【情報処理安全確保支援士試験 令和5年度 秋期 午後 問4 No.3】

情報処理安全確保支援士試験 令和5年度 秋期 午後 問4

【出典:情報処理安全確保支援士試験 令和5年度 秋期 午後 問4(一部、加工あり)】

a(表2中から該当する項番を全て選び、数字で答えよ。該当する項番がない場合は、”なし”と答えよ。):5、10、12

 W社従業員が、「誤って、SサービスのIDとPWを、W社外の第三者にメールで送信する」ことによって、「メールを受信したW社外の第三者によって、メールに記載されたIDとPWが利用され、W社外からSサービスにログインされて、Z情報がW社外のPCなどに保存される。」リスクに対して、情報セキュリティの状況を表2から探します。
 まずは、メールに関することなので、項番5が該当します。
 次に、人的セキュリティ対策の情報セキュリティ研修(項番10)にあるメール送信時の注意事項が該当します。
 また、貸与アカウントのPWの管理にある配送管理課長がIDとPWをメールで周知(項番12)についても、該当します。

b(表2中から該当する項番を全て選び、数字で答えよ。該当する項番がない場合は、”なし”と答えよ。):2、3、4

 W社外の第三者が、「W社のPC又はサーバの脆弱性を悪用し、インターネット上のPCからW社のPC又はサーバを不正に操作する」ことによって、「不正に操作されたPC又はサーバが踏み台にされて、配送管理用PCにキーロガーが埋め込まれ、SサービスのIDとPWが窃取される。そのIDとPWが利用され、W社外からSサービスにログインされて、Z情報がW社外のPCなどに保存される。」リスクに対して、情報セキュリティの状況を表2から探します。
 まずは、不正な動きを検知するマルウェア対策ソフトが関連することなので、項番2が該当します。
 次に、PCやサーバの脆弱性を悪用するため、脆弱性修正プログラムの適用に関連するため、項番3が該当します。
 また、PCやサーバのキーロガーによって外部の攻撃者のC&CサーバへのアクセスはFWを経由するので、項番4が該当します。