【情報処理安全確保支援士試験令和5年度秋期午後問4 No.1】

情報処理安全確保支援士試験令和5年度秋期午後問4

問4 リスクアセスメントに関する次の記述を読んで、設問に答えよ。

G百貨店は、国内で5店舗を営業している。G百貨店では、贈答品として販売される菓子類のうち、特定の地域向けに配送されるもの（以下、菓子類Fという）の配送と在庫管理をW社に委託している。

[W社での配送業務]
W社は従業員100名の地域運送会社で、本社事務所と倉庫が同一敷地内にあり、それ以外の拠点はない。
G百貨店では、贈答品の受注情報を、Sサービスという受注管理SaaSに登録している。菓子類Fの受注情報（以下、菓子類Fの受注情報をZ情報という）が登録された後の、W社の配送業務におけるデータの流れは、図1のとおりである。

W社の配送管理課では、毎日9:00〜21:00の間、常時稼働1名として6時間交代で配送管理業務を行っている。配送管理用PCは1台を交代で使用している。
Sサービスに登録されたZ情報をW社が参照できるようにするために、G百貨店は、自社に発行されたSサービスのアカウントを一つW社に貸与している（以下、G百貨店がW社に貸与しているSサービスのアカウントを貸与アカウントという）。貸与アカウントでは、Z情報だけにアクセスできるように権限を設定している。なお、SサービスとW社の各システムは直接連携しておらず、W社の配送管理課員がZ情報を参照して、在庫管理サーバ及び配送管理SaaSに入力している。1日当たりのZ情報の件数は10〜50件である。Z情報には、配送先の住所・氏名・電話番号の情報が含まれている。配送先の情報に不備がある場合は、配送員が配送管理課に電話で問い合わせることがある。なお、配送に関するG百貨店からW社への特別な連絡事項は、電子メール（以下、メールという）で送られてくる。

[リスクアセスメントの開始]
ランサムウェアによる”二重の脅迫”が社会的な問題となったことをきっかけに、G百貨店では全ての情報資産を対象にしたリスクアセスメントを実施することになり、セキュリティコンサルティング会社であるE社に作業を依頼した。リスクアセスメントの開始に当たり、G百貨店は、G百貨店の情報資産を取り扱っている委託先に対して、E社の調査に応じるように要請し、承諾を得た。この中にはW社も含まれていた。
情報資産のうち贈答品の受注情報に関するリスクアセスメントは、E社の情報処理安全確保支援士（登録セキスペ）のTさんが担当することになった。Tさんは、まずZ情報の機密性に限定してリスクアセスメントを進めることにして、必要な調査を実施した。Tさんは、調査結果として、Sサービスの仕様とG百貨店の設定状況を表1に、W社のネットワーク構成を図2に、W社の情報セキュリティの状況を表2にまとめた。

Tさんは、G百貨店が定めた図3のリスクアセスメントの手順に従って、Z情報の機密性に関するリスクアセスメントを進めた。

Tさんは、表4のリスクアセスメントの結果をG百貨店に報告した。

[リスクの管理策の検討]
報告を受けた後、G百貨店は、総合評価がA〜Cのリスクについて、リスクを低減するために追加すべき管理策の検討をE社に依頼した。依頼に当たり、G百貨店は次のとおり条件を提示した。

図1のデータの流れを変更しない前提で管理策を検討すること
リスク番号1-1及び2-4については、総合評価にかかわらず、管理策を検討すること

依頼を受けたE社は、Tさんをリーダーとする数名のチームが管理策を検討した。追加すべき管理策の検討結果を表5に示す。

その後、Tさんは、Z情報の完全性及び可用性についてのリスクアセスメント、並びに菓子類F以外の贈答品の受注情報についてのリスクアセスメントを行い、必要に応じて管理策を検討した。
E社から全ての情報資産のリスクアセスメント結果及び追加すべき管理策の報告を受けたG百貨店は、報告内容からW社に関連する部分を抜粋してW社にも伝えた。G百貨店とW社は、幾つかの管理策を実施し、順調に贈答品の販売及び配送を行っている。

ア（表2中から該当する項番を全て選び、数字で答えよ。該当する項番がない場合は、”なし”と答えよ。）：10、11、12、13

表4の該当部分はリスク番号1-1の以下の内容で、情報セキュリティの状況を回答するものです。

リスク源：W社従業員
行為又は事象の分類：IDとPWの持出し（故意）
リスク源による行為又は事象：SサービスのIDとPWをメモ用紙などに書き写して、持ち出す。
Z情報の機密性への影響に至る経緯：W社従業員によって持ち出されたIDとPWが利用され、W社外からSサービスにログインされて、Z情報がW社外のPCなどに保存される。
発生頻度：低

この内容からSサービスのIDとPWに関する内容であることが分かります。
表2からSサービスのIDとPWに関するものを抽出すると、以下が該当します。

項番10：全従業員に対して、次の基本的な情報セキュリティ研修を行っている。（IDとPWを含む、秘密情報の取扱方法）
項番11：聞取り調査の結果、従業員の倫理意識は十分に高いことが判明した。不正行為の動機付けは十分に低い。
項番12：配送管理課長が毎月PWを変更し、IDと変更後のPWをメールで配送管理課員全員に周知している。PWは英数記号のランダム文字列で、十分な長さがある。
項番13：PWは暗記が困難なので、配送管理課長は課員に対して、PWはノートなどに書いてもよいが、他人に見られないように管理するよう指示している。しかし、配送管理課で、PWを開いた付箋が、机上に貼ってあった。

項番10、11で、W社従業員によるIDとPWなどの秘密情報の不正な取扱行為は起こりにくそうですが、項番12、13のような第三者によるリスクは高そうです。
番号1-1は、リスク減がW社従業員であり、発生頻度が低いとなっています。

イ（答案用紙の大・中・小のいずれかの文字を◯で囲んで示せ。）：大

同じくリスク番号1-1の被害の大きさを回答するものです。
図3から被害の大きさは、次の3段階となります。

大：ほぼ全てのZ情報について、機密性が確保できない。
中：一部のZ情報について、機密性が確保できない。
小：”Z情報の機密性への影響に至る経緯”だけでは機密性への影響はないが、ほかの要素と組み合わせることによって影響が生じる可能性がある。

リスク1-1は、「Z情報の機密性への影響に至る経緯：W社従業員によって持ち出されたIDとPWが利用され、W社外からSサービスにログインされて、Z情報がW社外のPCなどに保存される。」という内容から、Z情報のほぼ全てが漏えいすることになり、明らかに被害の大きさは「大」となります。

ウ（答案用紙のA・B・C・Dのいずれかの文字を◯で囲んで示せ。）：C

表3から、被害の大きさが「大」で、発生頻度が「低」となり、総合評価は「C」となります。

エ：G百貨店で、Sサービスのログイン可能なIPアドレスをW社プロキシだけに設定する。

リスク1-1の「W社従業員によって持ち出されたIDとPWが利用され、W社外からSサービスにログインされて、Z情報がW社外のPCなどに保存される。」への管理策が二つ挙げられています。

G百貨店で、Sサービスの利用者認証を、多要素認証に変更する。
G百貨店で、Sサービスの操作ログを常時監視し、不審な操作を発見したらブロックする。

これ以外の管理策は、いずれも表1（Sサービスの仕様とG百貨店の設定状況）のG百貨店の設定状況に関連する内容です。（一つ目は項番1、二つ目は項番5に相当）
表1の中で、他にリスク1-1への管理策としてできることとしては、項番3の「ログインを許可するアクセス元IPアドレスのリストを設定することができる。」になります。
W社からSサービスにアクセスするプロキシサーバのみをアクセス元IPアドレスとして許可することで、漏えいしたIDとPWを使ってSサービスにアクセスすることを防ぐことができます。