情報資産についてのリスクアセスメント【平成26年度 春期 基本情報技術者試験 午後 問1】
平成26年春 基本情報技術者試験 午後 問1
問1 情報資産についてのリスクアセスメントに関する次の記述を読んで、設問1〜3に答えよ。
Z社は、従業員数が500の中堅SIベンダである。Z社では、プロジェクト開始前に、プロジェクトで扱う情報資産について、図1に示す自社で定めた手順に従って、リスクアセスメントを実施している。このたび、新規に受注したプロジェクトYに対して、リスクアセスメントを実施することになった。
〔プロジェクトYの説明(抜粋)〕
(1)顧客が利用する購買システムを開発する。
(2)開発で利用するテストデータは顧客から提供される。
(3)顧客のテストデータを格納した顧客のUSBメモリを、プロジェクトメンバが顧客から受け取って自社に持ち帰り、顧客のテストデータを開発用サーバに複写後、USBメモリから削除する。
(4)Z社から顧客の事務所を訪問するのに、電車で1時間30分ほど要する。
(5)開発用PCでプログラムを開発し、適宜、開発用サーバにアップロードする。
〔Z社の開発環境(抜粋)〕
(1)プログラムの開発には、開発用サーバと開発用PCを利用する。
(2)開発用サーバは、施錠されたサーバルームに設置されている。
(3)開発用サーバは、アクセス管理がされており、プロジェクトメンバとシステム管理者だけがアクセスできる。
(4)開発用PCは、プロジェクト開始時にシステム部から各プロジェクトメンバに貸与され、プロジェクト終了時に返却される。
〔Z社の開発標準(抜粋)〕
(1)開発時、プロジェクトメンバは顧客のテストデータのうち必要なものだけを、開発用サーバから自分の開発用PCにダウンロードし、不要になったら削除する。
(2)プロジェクト終了時に、プロジェクトマネージャは開発用サーバの顧客のテストデータを削除し、全ての開発用PCから顧客のテストデータが削除されていることを確認する。
〔Z社のリスク値算出方法〕
Z社では、各情報資産のリスク値を、次の式で算出する。
リスク値 = 情報資産の価値 × 脅威 × 脆弱性
ここで、”情報資産の価値”とは情報資産が損なわれたときの影響の大きさを意味し、機密性(以下、Cという)、完全性(以下、Iという)、可用性(以下、Aという)の観点に対して、影響の大きさをそれぞれ1〜3の値で評価する。”脅威”は、発生の可能性の大きさを1〜3の値で評価する。”脆弱性”は、脅威が発生した場合に被害が顕在化する度合いの大きさを1〜3の値で評価する。ここで、各1〜3の値は大きい場合を3、小さい場合を1とする。
C、I、Aごとに算出したリスク値が全て12以下ならばリスクを受容し、そうでないならば追加のリスク対策を実施することにしている。
C.I.A.
情報セキュリティの3要素で、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の頭文字をとった標語です。
- 機密性:許可された正規のユーザだけが情報にアクセスできる特性
- 完全性:情報が完全で、改ざん、破棄されていない特性
- 可用性:ユーザが必要な時に情報へのアクセスが可能である特性
〔リスクの特定〕
①情報資産の洗出し
プロジェクトYで扱う情報資産の洗出しを行った。その結果を、表1に示す。
②情報資産の価値の数値化
表1の各情報資産に対して、C、I、Aのそれぞれについてその価値を評価した値と評価理由を、表2に示す。
(Ⅱ)(Ⅲ)はC、I、Aのいずれかの観点から”情報資産の価値”を評価した際の評価理由である。(Ⅱ)(Ⅲ)に対応するC、I、Aは →(Ⅱ):C、(Ⅲ):I
「(Ⅱ)社外に漏れた場合、顧客からの信頼を失う」は、機密性が損なわれた結果として生じる事例です。
「(Ⅲ)版管理が行われない場合、不整合によって、プロジェクトの進捗に影響を与える」は、完全性が損なわれた結果として生じる事例です。
③脅威の数値化
表2の情報資産のうち、情報資産No.4(顧客のテストデータ)について、脅威の内容と脅威の値を、表3に示す。
④脅威に対する脆弱性の数値化
表3の各脅威に対する脆弱性の低減策と脆弱性の値を、表4に示す。脆弱性の値は、システム、規則又は運用で、二つ以上対策済みなら1、一つだけなら2、未対策は3とする。
〔リスクの分析評価〕
表2〜4を基に情報資産No.4(顧客のテストデータ)のリスクの分析評価を行い、リスク値を算出した結果を、表5に示す。
追加のリスク対策が必要になる脅威の数 →2
本文に「C、I、Aごとに算出したリスク値が全て12以下ならばリスクを受容し、そうでないならば追加のリスク対策を実施する」とありますので、表5のリスク値の空欄部分を算出していきます。「リスク値 = 情報資産の価値 × 脅威 × 脆弱性」です。
すると、1行目と4行目のCが13以上で、追加のリスク対策を実施する必要があります。
プロジェクトYのプロジェクトマネージャは、リスクの分析評価の結果からリスク対応計画を作成した。その後、リスク対策を実施した。
プロジェクトYの終了後、新たに発足したプロジェクトXで利用している開発用PCに、プロジェクトYの顧客のテストデータが格納されている、とシステム部に連絡があった。調査した結果、このPCは、プロジェクトYで利用していた開発用PCであり、システム部に返却された後に、システム部からプロジェクトXに貸与されたものであることが判明した。そこで、Z社では、顧客のテストデータの漏えいというリスクに対処するために、(a:顧客のテストデータを開発用PCにダウンロードして利用する場合は、管理台帳にダウンロード日、削除日、実施者を記入する)、(b:返却された開発用PCは、システム部が全データを完全削除する工程を追加する)という対策を追加することにした。
【出典:基本情報技術者試験 平成26年度春期午後問1(一部、加工あり)】