ハッシュ値比較による情報漏洩ファイルの確認【情報処理安全確保支援士試験 平成31年度 春期 午後2 問2 設問4】

情報処理安全確保支援士試験 平成31年度 春期 午後2 問2 設問4

【出典：情報処理安全確保支援士試験 平成31年度 春期 午後2問2（一部、加工あり）】

【情報漏えいの発生】
　6月7日、金型加工業者B社のL氏から、設計情報管理サーバの管理者である設計部のJさんに、A社の情報が漏えいしているおそれがあると連絡があった。Jさんは、設計部長及び管理部のE部長に報告した。Jさんの報告内容を、次に示す。

• L氏が、検索サイトで金型技術情報を検索したところ、A社とB社が共同で展示会に出品する金型（以下、共同出品金型という）の設計情報ファイル（以下、ファイルSという）と同じ名称のファイルが、あるWebページに掲載されていることを発見した。
• ファイルSは、DVD-Rに保存し、6月1日にJさんからL氏に手渡ししている。（以下、当該DVD-RをDVDSという）
• L氏が、掲載されていたファイルがファイルSと同一であるかどうかの確認及びB社における設計情報ファイルの管理状況の調査を、B社のセキュリティ担当者に依頼した。
• B社のセキュリティ担当者は、同一ファイルであることを確認するためのファイルの（i）を調べた。その結果、DVDS中のファイルSの（i）と同じであったので、同一ファイルであることが確認された。
• B社では、全ての設計情報ファイルを、設計室の閉じたネットワークにだけ接続されたPC及びサーバで利用しており、インターネットに漏えいする可能性は低い。
• B社では、DVD-Rなどの外部記録媒体の持込み、持出し及び使用を管理している。管理記録によれば、DVDSに関する記録は、設計室内への持込み及び設計室内での使用だけであった。
• L氏は、A社から漏えいした可能性があるとして、A社に調査を求めてきた。

　E部長は事態を重くみて、ファイルSの漏えいについての調査、及び必要であればその対処、並びにA社全体としての情報セキュリティ対策強化案の検討をシステム係のFさんに指示した。さらに、A社の情報システムの導入及び運用を支援しているシステム会社と一緒に調査することにし、システム会社のG氏が協力することになった。
　Fさん及びG氏は、まず、情報漏えいの調査及び一時的な対処を実施し、その後に、A社全体としての情報セキュリティ対策強化案を検討することにした。

i：ハッシュ値

　二つのファイルが同一であるかどうかは、ファイルのハッシュ値が同一であるかどうかで判断できます。
　ハッシュ値は、データをハッシュ関数によって求めた固定長の値です。
　ハッシュ値の特徴として、同じデータからは必ず同じハッシュ値が得られ、少しでもデータの一部が異なる場合は異なるハッシュ値となることが挙げられます。
　また、ハッシュ値から元のデータを復元することはできない、不可逆の性質があります。
　ハッシュ値を比較することで、ファイルが同一であることを確認できるほかに、通信によるデータ化けが発生していないかや、改ざんされていないかを確認することができます。