を行う。
  2. 第三者が X 社公式アカウントを装い、X 社の信用及び評判を低下させるような投稿を行う。
  3. 第三者が X 社公式アカウントを乗っ取り、X 社の信用及び評判を低下させるような投稿を行う。又、業務外での SNS の個人利用についても、次のリスクがあることを説明した。
  4. X 社の従業員が、X 社の信用及び評判を損なうような不用意な投稿を行う。
  5. X 社の従業員の投稿から X 社および従業員の情報を攻撃者に推測され、X 社に対する標的型攻撃の手掛かりにされるソーシャルエンジニアリングという)ような不用意な投稿を行う。

これらのリスクを踏まえ、SNS の利用に関するルールを立案し、ISMS-WGで検討することにした。

 SNS の利用に関する情報セキュリティ対策

X 社公式アカウントの運用に関する情報セキュリティ対策案を下記のようにまとめました。

  • X 社公式アカウントの利用は、製品情報の発言、お客様からの問い合わせへの返信などの業務目的に限定する。
  • 発信者は、X 社公式アカウントを利用する担当者を限定する。
  • X 社からの公式な情報発信であることの明示
    ・SNS アカウントのプロフィールにおいて、X 社のアカウントであることを明示する。
    ・SNS の提供業者に審査を申請し、認証済みのアカウントであることを表示してもらう。
    ・X 社 Web サイトに、X 社公式アカウントのページへのリンク及び X 社公式アカウントの運用方針を明示する。
  • SNS 担当者に対して、下記の事項を徹底させ、アカウント乗っ取りの防止を行います。
    ・X 社公式アカウントのパスワードを他のサービスのものと共有しない。
    ・X 社公式アカウントへの投稿については、社内の定められた業務用 PC からだけ行う。
    ・X 社公式アカウントへのログインには、記憶を利用した認証と所持しているものを利用した認証を併用する。

又、SNS の個人利用に関する指針も概要を作成した。

SNS の個人利用においては、つぎの事項を遵守する。
業務上の守秘義務に反する投稿を行わない。
・業務用の PC では SNS の個人利用をおこなわない。
・投稿に当たっては、著作権、肖像権など他人の権利の侵害に注意する。

SNSの個人利用においては、次の事項を実施することが推奨される。
・SNS 上で投稿を削除しても、その投稿が拡散されてしまう可能性があることに留意して投稿する。
・SNS を利用する個人所有の端末について、適切な物理的及び技術的対策を実施す。
・利用する SNS ごとに、発信する情報の公開範囲を適切に設定する。

X 社公式アカウントの運用に関する情報セキュリティ対策及び SNS の個人利用に関する指針は、ISMS-WG での検討を経て情報セキュリティ委員会に承認された。

オンラインショッピングサイトの利用

機械営業部は、大手通信販売業者の Z 社のオンラインショッピングサイトを利用して個人向けに 3DP お及びオプション品を販売することにした。Zショップでは、消費者向けサイト以外にも各出品者用にポータルサイトを提供している。

また、ポータルサイトも管理者用メールアドレスだけで業務用担当者用アカウントを追加又は削除できるようになった。

X 社ポータルのアカウント管理

  • X 社ポータルにアクセスできる別の業務担当者用アカウントの追加
  • システム上の役割の登録・削除
  • X 社ポータルの機能と次のいずれかの利用権限の組み合わせのロールへの付与
    編集 情報の閲覧、ダウンロード及び編集ができる
    閲覧 情報の閲覧はできるがダウンロードと編集はできない
  • アカウントへのロール設定

X 社ポータルに新たに登録するロールと主な作業

  • 商品担当者ロール
    ・出品する商品の情報を管理する
    ・在庫状況を反映する
  • 配送担当者ロール
    ・受注情報をダウンロードし、それに基づく商品発送を行う。
    ・在庫状況を反映する。
  • 経理担当者ロール
    ・売上情報及び決済情報をダウンロードし、X 社の会計システムに入力する。

各ロールに付与する利用権限(案)

追加する新たなロールとそのロールに付与する利用権限案 ◎編集 〇閲覧 ×利用出来ない。

X 社 ISMSでは、今回のよに業務を大きく変更する場合は、情報セキュリティリスクアセスメントを実施し、リスク対応を行うことになっている。そこで、この案について、次の指摘を受けた。

指摘 1
発送担当者ロールを割り当てられた業務担当者は業務で購入者情報を扱うので、その業務担当者
の業務用 PC に購入者情報が蓄積されるおそれがあり、対策が必要である。

指摘 2
X 社ポータル管理者ロールの利用権限が過大であり、不正が起こる恐れがある。X 社ポータル管
理者ロールの利用権限を分割すべきである。

これらの指摘を受け、下記のように変更を行った。

配送担当者担当者ロールを割り当てられた業務担当者に対して業務用 PC に蓄積された購入者情報の利用後の削除を徹底させる。又、上長も定期的に点検する。

これらの案は ISMS-WG で検討され、情報セキュリティ委員会の承認を得て、Z ショップで 3DP の販売が開始されることになった。



関連する用語

ソーシャルエンジニアリング
マルウェアなどを用いずにパスワードなどの情報を盗み出す手法です。たとえば情報システム部門の担当者をよそおって電話をかけ、システムにログインするためのIDとパスワードを聞き出すなどといった手口があります。

特定商取引に関する法律
事業者による違法・悪質な勧誘行為等を防止し、消費者の利益を守ることを目的とする法律です。 具体的には、訪問販売や通信販売等の消費者トラブルを生じやすい取引類型を対象に、事業者が守るべきルールと、クーリング・オフ等の消費者を守るルール等を定めています。

ロール
データベース管理システムなどの利用者管理において、利用者のグループのことをロールということがある。管理者ロール、開発者ロール、一般利用者ロールなど




学習の確認

  1. 情報資産目録とは
  2. 個人向け通信販売を行う時に注意点
  3. SNS を使った情報発信で会社の注意点
  4. SNS 担当者の注意点
  5. アカウント管理について