情報セキュリティマネジメント試験 平成31年春(2019)午後 ③情報セキュリティの自己点検

ここでの勉強のポイント

このサイトは、国家試験、情報セキュリティマネジメント試験の過去問題の中の一部です。
このページでは主に下記の事柄を勉強致します。

  1. 会社や組織で数人に、同じ ID とパスワードを使用する場合のリスクについて
  2. IPA の脆弱性対策情報データベースの見方
  3. ランサムウェアの脅威を防ぐチェックリスト
  4. シャドーITとBYODの意味
  5. アプリケーションソフトのバージョンチェック方法
  6. 個人所有端末を業務に使う上での社内チェック項目の確認




はじめに、架空の会社 Q 社の説明

マンション管理会社 Q 社は、マンション管理会社から委託を受けて管理業務を行っており、契約している管理組合数 3,000 組合である。東京の本社には経営企画部、営業統括部、人事総務部、情報システム部、監査部などの管理部門があり、東日本を中心に 30 社の支店がある。従業員数は、3,800 名である。
管理業務の内容は、管理組合の収支予算書及び決算書の素案の作成、収支報告、出納、マンション修繕計画の企画、及び実施の調整、理事会及び総会の支援、清掃、建物設備管理、緊急対応、管理費による各種受付、点検、立会・報告連絡などがある。Q 社は、3 年前に ISMS 認証を取得している。
U 支店では、Q 社の文書管理規定に従い顧客情報など重要な情報が含まれる電子データは、U 支店の共有ファイルサーバーの所定のフォルダに保管する運用になっている。この共有ファイルサーバは、1 日 1 回テープにバックアップを取得し、1 週間分のテープを世代管理している。

U 支店が契約している管理組合数は 80 組合で、フロント担当者 1 名当り 5 から 10 の管理組合を担当している。管理組合事務室には管理員が 1 名か 2 名勤務している。管理事務室には、管理員以外に、Q 社従業員、マンション居住者が立ち入りことがある。管理事務室に入室するには暗唱番号が必要である。暗唱番号は 2 年ごとに変更される。
管理員と U 支店の連絡用に、LTE 通信機能付き NPC を 1 台設置し、VPN 経由で Q 社のネットワークを接続している。管理事務室に複数の管理員が勤務する場合は、管理員間で NPC 、利用者 ID,パスワード、メールアドレスを共有している。
上記の下線部分は、
NPC を操作した人を後で特定できないという状況が狙われて、不正に操作されるリスク
・移動者や退職者など、利用資格を失った者に NPC を不正に操作されるリスク
・共有者の一人がパスワードを変更した際に、他の共有者に変更後のパスワードを伝えるメモを書
き、そのメモからパスワードが漏洩するリスクなどがある。

自己点検の規定及びチェック項目

Q 社では、事故点検規定及び内部監査規定を次の通り定めている。

又、U 支店では、チェック項目を次のように設定している。

U支店のチェック項目

上記チェック項目の 3 から 8 番は、NPC におけるランサムウェアの脅威のチェック項目である。
3. NPC の OS の更新履歴によって、自動更新の正常終了を確認している。
4. NPC のアプリケーションソフトウェアのバージョンが最新かをヘルプメニューで確認している。
8.顧客情報などの重要な情報が含まれる電子データを、NPC 上ではなく U 支店の共有ファイルサーバの所定のフォルダに保管している。

アプリの更新漏れ

A 主任は、IPA の情報セキュリティサイトの脆弱性対策情報データベースを確認したところ PDF 閲覧ソフトに深刻な脆弱性が報告されていた。そこで、調べてみたら下記の通りだった。

JVNDB-20XX-XXXXXX
PDF閲覧ソフトにおける任意のコードを実行される脆弱性
CVSS v3 による深刻度
基本値:9.8(緊急)「その他」
・攻撃元区分:ネットワーク
・攻撃条件の複雑さ:低い
・攻撃に必要な特権レベル:不要
・利用者の関与:不要
・機密性の影響(C):高
・完全性の影響(I):高
・可用性の影響(A):高

CVSS v3 の基本評価基準は、脆弱性そのものの特性を評価する基準であり、評価には、攻撃の容易性及び情報システムに求められる 3 つのセキュリティ特性である。機密性、安全性、可用性に対する影響といった基準を用います。
基本評価基準は、時間の経過や利用環境の差異によって変化せず、脆弱性そのものを評価する基準です。上記の PDF 閲覧ソフトの脆弱性の深刻度は緊急であり、攻撃の複雑さ、攻撃に必要な特権レベル、利用者の関与のすべてにおいて、攻撃が成功するおそれにもっとも高い値をしめしています。したがってPDF閲覧ソフトは早急に更新が必要です。

アプリのバージョンアップを調べる方法には、二つの方法があります。
①IPAから無償提供されている MyJVNバージョンチェッカ
②バージョンが最新かどうか一括して確認ができるに有料版の IT 資産管理ツールを導入する方法です。

個人所有のスマートフォンの業務利用

フロント担当の K さんは P 組合の理事長からの問合せに対する返事がいつも遅く、おおむね 3 営業日以上掛かっている。とのことで、スマホの個人利用者向けチャットアプリ M の使用を求められ、問合せの回答や、業務に関する情報の送信に使っていた。とのことであった。このような行為をシャドーITという。

Q 社は、従業員が個人所有のスマホを業務に利用することを会社として許可していない。
このような行為をBYODという。

チェック項目の見直し

これまでの報告を受けて、B支店長は、A主任に見直しを指示し、下記のように見直し案が承認され、翌月から使用されるようになった

見直案の内容
4. NPC のアプリケーションソフトウェアのバージョンが最新かをヘルプメニューで確認している。
4. NPC のアプリのバージョンが最新かを MyJVN バージョンチェッカで確認し、最新でないアプリ
  は、MyJVn バージョンチェッカの指示に従って更新する。

9.個人所有の PC を業務に使用しない。
9. PC やスマホなどの個人所有端末を業務で利用していない。

Mアプリの調整

P 組合に M アプリが使用できなくなったことを連絡したが、P 組合からは M アプリの利用を強く要望する。とのことであった。

M アプリの特徴

主任は、M アプリを業務連絡に利用することには下記のリスクを感じた。
・業務と関係ない宛先グループや友人とも M アプリでやり取りできるので、業務と関係無い友人や
宛先グループに、誤って業務情報を送信してしまうリスク
・見知らぬ人が AP 連絡先に登録されてしまう場合があるので、見知らぬ人にメッセージを送ってし
まうリスク

更に、M アプリの業務用があることがわかった。ビジネス用 M アプリで追加された機能

・他のスマホの M アプリ又は、BM アプリとの間でメッセージを送受信できる。
・BM アプリを導入した組織において BM アプリの管理者を指定できる。
・管理者が、AP 連絡先の管理を行え、AP 連絡先の自動登録を禁止ができる。
・管理者が、BM アプリのデータを遠隔から消去できる。
・管理者が、BM アプリを導入したスマホでのスマホ用アプリの利用を制限できる。
・誤って送ったメッセージの送信を取り消すことができる。

情報システム部は、個人所有スマホの業務利用に対する情報セキュリティリスクアセスメント及び、BM アプリの利用に対する情報セキュリティリスクアセスメントを実施し、リスクの特定、リスクの分析、リスクの評価など行い、その結果を情報セキュリティ委員会に報告し、許可を受けた上で BM アプリを導入することにした。

BM アプリの利用を広げたことで、Q 社と顧客との連携が強化された。




関連する用語

JVN iPedia – 脆弱性対策情報データベース
脆弱性の深刻度を同一の基準の下で定量的に比較できるよう表したものです。




学習の確認

  1. 会社や組織で数人に、同じ ID とパスワードを使用する場合のリスクについて
  2. IPA の脆弱性対策情報データベースの見方
  3. ランサムウェアの脅威を防ぐチェックリスト
  4. シャドーITとBYODの意味
  5. アプリケーションソフトのバージョンチェック方法
  6. 個人所有端末を業務に使う上での社内チェック項目の確認