情報セキュリティにおけるリスク【平成23年度 秋期 基本情報技術者試験 午後 問4】
平成23年秋 基本情報技術者試験 午後 問4
問4 情報セキュリティにおけるリスクに関する次の記述を読んで、設問1、2に答えよ。
E君の所属するF社では、自社の情報セキュリティにおけるリスクを数値化して管理することになり、基準を設定して所有する情報資産のリスク評価を行うことになった。E君はこのうち、サーバX及びサーバYのリスク評価を担当した。
なお、ここでは、試行のための仮の基準と値を扱うが、それぞれに”仮”を表す文言は用いない。
〔リスクの値の算出〕
F社では、機密性、完全性、可用性のそれぞれについて、情報資産のリスクの値を、次の式で算出する。
リスクの値=情報資産の価値×脅威×脆弱性
〔情報資産の価値の評価基準〕
F社では、機密性、完全性、可用性のそれぞれから見た情報資産の価値の評価基準と値を、表1〜3のとおりに設定した。
〔脅威と脆弱性の判断基準〕
F社では、脅威と脆弱性の判断基準と値を、それぞれ表4、5のとおりに設定した。
〔サーバX及びサーバY〕
サーバXでは、調達先一般情報のデータベースが稼働している。調達先一般情報とは、調達先コード、調達先の正式な名称、略称、住所、電話番号などである。
サーバYでは、取引情報のデータベースが稼働している。取引情報とは、調達先コード、購入品コード、単価、購入履歴などである。
E君は、サーバX及びサーバYの機密性、完全性、可用性のそれぞれから見た価値を評価するために、調達先一般情報と取引情報に関して、社内関連部門から聴取し、その内容を次のようにまとめた。
〔社内関連部門からの聴取内容〕
(1)調達先一般情報
①電話帳や各社のWebページで公開されている情報であるが、取引があることをF社の競合他社に知られたくない調達先もあるので、社外には公開できない。
②この情報は、調達先との間で行っているEDI(電子データ交換)では利用していないので、誤りがあっても調達業務に与える影響は小さい。
③社員が、電話番号の確認や、挨拶状の宛先ラベルの印字に利用しているが、サーバXが利用できない場合には、代替手段での入手が可能である。
(2)取引情報
①競合する調達先をはじめ、F社の同業他社に知られてはならない情報である。また、社内でも、他部門には開示できない情報である。
②情報に誤りがあれば、調達や支払などの業務に与える影響は大きい。
③営業時間内の調達オンライン入力処理、及び夜間のバッチ処理で利用されており、これらを処理するシステムは、メンテナンス以外では、年間4時間以上停止することは許されない。
〔脅威と脆弱性の状況〕
E君は、各サーバがさらされている脅威とその脅威に対するF社の脆弱性を調査し、表4及び表5の判断基準に基づいて評価した。そのうちの主なものを、表6に示す。
〔受容可能なリスク水準〕
F社では、受容可能なリスク水準を、表7のとおりに設定した。情報資産について各リスクの値がこれらの値以下であれば、そのリスクを保有し、そうでなければ、リスク対応を行う。
〔サーバX及びサーバYのリスク評価〕
表1〜5の基準、聴取内容及びサーバXとサーバYの状況から、E君は、サーバX及びサーバYに関するリスク評価を行った。F社では、評価に当たって、表1〜3の評価基準では、該当する基準の値のうちで最も小さいものを選ぶことにしている。
評価結果の一部を表8に示す。
【出典:基本情報技術者試験 平成23年度秋期午後問4(一部、加工あり)】
a:8
- サーバXの機密性の評価値:「社外に公開できない」ため、表1の「社内だけに開示できる」に相当し「2」
- 脅威、脆弱性の値:表6から、「なりすまし」:「2」、「パスワード管理の不備」:「2」
- リスクの値:情報資産の価値(2)×脅威(2)×脆弱性(2)から、「8」
b:18
- サーバYの機密性の評価値:「社内でも、他部門には開示できない」ため、表1の「部門内だけに開示できる」に相当し「3」
- 脅威、脆弱性の値:表6から、「不正アクセス」:「3」、「アクセスコントロールの不備」:「2」
- リスクの値:情報資産の価値(3)×脅威(3)×脆弱性(2)から、「18」
c:27
- サーバYの完全性の評価値:「業務に与える影響は大きい」ため、表2の「情報の完全性が失われると、業務への影響が大きい」に相当し「3」
- 脅威、脆弱性の値:表6から、「ウィルス感染」:「3」、「ウィルス対策ソフト未導入」:「3」
- リスクの値:情報資産の価値(3)×脅威(3)×脆弱性(3)から、「27」
d:3
- サーバYの可用性の評価値:「年間4時間以上停止することは許されない」ため、表3の「定期メンテナンス以外で年間1時間までの利用停止は容認される」に相当し「3」
表8のサーバXの完全性の破線で囲まれた部分に関し、F社の受容可能なリスク水準から判断されるリスク対応:ウィルス対策ソフトを導入する。
表7「受容可能なリスク水準」で、完全性については「15」以下の値であればリスク保有、そうでなければリスク対応を行うことになります。
表8の該当部分では、脅威「ウィルス感染」のみが「15」以上であり、リスク対応を行う必要があります。
脆弱性として「ウィルス対策ソフト未導入」が挙がっているため、リスク対応として「ウィルス対策ソフトを導入する」ことにより、リスクを低減します。