情報セキュリティマネジメント試験 平成30年秋(2018)午後 ②リスク対応策の検討

ここでの勉強のポイント

このサイトは、国家試験、情報セキュリティマネジメント試験の過去問題の中の一部です。
このページでは主に下記の事柄を勉強致します。

  1. 最新ソフトへのバージョンアップの仕方
  2. 退職誓約書の締結について
  3. 従業員 ID の定期的な棚卸について
  4. 高リスクソフトの対応について
  5. バックアップについて
  6. PCI DSS への対応について




はじめに、架空の会社 A 社の説明

A 社は、EC サイトで旅行商品を販売している。資本金 1 億円、従業員数 80 名の会社である。もともと A 社は旅行商品を店舗で販売していたが、2014 年に EC サイトでの販売を開始し、3 年後の現在は A 社 EC サイトでの販売を行っている。A 社 EC サイトでの販売になってから旅行商品の販売のほとんどはクレジットカード決済で行っている。

A 社における情報セキュリティ対策

A 社で最も情報セキュリティが必要とされる情報は、顧客のクレジットカード情報である。このクレジットカード情報には、クレジットカード番号、クレジットカード会員名などが含まれている。
A 社が保有するクレジットカード情報及び販売履歴は、A 社 EC サイトのデータベースサーバ 1 台とファイルサーバ 1 台に保存されている。データベースサーバとファイルサーバは、A 社の社内 LAN に接続されている。ファイルサーバには、テープバックアップ装置が接続され、クレジットカード情報などを含む特定のフォルダにあるすべてのファイルを毎週バックアップするように設定されている。バックアップは 2 世代分保存されている。バックアップテープは、テープバックアップ装置の隣にあるキャビネットに保存されている。又、A 社で使われている全ての PC にはマルウェア対策ソフトが導入されており、マルウェア定義ファイルを自動的に最新版に更新するように設定されている。対策ソフトの設定は、対策ソフトの管理サーバによって一元的に管理されている。A 社が使用している対策ソフトには、PC でのソフトウェアの起動可否をホワイトリスト又は、ブラックリストで制御する機能がある。これらのリストを管理サーバーで変更すると、A 社の全ての PC に自動的にそのリストが反映される。ブラックリストには次の機能がある。
・制御する対象のソフトウェアを、個別のソフトウェア単位及びソフトウェアのカテゴリ単位で指定できる。
・指定したソフトウェアに対して、許可モード、禁止モード又は監視モードのいずれかを選択できる。監視モードを選択した場合は、指定したソフトウェアの起動を許可するが、実行されたソフトウェアの実行履歴を管理サーバのログに記録する。

A 社は、業務マニュアルなどの有用な情報を大量に蓄積した掲示板システムを保有している。当該システムは社内 LAN だけからアクセスが可能であり、多くの従業員がほぼ毎日アクセスしている。当該システムが使用しているソフトウェアパッケージは、最新バージョンの OS をサポートしていない。又、当該システムには、個人情報は保存されていない。

A 社では、毎年 10 名ほどの従業員が退職し、ほぼ同数の従業員が採用されている。入社時には雇用契約書及び秘密保持契約書を含む複数の契約書に署名させている。署名が済むと、システム管理者が、各情報システムに共通の利用者 ID を所属部に応じて、必要な情報システムに登録する。従業員 ID を登録する際には、従業員の指名及び所属部も一緒に各情報システムへ登録する。従業員の退職時には、雇用期間中に知り得た秘密を守るという誓約書への署名を依頼することになっている。

 

情報セキュリティ委員会の開催

A 社では情報セキュリティ委員会を毎月開催している。2017 年 12 月に開催された情報セキュリティ委員会において、同業他社の EC サイトでの大規模なクレジットカード情報の漏洩事件が報告された。そこで情報セキュリティ委員会では、情報セキュリティ点検と、その結果に基づく改善をおこなうことを決め、その評価基準と情報セキュリティ点検の外部委託先の選定を E さんに指示した。

A 社は 10 年前に情報セキュリティポリシ及び関連規定類を作成しているが、これまでほとんど見直しを行っていない。E さんは、A 社規定類は情報セキュリティ点検の評価基準として適切ではないと考え、JIS Q 27002:2014  の管理策を基に新たに評価基準を作成した。さらに外部委託先としていくつかの候補を比較検討した。その結果は翌月の情報セキュリティ委員会で審議され、情報セキュリティ点検の実施、及びそこでの指摘事項について A 社が作成する対応方針のレビューを情報セキュリティ専門会社 U 社に依頼することになった。U 社では情報処理安全確保支援士の P 氏が担当することになった。

対応方針の検討

P 氏は、早速、下記の指摘事項を報告した。

最新バージョンへの適用

最新バージョンの OS を導入すれば OS の既知の脆弱性はなくなるが、現行パッケージの動作が保証されないこと、また同等の機能をもつ他データは、手動で個別に再入力しなければならないことが分かった。E さんは、掲示板システムの利用状況を踏まえて  OSの延長サポートを契約してパッチを入手し、検証用のシステムにパッチを適用し、稼働を検証してから本番システムにパッチを適用する。という方法をP 氏に確認し情報セキュリティ委員会の承認を得てから、対応を指示した。

退職誓約書の締結について

退職者から退職誓約書への署名を拒否されることがあったので。従業員が入社時に締結する秘密保持契約書に退職後も一定期間は秘密を守るという条項を追加するのがよい。

従業員 ID の定期的な棚卸について

E さんは、管理職全員に従業員 ID 無効化の申請を忘れずに行うよう注意喚起した。更にリスクを低減するためには、従業員 ID の棚卸を定期的に実施することが効果的だと考えた。
従業員 ID の棚卸手順

  1. 人事部から前回棚卸以後に退職した従業員一覧を入手する。
  2. ID 情報の一覧の出力を、各システム管理者に依頼する。
  3. 退職者一覧表及び ID 情報の一覧を各情報システムを用いる業務の責任者に渡し、無効化すべき従業員 ID が存在していないかの確認を依頼する。
  4. 不要な従業員 ID の無効化を各システム管理者に申請する。

高リスクソフトの対応について

E さんは指摘されたソフトウェアを使っていた従業員をよく知っていたので聞いてみたところ、そのソフトウェアである必要はなく、広く一般的に使用されている安全性の高い他のソフトウェアでも十分に検査はできるという報告を受けた。そこで E さんは、高リスクソフトの使用を禁止することにした。

E さんは、インターネットで高リスクソフトを調査して一覧表を作成し、対応ソフトのブラックリストに登録することによって高リスクソフトの起動を制限する案を考え、P 氏にレビューを依頼した。P氏は、この案では、調査から漏れた高リスクソフトが使われてしまう可能性がある。又、高リスクソフトを継続的に調査して登録し続けることは工数が掛かりすぎる。との指摘を受けた。

問題点を指摘された E さんは、代替案として、従業員から利用申請があったソフトウェアが高リスクソフトではないと判断できた場合にホワイトリストに登録する案を考え、P 氏にレビューを依頼した。P氏は、この案にも申請されたソフトウェアが高リスクソフトではないことの判断が難しい場合がある。申請されたソフトウェアが高リスクソフトではないことを確認し、検証する工数が掛かりすぎる場合がある。ソフトウェアの利用申請から、実際に利用できるようになるまで時間が掛かるので、業務に影響が出る場合がある。の問題点を指摘した。

代替案として、P 氏は、高リスクソフトが含まれているカテゴリをブラックリストに指定することによって、高リスクソフトの起動を禁止する案を提案した。

そこで E さんは、ブラックリストでの制御を有効にする際に旅行営業部の業務に影響が出ないようにする方針を検討し、P 氏の案と併せて情報セキュリティ委員会に提案して承認を受け、総務部に指示した。

ファイルサーバとそのデータのバックアップについて

ファイルサーバ及びバックアップテープにはクレジットカード情報などの重要な情報が格納されていることから、ファイルサーバとそのデータのバックアップに関するリストと対策を検討して下記のようのまとめた。

ファイルサーバ上のデータを誤操作で消したり、ランサムウェアによって暗号化されたりしてデータを利用できなくなるリスクへの対策として、現在のバックアップに加え、日時で増分バックアップを行い、増分バックアップを 6 世代分取得し、世代ごとに別のバックアップテープに保存する。

ファイルサーバ周辺で火災が発生した結果、データを利用できなくなるリスクへの対策として、
バックアップを 2 組取得し、うち 1 組を遠隔地に保管する。

バックアップの取得が失敗していることに気づかないリスクへの対策として、バックアップ中にエラーが発生したら電子メールでシステム管理者に通知をするツールを導入する。

バックアップ対象の設定を誤り、必要なデータのバックアップが取得されないリスクへの対策として、一時的に構築した情報システムに、バックアップテープの全ファイルをリストアし、ファイルと比較ルールを使用してファイルサーバのバックアップ対象ファイルと比較し、ファイルが減っていないことを確認する。

PCI DSS への対応について

PCI DSS への準拠には多額の費用がかかるが、A 社 EC サイトの決済機能を変更することによって、クレジットカード情報の非保持化を実現する。という方法だと費用が少額で済み、2018 年 6 月の改訂割賦販売法の施行にも間に合うのでその方法で対応するとよいと助言された。

E さんは、指摘事項 5 及び指摘事項 6 の対応方針について情報セキュリティ委員会で承認を得た。その後、旅行営業部でその方法を実施することにした。

E さんは、他の指摘事項についても P 氏の助言を得ながら対応方針を検討して対応を実施し、A 社規定類も見直しされて、A 社の情報セキュリティは大きく改善された。




関連する用語

PCI DSS
クレジットカード会員の情報を保護することを目的に定められた、クレジットカード業界の情報セキュリティ基準です。国際カードブランドの American Express、Discover、JCB、MasterCard、VISA の5社によって策定されました




学習の確認

  1. 最新ソフトへのバージョンアップの仕方
  2. 退職誓約書の締結について
  3. 従業員 ID の定期的な棚卸について
  4. 高リスクソフトの対応について
  5. バックアップについて
  6. PCI DSS への対応について