情報セキュリティマネジメント試験 平成28年秋(2016)午後 ①オンラインストレージサービス利用の対策

ここでの勉強のポイント

このサイトは、国家試験、情報セキュリティマネジメント試験の過去問題の中の一部です。
このページでは主に下記の事柄を勉強致します。

  1. 無償で使えるオンラインストレージサービスについて
  2. オンラインストレージサービスの認証方法について
  3. オンラインストレージサービスの管理機能について
  4. オンラインストレージサービスの利用規定と使い方についての教育
  5. 組織的対策と技術的対策の検討と実施




はじめに、架空の会社 J 社の説明

J 社は、従業員 150 名の電気機器メーカである。顧客企業から提示される仕様に基づいて電気製品を設計、製造している。

J 社では、社内ネットワークとインターネットの間にファイアウォールを設置している。また、社外の Web サイトの閲覧は、全てプロキシサーバ経由とし、業務上不要と思われる Web サイトへの接続をコンテンツフィルタで制限している。制限されている Web サイトへの接続が必要になった場合は、接続する PC を限定して、情報システム課が一時的に制限を解除している。 J 社では、DHCP は使っておらず、PC の IP アドレスは固定である。

オンラインストレージサービス

50 名の従業員が所属する製造部では、製造の一部を協力会社である B 社に委託している。製造部から B 社へは、従来、USB メモリを使用して製品製造に関係するファイルを提供していたが、USB メモリを管理する手間や、顧客企業からの急な仕様変更への対応が過大であった。製造部は、これらの課題を解決するために、顧客企業各社の了解も得た上で、2 年前から、X 社が提供するオンラインストレージサービスを B 社へのファイル提供に利用している。

X 社サービスの仕様
・専用のドメイン名を持ち、インターネット上のどこからもでもアクセスできる。
・スマートフォンやタブレットなど、PC 以外の端末からも利用できる。
・インターネット上における盗聴や改ざんへの対策として、サービスへの接続に HTTP over TLS を使用している。
・利用アカウントの ID として電子メールアドレスと登録し、パスワードを設定すれば、Web ブラウザだけですぐに利用を始められる。
・利用アカウントごとに専用のフォルダが与えられ、ファイルの登録や、登録したファイルの閲覧、編集などの操作を行うことができる。フォルダ容量が 10G バイトまでは無料である。
・ファイルの登録時、又は、登録後に、ファイル共有先を指定し、共有権限を付与することによって、指定した利用アカウントにファイルの操作を許可したり、インターネット上の誰にでもファイルの閲覧を許可したりすることができる。ファイルの共有設定には、下図を示す。

X サービス利用規則

J 社のスマートフォンやタブレットの業務利用は認めていない。かつ、PC を社外に持ち出して使用することも禁止している。

事故発生

1 か月前、Q 社から J 社に連絡が入った。Q 社は J 社と取引関係はないが、Q 社従業員がインターネット検索を行っていたところ、J 社の社名が記載され、秘密情報と記されたファイルが X 社サービスで公開されているのを発見したので連絡したということであった。

調査したところ、J 社が B 社に提供するためにX サービスに登録している顧客企業の製品製造に関係するファイルの一つが公開されてしまっていることが判明した。問題のファイルは、ファイル共有先にパブリックが指定され、かつ、共有権限に閲覧権限がふよされていた。

責任者である T 部長は、CISO に一報を入れるとともに、ファイルが公開された原因が不明で、X サービスに登録している他のファイルや、今後登録されるファイルにも被害が及ぶ恐れがあるから、直ちに X サービスに登録している全てのファイルを削除し、X サービスの利用を中止するように指示した。 

原因調査

部長より指示を受けて調査を開始し、X サービスの情報セキュリティに影響する問題、つまり外部からの攻撃やシステム障害などが発生しなかったか、対象ファイルの共有設定を変更した者は誰かなどを X 社に問い合わせた。X 社からは、X サービスの情報セキュリティに影響する問題は発生しておらず、また、操作の履歴情報を開示できるのは法律に基づいた開示請求があった場合に限ると回答があった。X 社からの調査協力は得ることができず、また、この時点で事件として警察に操作を依頼することも難しいと思われたので、J 社内の調査を進めることにした。
そこで、製造部のPC 以外の J 社 PC の中に X 社サービスに接続したものがあるかを確認するためにプロキシサーバを調査下が不審な点は確認されず、また、製造部の全 PC も調査したが問題点は見つけられなかったので製造部の従業員全員に個別にヒヤリングを行うことにした。

個別ヒアリング

部長を除く製造部の従業員 48 名一人一人に対して、X サービスの利用状況を確認した。ヒアリングの結果は下記の通り

X サービスでは、ファイル登録時点の共有設定は、ファイル共有先: ”なし”、共有権限: ”権限なし” が初期値である。B 社にファイルを提供するには、ファイル登録時、または、登録後に共有設定を変更する必要がある。ヒアリングの結果のうち、ファイルの共有設定に関係する用語の意味を正しく理解していない従業員がいたという製造部の状況では、” B 社にファイルを提供する際に、X サービスが X サービスの利用を開始する時点で X サービス利用規則と利用方法についての十分な教育を行うとともに、万一間違った共有設定がなされても第三者にファイルを読み込まれる可能性を下げる対策として、登録するファイルを暗号化する。ファイル登録後、B 社だけに連絡し、B 社のダウンロードか完了次第、ただちに削除する。などの X サービス利用規則の中に定めておくべきであったと反省した。

問題点の整理、対策の検討

課長は、X サービスを B 社へのファイル提供に利用したこと自体が誤りであったとして X サービスを業務で利用することの問題点とその理由うを指摘した。

同じオンラインストレージサービスでも、法人向けに有償で提供されているサービスには管理機能を強化しているものが多いので、そうしたサービスを使うことを考えたいと思います。
ただし、現在の X サービス利用規則の内容でメールアドレスとパスワードだけで利用できる。ということが事故発生時の原因特定は困難にしています。

課長は、今回の事故によって、全社の情報セキュリティ対策がまだ十分でないことに気付きました。情報セキュリティ委員会の事務局として、情報セキュリティ委員会に対して、追加の組織的対策として、社外の IT サービスを導入について、全て情報セキュリティ委員会の承認を必要とする。又、情報システムの利用アカウントの共有を禁止する旨を情報セキュリティ関連規定に定める。又、情報システム課としても技術的対策としてオンラインストレージサービスは、情報セキュリティ委員会の承認を得たものだけ接続許可をするようにコンテンツフィルタを設定する。などの改善に努めます。

この後、W 社の法人向けオンランストレージサービスを選定し、X サービスからの切り替えを行った。




関連する用語

HTTP over TLS
簡単にいうとディジタル証明書によるサーバ認証、WebサーバとWebブラウザがデータを安全に送受信するために、TLSプロトコルによって生成されるセキュアな通信経路上でデータのやり取り(HTTP通信)を行う方式です。HTTPプロトコルは、平文のままで情報をやり取りするため、個人情報の送信や電子決済などセキュリティが重要となる通信に使うことには危険が伴います。TLSから提供される通信の暗号化、ディジタル証明書を用いたノードの認証、改ざん検出などの機能を使用することで、HTTPS通信を「なりすまし」や「盗聴」による攻撃から通信を保護できるようになっています。

プロキシサーバ
社内のネットワークとインターネットとの中継点で通信の「受け取り」「手渡す」といった媒介の処理を行います。機能を大きく分けて、フォワードプロキシ、キャッシュサーバー、透過型プロキシ、リバースプロキシの 4つがあります。セキュリティ対策な仕組みとして、①不正なサイトなどへアクセスさせないといった制御、②アクセスログの監視とチェック、③プロキシサーバー上でのウイルスチェックなどの働きも行います。

コンテンツフィルタ
インターネットを通じて流入する情報を監視し、あらかじめ設定された条件に合致したものを排除・遮断する技術。




学習の確認

  1. 無償で使えるオンラインストレージサービスについて
  2. オンラインストレージサービスの認証方法について
  3. オンラインストレージサービスの管理機能について
  4. オンラインストレージサービスの利用規定と使い方についての教育
  5. 組織的対策と技術的対策の検討と実施