情報セキュリティマネジメント試験 ③情報セキュリティの自己点検 平成31年春(2019)

はじめに架空の会社の説明

マンション管理会社 Q 社は、マンション管理会社から委託を受けて管理業務を行っており、契約している管理組合数 3,000 組合である。東京の本社には経営企画部、営業統括部、人事総務部、情報システム部、監査部などの管理部門があり、東日本を中心に 30 社の支店がある。従業員数は、3,800 名である。
管理業務の内容は、管理組合の収支予算書及び決算書の素案の作成、収支報告、出納、マンション修繕計画の企画、及び実施の調整、理事会及び総会の支援、清掃、建物設備管理、緊急対応、管理費による各種受付、点検、立会・報告連絡などがある。Q 社は、3 年前に ISMS 認証を取得している。
U 支店には、支店長、主任 2 名、フロント担当者 10 名が勤務している。情報セキュリティ責任者は、B 支店長、情報セキュリティリーダに A 主任がいる。
従業員には、ノート PC が貸与されていてディジタル証明書をインストールし、Q 社のネットワークに接続する際に端末認証を行っている。
U 支店では、Q 社の文書管理規定に従い顧客情報など重要な情報が含まれる電子データは、U 支店の共有ファイルサーバーの所定のフォルダに保管する運用になっている。この共有ファイルサーバは、1 日 1 回テープにバックアップを取得し、1 週間分のテープを世代管理している。

U 支店が契約している管理組合数は 80 組合で、フロント担当者 1 名当り 5 から 10 の管理組合を担当している。管理組合事務室には管理員が 1 名か 2 名勤務している。管理事務室には、管理員以外に、Q 社従業員、マンション居住者が立ち入りことがある。管理事務室に入室するには暗唱番号が必要である。暗唱番号は 2 年ごとに変更される。
管理員と U 支店の連絡用に、LTE 通信機能付き NPC を 1 台設置し、VPN 経由で Q 社のネットワークを接続している。①管理事務室に複数の管理員が勤務する場合は、管理員間で NPC 、資料者ID,パスワード、メールアドレスを共有している。

下線①で高まるリスクにはどんな事がありますか?
NPC を操作した者を特定できないという状況を狙われて、不正に操作されるリスク
移動者や退職者など、利用資格を失った者に NPC を不正に操作されるリスク
共有者の一人がパスワードを変更した際に、他の共有者に変更後のパスワードを伝えるメモを書
き、そのメモからパスワードが漏洩し、不正に操作されるリスク

自己点検の規定及びチェック項目

Q 社では、事故点検規定及び内部監査規定を次の通り定めている。

自己点検規定及び内部監査規定(概要)

又、U 支店では、チェック項目を次のように設定している。

U支店のチェック項目

1. クリアデスクを実施している。
2. クリアスクリーンを実施している。
3. NPC の OS の更新履歴によって、自動更新の正常終了を確認している。
4. NPC のアプリケーションソフトウェアのバージョンが最新かをヘルプメニューで確認している。
5. 退出時に NPC をセキュリティケーブルでロックしている。
6. 退出時に顧客情報など重要な情報を含む書類をキャビネットに施錠保管している。
7. プリンタに印刷物を放置していない。
8. 顧客情報などの重要な情報が含まれる電子データを、NPC 上ではなく U 支店の共有ファイルサー
バの所定のフォルダに保管している。
9. 個人所有の PC を業務に使用しない。
(省略)

上記の 3 から 8 のうち、NPC におけるランサムウェアの脅威に対する管理策だけを挙げよ
3. NPC の OS の更新履歴によって、自動更新の正常終了を確認している。
4. NPC のアプリケーションソフトウェアのバージョンが最新かをヘルプメニューで確認している。
8.顧客情報などの重要な情報が含まれる電子データを、NPC 上ではなく U 支店の共有ファイルサー
バの所定のフォルダに保管している。

アプリの更新漏れ

IPA の情報セキュリティサイトの脆弱性対策情報データベースを確認したところ次の通りだった。

JVNDB-20XX-XXXXXX
PDF閲覧ソフトにおける任意のコードを実行される脆弱性
CVSS v3 による深刻度
「 基本 」値:7.0(「 緊急 」)[危険] ・攻撃元区分:ネットワーク
・攻撃条件の複雑さ:「 低い 」
・攻撃に必要な特権レベル:「 不要 」
・利用者の関与:「 不要 」
・機密性の影響(C):高
・完全性の影響(I):高
・可用性の影響(A):高

CVSS v3 の「 基本 」評価基準は、脆弱性そのものの特性を評価する基準であり、評価には、攻撃の容易性及び情報システムに求められる 3 つのセキュリティ特性である。機密性、安全性、可用性に対する影響といった基準を用います。
「 基本 」評価基準は、時間の経過や利用環境の差異によって変化せず、脆弱性そのものを評価する基準です。上記の PDF 閲覧ソフトの脆弱性の深刻度は「 緊急 」であり、攻撃の複雑さ、攻撃に必要な特権レベル、利用者の関与のすべてにおいて、攻撃が成功するおそれにもっとも高い値をしめしています。したがってPDF閲覧ソフトは早急に更新が必要です。

アプリのバージョンアップを調べる方法には、二つの方法があります。
①IPAから無償提供されている MyJVNバージョンチェッカ
②バージョンが最新かどうか一括して確認ができるに有料版の「 IT資産管理ツール 」を導入する方法です。

個人所有のスマートフォンの業務利用

フロント担当の K さんは、②スマホの個人利用者向けチャットアプリを利用して、kさんが担当するPマンションの管理組合の理事からの問合せに回答したり、業務に関する情報を送信したりしているとのことであった。
下線②のような行為をなんという。
シャドーIT

P組合の理事長から、次の理由で M アプリの使用を求められてやむを得ず従ったとの事。
・P組合では、理事同士の情報共有に M アプリを使用している、
・問合せに対するKさんの返事がいつも遅く、おおむね 3 営業日以上掛かっている。M アプリを使
用するとKさんがいつメッセージを読んだか把握できる。

Q 社は、③従業員が個人所有のスマホを業務に利用することを会社として許可していない。
下線③のような行為をなんという。
BYOD

チェック項目の見直し

これまでの報告を受けて、B支店長は、A主任に見直しを指示し、④A主任が示した見直し案が承認され、翌月から使用されるようになった
下線④の見直し内容は、
4 を NPC のアプリのバージョンが最新かを MyJVN バージョンチェッカで確認し、最新でないアプリは、MyJVn バージョンチェッカの指示に従って更新する。に修正する。
9 を PC やスマホなどの個人所有端末を業務で利用していない。に修正する。

Mアプリの調整

P 組合に M アプリが使用できなくなったことを連絡したが、P 組合からは M アプリの利用を強く要望する。とのことであった。

M アプリの特徴

・M アプリの連絡先に登録されている相手とだけ、メッセージの送受信ができる。
・送信相手がいるメッセージを読んだかを確認できる。
・M アプリのメッセージは、スマホに保存される。
・M アプリのアカウントは、スマホの電話番号に対応付けて登録される。
・スマホのアドレス帳に登録された相手と、自分の双方が M アプリを使用し、かつ、それぞれの M
アプリにアドレス帳へのアクセル許可を与えている場合、M アプリのアカウントが相手の AP 連絡
先に自動登録される。
・宛先グループを作成し、宛先グループ全員にメッセージを同時に送信できる。又、そのメッセージ
を宛先グループの各メンバがいる読んだかを確認できる。
・写真、音声、ビデオ、ファイル、URL などをメッセージに添付して送信できる。
・メッセージに JPEG ファイルを添付した場合、撮影時に格納される各種データは自動的に削除され
る。
・現在地の位置情報を自動的に取得してメッセージに添付して送信できる。

⑤M アプリを業務連絡に利用することには、幾つかのリスクがある。と考えた。
下線⑤どんなリスク?
・業務と関係ない宛先グループや友人とも M アプリでやり取りできるので、業務と関係無い友人や
宛先グループに、誤って業務情報を送信してしまうリスク

・見知らぬ人が AP 連絡先に登録されてしまう場合があるので、見知らぬ人にメッセージを送ってし
まうリスク

更に、M アプリの業務用もあることがわかった。BM アプリで追加された機能

・他のスマホの M アプリ又は、BM アプリとの間でメッセージを送受信できる。
・BM アプリを導入した組織において BM アプリの管理者を指定できる。
・管理者が、AP 連絡先の管理を行え、AP 連絡先の自動登録を禁止ができる。
・管理者が、BM アプリのデータを遠隔から消去できる。
・管理者が、BM アプリを導入したスマホでのスマホ用アプリの利用を制限できる。
・誤って送ったメッセージの送信を取り消すことができる。

情報システム部は、個人所有スマホの業務利用に対する情報セキュリティリスクアセスメント及び、⑥BM アプリの利用に対する情報セキュリティリスクアセスメントを実施し、更にその結果を情報セキュリティ委員会に報告し、許可を受けた上で BM アプリを導入することにした。
下線⑥どんな情報セキュリティリスクアセスメントを行ったか?
リスク特定:
リスクの源、影響を受ける領域,事象、原因、結果を特定する。
リスク分析:リスクの影響度や発生確率を分析する。
リスク評価:リスク分析の結果に基づき対応するリスクと対応しないリスクの仕分け、対応の有線順位を決定する。

BM アプリの利用を広げたことで、Q 社と顧客との連携が強化された。

関連用語

共通脆弱性評価システム:CVSS

脆弱性の深刻度を同一の基準の下で定量的に比較できるよう表すものです。
攻撃元区分:ローカル、隣接、ネットワーク
攻撃条件の複雑さ:高・中・低
攻撃に必要な特権レベル
攻撃前の認証要否 :複数・単一・不要
機密性への影響:情報漏えいの可能性
完全性への影響:情報改ざんの可能性
可用性への影響:業務停止の可能性