情報セキュリティマネジメント試験 令和元年秋(2019)午後 ③業務委託先へお願い前の検討

ここでの勉強のポイント

このサイトは、国家試験、情報セキュリティマネジメント試験の過去問題の中の一部です。
このページでは主に下記の事柄を勉強致します。

  1. Web で使用している暗号化のプロトコル
  2. 貸与した PC にだけ暗号化を掛けるメリットは?
  3. 3 階、4 階、5 階と階を移動した場合、どんなリスクがあるのか、また、その解決法は?
  4. 複合機の初期設定についてのリスクは?




はじめに、架空の会社の X 社の説明

X 社は、携帯通信事業者から通信回線設備を借り受け、データ通信サービスおよび通話サービスを提供している従業員数 70 名の企業である。その中に利用者をサポートする US 部がある。
US 部は、25 名の従業員が所属していて、主な業務は、X サービスを利用している顧客、及び X サービスへの新規申し込みを検討している潜在顧客からの問合せへの対応業務である。

US 部が利用しているコールセンター用サービスの概要

US 部では、N 社製の SaaS のコールセンター用の N サービスを利用している。N サービスは、ISMS 認証、ISMS クラウドセキュリティ認証を取得している。N サービスには、会社から貸与された PC の Webブラウザから、暗号化された通信プロトコルである HTTP over TLS を使ってアクセスしている。

N サービスのデータベース (NDB)に、氏名、年齢、住所、利用中のサービスプラン、問合わせ対応記録、その他の X 顧客に関する情報は暗号化されている。また、検索用キーは平文で保存されている。X 情報は、US 部の従業員に貸与している PC にだけ格納した暗号鍵を用いて、US 部の従業員が復号できる仕組みになっている。この仕組みにより、N 社データベースに格納しているデータを不正に持ち出され X 顧客の情報を読み込まれるリスクや、N 社の従業員が N 社データベースに不正アクセスすることによって X 顧客の情報が漏洩するリスクなど低減することができている。

US 部では、業務効率化の一環として、2019 年 10 月に X 業務の 3 割を外部に委託し、残りの業務は継続して N サービスを利用しながら US 部内で遂行することにした。 その委託先の第 1 候補が Y社である。Y社を選んだ理由は、次の2点である。

  1. 他の候補と比較してサービス内容に遜色がなく、しかも低価格であること
  2. 秘密保持契約を締結した上で、業務委託に関わる範囲を対象とした、情報セキュリティ対策の評価に協力してくれること

Y 社の概要

Y 社は、コールセンターサービスを提供する従業員数 200 名の企業である。

  • 委託元に変わって顧客からの製品やサービスに関する様々な問い合わせや苦情などを受付ける。
  • 委託元の製品やサービスの評判を新聞、メディア、インターネット上の SNS 、掲示板などを基に調査し、依頼元に報告する。 著作物を複製する場合は、著作権者の許諾を得て行う
  • Y 社は、コールセンターシステムを構築し、通常はそれを利用して Y サービスを提供している。

Y 社は、従業員を対象に、原則 4 月、10 月に定期人事異動がある。
Y-CS 部のパートタイマーは、1 年間で約 2 割が退社する。欠員補充のために、ほぼ同数を新規に採用している。

Y 社の情報セキュリティ対策

Y 社は、東京都内の 7 階建てビルの 3~5 階に入居しており、他の階には別の会社が入居している。ビルの出入りは、誰でも可能であり、階段やエレベーターを使用して各階に移動できる。

Y 社の入退管理

  • 各階には業務エリアが一つずつある。各業務エリアには出入り口が 2 カ所あり、入室時に 6 桁の暗証番号が必要。又、暗唱番号は各エリアで異なる。
  • 4 月、10 月に暗証番号を更新する。
  • 共連れで入室すること及び他部の従業員に暗証番号を教えることは禁止している。
  • 各業務エリアの出入り口付近には監視カメラが設置されており、毎日 24 時間録画している。

3 階は Y-CS 部、4 階 及び 5 階は他部の業務エリアである。

Y-CS 部の管理職及び一般従業員は、5 階の会議室で営業部の従業員と会議をすることが多いので、3 階及び 5 階への入室権限が与えられている。

3~5 階には、複合機が 2 台ずつ設置されている。Y-CS 部はスキャンの機能を利用して、新聞、雑誌などに紹介された委託元の製品やサービスに関する記事を PDF 化し、委託元に報告している。

スキャンした PDF ファイルは電子メールにパスワードなしで添付されて、スキャンを実行した本人だけに送信される。

PDF ファイルの容量が大きい場合は、PDF ファイルを添付する代わりにプリントサーバー内の共有フォルダーに自動的に保存され、保存先の URL がメールの本文に記載されて送信される。その際、メールの送信者名、件名、本文及び添付ファイル名の命名規則などは、複合機の初期設定のまま使用している。そのため誰がスキャンを実行しても、メールの送信者名などは同じになる。

管理職にはデスクトップ PC 及びノート PC が、その他の従業員にはデスクトップ PC が貸与されている。ノート PC は、社内会議での資料のプロジェクタによる投影、在宅での資料作成などに利用する。

プロキシサーバーには次の機能があるが、現在は使用していない。
・指定された URL へのアクセスを許可または禁止する機能
・利用者 ID およびパスワードによる認証機能

プロキシサーバーのログは、ログサーバーに転送され 3 か月間保存される。プロキシログは、ネットワーク障害、不審な通信などの原因を調査する場合に利用する。プロキシログには、アクセス日時およびアクセス先 IP アドレスが記憶されるが、利用者認証機能を使用すると、Web サイトにアクセスした従業員の利用者IDも記録される。

VPN サーバーには、パケットフィルタリングの機能及びあらかじめ設定したドメインへの通信を禁止する機能があるが、現在は使用していない。

Y 社からの提案

Y 社が X 業務に利用するシステム又サービスは次に示す 2 案があります。X社から特段の要求がなければ Y 社は案 1 を採用する。

案 1 Y システムを利用
・ Y-CS 部の主任のうち 2 人、一般従業員のうち 2 人、パートタイマーのうち 4 名が Y システムにアクセスできる。

案 2 N サービスを利用
・Y-CS 部の主任のうち 2 人、一般従業員のうち 2 名、パートタイマーのうち 4 名が N サービスにアクセスできる。
・主任 2 名は、N サービスの監査ログから X 業務での操作履歴を確認ができる。

X 社委員会における案 1 及び案 2 の検討

X 社委員会は、案 2 では、案 1 のもつシステム管理部の従業員による X 情報の不正な持ち出しリスクを回避できるので、案 2 の採否について議論した。X 社委員会では、業務委託後の残留リスクを受容できると判断できた場合は 、Y 社に委託することにした。 そこで CISO は、業務委託に関する範囲を対象として Y 社の情報セキュリティ対策を確認し、 X 社委員会に報告するよう指示した。

X 社の情報セキュリティ要求事項と評価

X 業務の外部への委託における情報セキュリティ要求事項をまとめ、Y 社を訪問して評価結果と評価根拠をまとめた。

X 社要求事項に対する Y 社の対策の評価結果と評価根拠

要求事項 5: X 業務で、N サービスへのアクセスが可能な業務エリアは、Y-CS 部の業務エリアだけに限定すること。に対して、X 業務に従事する Y-CS の 2 名の主任が 3 階以外からアクセス出来てしまう。よって、更に、サーバの VPN 制御機能を使用して、ノート PC から N サービスへのアクセスを禁止するようにする。

要求事項 8: X 業務を実施する業務エリアの入室は、入室権限があたえられている従業員だけに制限すること。に対して、退職者の一部が 3 階の業務エリアに入室できる。や、元Y-CSの従業員が他部門に異動した後も 3 階の業務エリアに入室できる。

要求事項 12 で、複合機が初期設定のままになっている。とどのような情報セキュリティリスクが残留していると考えるか?
・X 業務に従事する従業員が、攻撃者からのメールを複合機からのメールだと信じてメール本文中に
ある URL をクリックして、フィッシングサイトに誘導される。

・X 業務に従事する従業員が、攻撃者からのメールを複合機からのものと信じて添付ファイルを開き
 マルウェアに感染する。

要求事項 14:X 業務で使用するPCでは、外部記憶媒体へのアクセスを禁止する。に対しては、マルウェア付きのファイルが保存されている USB メモリ を Y-PC に接続されて、Y-PC がマルウェアに感染することを低減する効果

評価結果に対する対応案の検討

後日、Y 社と業務委託契約をしたいと伝え、その前提として、評価結果が NG の要求事項への対応を依頼した。そこで、Y 社は、N サービスにログインできる従業員を対象に、プロキシサーバの利用者認証機能を使用し、プロキシログを監視する旨を伝えるなどの対応案を伝えた。

Y 社に業務を委託することが承認され、無事に業務が開始された。X 社は Y 社への業務委託によって業務の効率化を進めることができた。




関連する用語

HTTP over TLS
Web サーバと Web ブラウザがデータを安全に送受信するために、TLSプロトコルによって生成されるセキュアな通信経路上でデータのやり取り(HTTP通信)を行う方式です。HTTPプロトコルは、平文のままで情報をやり取りするため、個人情報の送信や電子決済などセキュリティが重要となる通信に使うことには危険が伴います。TLSから提供される通信の暗号化、ディジタル証明書を用いたノードの認証、改ざん検出などの機能を使用することで、HTTPS通信を「なりすまし」や「盗聴」による攻撃から通信を保護できるようになっています。

DMZ
非武装地帯という意味。ファイアウォールの中でも外でもない中間的なエリアのことで、公開サーバなど外部からアクセスされる可能性のある情報資源を設置するエリアです。




学習の確認

  1. Web で使用している暗号化のプロトコル
  2. 貸与した PC にだけ暗号化を掛けるメリットは?
  3. 3 階、4 階、5 階と階を移動した場合、どんなリスクがあるのか、また、その解決法は?
  4. 複合機の初期設定についてのリスクは?