セキュリティのエンドポイント管理における運用管理ツールの効果【情報処理安全確保支援士試験 平成30年度 秋期 午後2 問1 設問4】

情報処理技術者試験、情報処理安全確保支援士試験の午後問題を通じて、情報セキュリティの知識を体系的に蓄積していきましょう。

キーワードに加え、設計やインシデント対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、情報処理安全確保支援士となった後も能力向上のために学習できるいい機会です。

今回は、「セキュリティのエンドポイント管理における運用管理ツールの効果」を取り上げた「情報処理安全確保支援士試験 平成30年度 秋期 午後2問1 設問4」です。

問題文中、設問に該当する部分ですぐに解答を説明しています。

ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

情報処理安全確保支援士試験 平成30年度 秋期 午後2 問1 設問4

問1 クラウド環境におけるセキュリティ対策に関する次の記述を読んで、設問1〜5に答えよ。

(略)

【エンドポイント管理の検討】

 X社は、独自の情報セキュリティ標準を定めているが、NISTサイバーセキュリティフレームワークとして知られている”重要インフラのサイバーセキュリティを向上させるためのフレームワーク”(以下、NIST CSFという)を基に改定することにした。NIST CSFにおいては、組織のサイバーセキュリティリスク管理策がNIST CSFで定義されている特性をどの程度達成できているかを示す段階として、②フレームワークインプリメンテーションティア(以下、ティアという)1からティア4までの段階を定義しており、ティア4が最も高い段階である。

②について、ティア1からティア3に該当するものを、解答群の中から選び、それぞれ記号で答えよ。(ア:繰返し適用可能である(Repeatable)、イ:部分的である(Partial)、ウ:リスク情報を活用している(Risk Informed)):ティア1:イ、ティア2:ウ、ティア3:ア

知識問題ですが、「ティア4が最も高い段階」とのことから、達成度の低いものからティア1に割り当てていけば良さそうです。

NIST(米国国立標準技術研究所)が発行した「重要インフラのサイバーセキュリティを向上させるためのフレームワーク」では、フレームワークインプリメンテーションティアを以下のように定義しています。

  1. ティア1:部分的である(Partial)
  2. ティア2:リスク情報を活用している(Risk Informed)
  3. ティア3:繰返し適用可能である(Repeatable)
  4. ティア4:適応している(Adaptive)

www.ipa.go.jp

 現状の情報セキュリティ標準とNIST CSFを比較した結果、X社システム部門は、情報セキュリティ標準を、次のように改定することにした。

改定1 構成管理システムへの登録

 X社内の各サーバ及び各ネットワーク機器について、管理責任者、機種名及びシリアル番号、OS及びファームウェアを含むソフトウェアの製品名及びバージョンなどを登録する構成管理システムを整備する。X社が使用するクラウドサービスについては、システム名、システム管理責任者、クラウドサービスの名称、X社側で管理する必要があるソフトウェアの製品名及びバージョンなどを構成管理システムに登録する。PCについても、使用者、管理責任者、機種名、シリアル番号、OSを含むソフトウェアの製品名及びバージョンなどを構成管理システムに登録する。

改定2 サーバ及びPCのセキュリティチェックの実施

 脆弱性修正プログラム(以下、パッチという)の適用状況及びセキュリティ設定パラメタの設定値を定期的にチェックする。必要なパッチが未適用であったり、セキュリティ設定パラメタの設定値がX社の標準値ではない場合、サーバ、ネットワーク機器及びシステムの管理責任者、又はPCの管理責任者、並びにその所属長に通知し、1週間以内の是正を求める。X社の標準値は、NISTが公開しているNational Checklist Program Repositoryにあるチェックリストを参考にして決定する。

改定3 脆弱性管理の実施

 サーバ、ネットワーク機器及びPCにおいて、使用しているOS及びファームウェアを含むソフトウェアの脆弱性情報、及びクラウドサービスにおいてX社側で管理する必要があるソフトウェアの脆弱性情報が新たに公開された場合は、その重要度を評価し、重要度に応じた期限内にパッチを適用するよう、サーバ、ネットワーク機器及びシステムの管理責任者、又はPCの管理責任者、並びにその所属長に通知する。

 なお、上記の改定は、クラウド環境への移行に関する検討結果には影響しない。

 X社システム部門は、三つの改定に伴って必要になる運用について、J社に運用サービスの提案を求めた。J社からは、サーバ及びPCで使用するソフトウェア(以下、標準ソフトウェアという)の一覧を運用サービス契約時に取り決めた上で、次の運用サービスを提供できるという回答があった。

運用サービス1 標準ソフトウェアに関する脆弱性情報を日次で収集する。

運用サービス2 エンドポイント管理用ソフトウェアである製品Dを導入し、運用サービス1で収集した情報を用いてプロジェクト専用PC及びプロジェクト専用サーバを除く全てのサーバ及びPC内の標準ソフトウェアのパッチ適用状況及びセキュリティ設定を日次で監視する。

運用サービス1及び2が提供される場合、標準ソフトウェア以外のソフトウェアがサーバ又はPCに導入されていたとすると、セキュリティ管理上どのような不都合が生じるか。40字以内で述べよ。:標準ソフトウェア以外のソフトウェアは、脆弱性管理がされないという不都合

運用サービス1及び2では標準ソフトウェアのみが対象になっていることは明らかですので、それ以外のソフトウェアは脆弱性管理がされないという不都合が生じると考えられます。

ここから発展して、脆弱性管理がされないことによる攻撃リスクが高まることや、セキュリティインシデント発生の可能性が高まることを回答にしてしまいがちですが、問われていることは「セキュリティ管理上どのような不都合が生じるか」であり、管理面での不都合を回答する必要があります。

 製品Dの仕様は次のとおりである。

・サーバ又はPCに導入されるエージェントソフトウェアと、各エージェントソフトウェアが通信するサーバソフトウェアとで構成される。

・エージェントソフトウェアが、サーバ又はPCにおけるパッチの適用状況及びセキュリティ設定パラメタの設定値を収集し、サーバソフトウェアに送信する。

・サーバソフトウェアが提供する管理画面において、必要なパッチ、並びに必要なパッチが適用されていないサーバ及びPCの一覧を表示することができる。同様に、セキュリティ設定パラメタの設定値が指定した値と異なるサーバ及びPCの一覧を表示することができる。

・必要なパッチが適用されていないサーバ及びPCの一覧から、1台以上のサーバ又はPC並びにパッチを選択し、1回の操作で、選択したサーバ又はPCに必要なパッチを適用することができる。

・セキュリティ設定パラメタの設定値が指定した値と異なるサーバ及びPCの一覧から、1台以上のサーバ又はPCを選択し、1回の操作で、選択したサーバ又はPCのセキュリティ設定パラメタの設定値を指定した値に変更することができる。

【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後2問1(一部、加工あり)】

情報セキュリティ標準を基に手作業及び目視でセキュリティ設定パラメタの設定値をチェックする方法と比べて、製品Dによる方法は、どのような利点があるか。二つ挙げ、それぞれ15字以内で答えよ。:正確である/作業が速くできる。

製品Dでは、サーバ又はPCにあらかじめエージェントソフトウェアが常駐してある状態であり、それぞれ並行してセキュリティ設定パラメタの設定値を収集します。

当然ですが、手作業及び目視でのチェックに比べ、正確で、作業が速いことが利点です。