情報処理安全確保支援士試験 平成30年度 秋期 午後2 問2 No.1
【出典:情報処理安全確保支援士試験 平成30年度 秋期 午後2問2(一部、加工あり)】
問2 セキュリティインシデントへの対応に関する次の記述を読んで、設問1〜5に答えよ。
A社は、玩具を製造販売する従業員数1,500名の企業である。A社の組織図を図1に示す。
A社は、情報セキュリティ基本方針を定めており、これに従い、情報セキュリティ委員会を設けている。情報セキュリティ委員会は、A社の情報セキュリティについて意思決定する。情報セキュリティ委員会の委員長は社長、委員は各部の部長であり、事務局は総務部が担当する。情報セキュリティ委員会は、下部組織として、セキュリティインシデント(以下、インシデントという)に対応する非常時対応チームをもつ。非常時対応チームには、各部の代表者が参加する。ただし、非常時対応チームが取り扱うインシデントの範囲や、具体的な活動内容は明文化されていない。これまでのところ、非常時対応チームの活動実績は極めて少ない。
【ネットワーク構成】
A社は、国内に本社を置き、海外に工場をもつ。A社のネットワーク構成を図2に示す。
A社本社のネットワークに接続する機器には、サーバ、ネットワーク機器及びPCがある。各部は、必要に応じて部門サーバをサーバLANに設置し、業務に利用している。各部の部門サーバは、各部が管理している。開発部は、開発部の部門サーバに加えて、開発用サーバを設置し、管理している。部門サーバと開発用サーバ以外のサーバ、全てのネットワーク機器及び全てのPCは、システム部が管理している。各部でシステム管理者を任命し、そのシステム管理者が適切に機器を管理するというのがA社の機器管理方針である。
DMZに設置されたサーバにはグローバルIPアドレスが付与され、インターネットとの間で通信できる。DMZ以外に設置された機器には固定のプライベートIPアドレスが付与され、インターネットとの間の直接の通信はFWによって禁止されている。ただし、業務PC-LANに接続されたPCは、プロキシサーバを介してインターネットにアクセスできる。プロキシサーバは直近60日分のログを保存している。開発LANからDMZへの通信は、FWによって禁止されている。
【情報漏えいの発生】
2018年9月11日、A社において、インシデント(以下、本インシデントをインシデントPという)が発覚した。この日、A社の商品問合せ窓口に、A社の発売前の新製品αの操作説明書(以下、漏えい文書Xという)がインターネットの掲示板Uに投稿されている旨の通報が寄せられた。開発部の担当者が確認したところ、投稿されていたのは間違いなくA社のもので、開発過程で作成された文書であることが分かった。
情報セキュリティ委員会は、インシデントPへの対応方法を議論した。同委員会は、次の理由から、非常時対応チームではなく、当該文書を所管する開発部がインシデントPに対応することを決定した。
- 個人情報及び重要な秘密情報の漏えいは見つかっておらず、緊急度及び重要性は低い。
- 社内での調査活動について、非常時対応チームの権限及び調査手順が明確に定められておらず、調整が必要である。
- 非常時対応チームのメンバの多くは、本来の業務のため、対応する時間の確保が難しい。
開発部は、急きょ、インシデントPに対応するためのチーム(以下、開発部対応チームという)を立ち上げ、対応を開始した。同チームの調査結果と措置状況を図3に示す。
開発部対応チームの調査結果と措置状況は情報セキュリティ委員会に報告された。報告を受けて、委員会では、図3中の(5)に挙げられた一連の措置の完了をもってインシデントPへの対応を終了することが了承された。また、インシデント対応能力の向上を目指すことと決め、システム部のG部長に対応を指示した。
【早期に取り組むべき事項のとりまとめ】
G部長は、情報セキュリティ委員会の承認の下、情報セキュリティに関わるコンサルティングサービスを提供するE社に支援を依頼した。
E社のコンサルタントであるF氏は、A社がインシデント対応能力の向上のために早期に取り組むべき事項を図4のとおりまとめ、G部長に報告した。
a:侵入検知、b:教育と意識向上
NIST SP 800-61(コンピュータインシデント対応ガイド) Rev.2では、「インシデント対応チームのサービス」として、インシデント対応以外の補足的なサービスの例を挙げています。
- アドバイザリ(OSやアプリケーションの脆弱性を説明したもの)の配布
- 脆弱性評価
- 侵入検知
- 教育と意識向上
- 技術動向の監視
- パッチ管理
c:マネジメント層、d:インシデント、e:優先順位付け
NIST SP 800-61 Rev.2では、「インシデント対応ポリシーの要素」を挙げています。
- マネジメント層の責任表明
- ポリシーの目的と目標
- ポリシーの範囲
- コンピュータセキュリティインシデントの定義と、それらのインシデントが自組織にもたらす結果
- 組織構造と、役割、責任、権限レベルを表す記述
- 事件の優先順位付けまたは重大さの格付け
- 実施評価
- 報告フォームとコンタクトフォーム