情報処理安全確保支援士試験 平成30年度 秋期 午後2 問1 No.4
【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後2問1(一部、加工あり)】
【エンドポイント管理の検討】
X社は、独自の情報セキュリティ標準を定めているが、NISTサイバーセキュリティフレームワークとして知られている”重要インフラのサイバーセキュリティを向上させるためのフレームワーク”(以下、NIST CSFという)を基に改定することにした。NIST CSFにおいては、組織のサイバーセキュリティリスク管理策がNIST CSFで定義されている特性をどの程度達成できているかを示す段階として、②フレームワークインプリメンテーションティア(以下、ティアという)1からティア4までの段階を定義しており、ティア4が最も高い段階である。
現状の情報セキュリティ標準とNIST CSFを比較した結果、X社システム部門は、情報セキュリティ標準を、次のように改定することにした。
改定1 構成管理システムへの登録
X社内の各サーバ及び各ネットワーク機器について、管理責任者、機種名及びシリアル番号、OS及びファームウェアを含むソフトウェアの製品名及びバージョンなどを登録する構成管理システムを整備する。X社が使用するクラウドサービスについては、システム名、システム管理責任者、クラウドサービスの名称、X社側で管理する必要があるソフトウェアの製品名及びバージョンなどを構成管理システムに登録する。PCについても、使用者、管理責任者、機種名、シリアル番号、OSを含むソフトウェアの製品名及びバージョンなどを構成管理システムに登録する。
改定2 サーバ及びPCのセキュリティチェックの実施
脆弱性修正プログラム(以下、パッチという)の適用状況及びセキュリティ設定パラメタの設定値を定期的にチェックする。必要なパッチが未適用であったり、セキュリティ設定パラメタの設定値がX社の標準値ではない場合、サーバ、ネットワーク機器及びシステムの管理責任者、又はPCの管理責任者、並びにその所属長に通知し、1週間以内の是正を求める。X社の標準値は、NISTが公開しているNational Checklist Program Repositoryにあるチェックリストを参考にして決定する。
改定3 脆弱性管理の実施
サーバ、ネットワーク機器及びPCにおいて、使用しているOS及びファームウェアを含むソフトウェアの脆弱性情報、及びクラウドサービスにおいてX社側で管理する必要があるソフトウェアの脆弱性情報が新たに公開された場合は、その重要度を評価し、重要度に応じた期限内にパッチを適用するよう、サーバ、ネットワーク機器及びシステムの管理責任者、又はPCの管理責任者、並びにその所属長に通知する。
なお、上記の改定は、クラウド環境への移行に関する検討結果には影響しない。
X社システム部門は、三つの改定に伴って必要になる運用について、J社に運用サービスの提案を求めた。J社からは、サーバ及びPCで使用するソフトウェア(以下、標準ソフトウェアという)の一覧を運用サービス契約時に取り決めた上で、次の運用サービスを提供できるという回答があった。
運用サービス1 標準ソフトウェアに関する脆弱性情報を日次で収集する。
運用サービス2 エンドポイント管理用ソフトウェアである製品Dを導入し、運用サービス1で収集した情報を用いてプロジェクト専用PC及びプロジェクト専用サーバを除く全てのサーバ及びPC内の標準ソフトウェアのパッチ適用状況及びセキュリティ設定を日次で監視する。
製品Dの仕様は次のとおりである。
- サーバ又はPCに導入されるエージェントソフトウェアと、各エージェントソフトウェアが通信するサーバソフトウェアとで構成される。
- エージェントソフトウェアが、サーバ又はPCにおけるパッチの適用状況及びセキュリティ設定パラメタの設定値を収集し、サーバソフトウェアに送信する。
- サーバソフトウェアが提供する管理画面において、必要なパッチ、並びに必要なパッチが適用されていないサーバ及びPCの一覧を表示することができる。同様に、セキュリティ設定パラメタの設定値が指定した値と異なるサーバ及びPCの一覧を表示することができる。
- 必要なパッチが適用されていないサーバ及びPCの一覧から、1台以上のサーバ又はPC並びにパッチを選択し、1回の操作で、選択したサーバ又はPCに必要なパッチを適用することができる。
- セキュリティ設定パラメタの設定値が指定した値と異なるサーバ及びPCの一覧から、1台以上のサーバ又はPCを選択し、1回の操作で、選択したサーバ又はPCのセキュリティ設定パラメタの設定値を指定した値に変更することができる。
②について、ティア1からティア3に該当するものを、解答群の中から選び、それぞれ記号で答えよ。(ア:繰返し適用可能である(Repeatable)、イ:部分的である(Partial)、ウ:リスク情報を活用している(Risk Informed)):ティア1:イ、ティア2:ウ、ティア3:ア
知識問題ですが、「ティア4が最も高い段階」とのことから、達成度の低いものからティア1に割り当てていけば良さそうです。
NIST(米国国立標準技術研究所)が発行した「重要インフラのサイバーセキュリティを向上させるためのフレームワーク」では、フレームワークインプリメンテーションティアを以下のように定義しています。
- ティア1:部分的である(Partial)
- ティア2:リスク情報を活用している(Risk Informed)
- ティア3:繰返し適用可能である(Repeatable)
- ティア4:適応している(Adaptive)
運用サービス1及び2が提供される場合、標準ソフトウェア以外のソフトウェアがサーバ又はPCに導入されていたとすると、セキュリティ管理上どのような不都合が生じるか。40字以内で述べよ。:標準ソフトウェア以外のソフトウェアは、脆弱性管理がされないという不都合
運用サービス1及び2では標準ソフトウェアのみが対象になっていることは明らかですので、それ以外のソフトウェアは脆弱性管理がされないという不都合が生じると考えられます。
ここから発展して、脆弱性管理がされないことによる攻撃リスクが高まることや、セキュリティインシデント発生の可能性が高まることを回答にしてしまいがちですが、問われていることは「セキュリティ管理上どのような不都合が生じるか」であり、管理面での不都合を回答する必要があります。
情報セキュリティ標準を基に手作業及び目視でセキュリティ設定パラメタの設定値をチェックする方法と比べて、製品Dによる方法は、どのような利点があるか。二つ挙げ、それぞれ15字以内で答えよ。:正確である/作業が速くできる。
製品Dでは、サーバ又はPCにあらかじめエージェントソフトウェアが常駐してある状態であり、それぞれ並行してセキュリティ設定パラメタの設定値を収集します。
当然ですが、手作業及び目視でのチェックに比べ、正確で、作業が速いことが利点です。