情報処理安全確保支援士試験 平成29年度 秋期 午後2 問2 設問4
問2 データ暗号化の設計に関する次の記述を読んで、設問1〜4に答えよ。
(略)
〔K2システムにおけるリスク対策の補完〕
X社は、DB暗号方式を実装したK2システムについて、契約情報の漏えいリスクを分析した。リスク分析の結果、次の対策を追加することになった。
対策1 不審なアクセスがないか監視する。具体的には、週次で、業務アプリケーションのログから、業務時間外のアクセス及び大量の契約情報へのアクセスがないかチェックし、もしあれば、その内容を確認する。
対策1は、誰がどのような方法で契約情報を取得するリスクに対する対策か。リスクを45字以内で述べよ。:業務担当者及び契約者が業務アプリケーションを利用して持ち出すリスク
業務アプリケーションのログをチェックするということから、対象者は業務アプリケーションへアクセスできる業務担当者及び契約者になります。
また、業務アプリケーションへの業務時間外のアクセス及び大量の契約情報へのアクセスをチェックするということから、業務アプリケーションを利用する方法で契約情報を取得するリスクが該当します。
問題文のこれらの情報だけでは、業務アプリケーションを利用する具体的な方法までは導くことができないようです。自信を持って回答できるのであればいいですが、そうでなければ、ある程度抽象的ではあっても問題文や設問から導き出せるキーワードを使って回答した方が無難かもしれません。(これは試験の話で、実業務においてはより具体的にところまで落とし込むことを要求されることのほうが多いと思います)
対策2 DBサーバ又はWebアプリケーションサーバのメモリダンプをファイルに出力した場合、次の作業に対して、作業者、作業日時及び作業内容を履歴として残す。
・メモリダンプのファイルへの出力
・メモリダンプファイルへのアクセス
・メモリダンプファイルを保管した外部記憶媒体の利用
・メモリダンプファイルの消去
K2システムの設計を終えたX社は、更改作業に向けて準備を開始した。
【出典:情報処理安全確保支援士試験 平成29年度 秋期 午後2問2(一部、加工あり)】
対策2は、誰がどのような方法で契約情報を取得するリスクに対する対策か。リスクを50字以内で述べよ。:オペレータ及びシステム管理者が、メモリダンプから平文の契約情報を読み出し、持ち出すリスク
メモリダンプは、ある時点のメモリの内容を出力したもので、暗号化される前の契約情報などが平文で読み取れる状態で出力される可能性があります。
メモリダンプはOSの管理権限があれば取得できるため、問題文の場合、オペレータ及びシステム管理者がメモリダンプから平文の契約情報を読み出し、持ち出すリスクが考えられます。