サイトアイコン やさしいネットワークとセキュリティ

【情報処理安全確保支援士試験 令和3年度 春期 午後2 問1 No.1】

情報処理安全確保支援士試験 令和3年度 春期 午後2 問1

【出典:情報処理安全確保支援士試験 令和3年度 春期 午後2 問1(一部、加工あり)】

問1 インシデント対応体制の整備に関する次の記述を読んで、設問1〜5に答えよ。

N社は、従業員800名のドラッグストアチェーンである。グローバルに事業を展開する海外の企業B社のブランドライセンスを取得し、同ブランドの下、国内80店舗の展開、及びN社Webサイト(以下、通販サイトという)での通信販売を行っている。N社は、消費者向けの会員制度を設けており、会員は商品購入時に特典を受けられる。N社の組織図を図1に示す。

N社は、情報セキュリティ委員会を設置している。同委員会は、経営陣が委員となり、情報セキュリティについての基本方針(以下、基本方針という)及び重要な課題を取り扱う。セキュリティ対策は主にシステム部が担っており、セキュリティインシデント(以下、インシデントという)が発生した場合は、対応チームを立ち上げて対応する。基本方針では、消費者に影響を与えるインシデントの場合、社外に向けて速やかに情報開示することを挙げている。
B社は、同社がブランドライセンスを提供する店舗運営会社を対象にしたインシデント対応ポリシ(以下、B社インシデント対応ポリシという)を定めている。B社インシデントポリシは、インシデントによるB社ブランドの毀損を最小限にすることを目的として策定された。
N社は、B社インシデント対応ポリシを順守する契約をB社と締結しており、N社でインシデントが発生した場合は、B社のセキュリティ担当部署(以下、B社セキュリティ部という)に報告し、指示に基づき対応する。分析対象となるログは、N社のシステム部が取得し、インシデント発生時にはB社セキュリティ部に送信する。
通販サイトは、Z社が提供するクラウドサービス(以下、Zサービスという)上に構築し、設計、開発及び運用をV社に委託している。Zサービス上に開発用システムも構築している。また、各店舗の情報を一元管理し、運営を支援するためのシステム(以下、店舗管理システムという)をN社に設置しており、設計、開発及び運用の一部を外部に委託している。N社が利用するシステム及びネットワークの概要を図2に、開発用システムの概要を図3に、N社の脆弱性管理プロセスを図4に示す。

[インシデントの発生と対応]
ある日、複数の会員からN社のお客様相談室に、身に覚えのない商品購入を知らせる電子メールが届いたという連絡があった。N社は、対応チームを立ち上げて調査した結果、通販サイトが不正アクセスを受けたと判断した。N社は、直ちにこのインシデント(以下、インシデントPという)をB社セキュリティ部に報告した。N社とB社セキュリティ部が協力して対応したが、問題が幾つか発生し、対応を終えるまでに1か月掛かった。
インシデントPについて、判明した被害状況及び対応の概要を図5に示す。

下線①で示したパスワードリスト攻撃とは、一般にどのような攻撃か。45字以内で具体的に述べよ。:外部から入手した利用者IDとパスワードの組みのリストを使ってログインを試行する攻撃

ログの調査から、①パスワードリスト攻撃と推定された。
パスワードリスト攻撃について問題文には他に説明がないため、知識問題です。
パスワードリスト攻撃は、複数のサービスで同じ利用者IDとパスワードの組み合わせを使っていることが多い実情を利用して、他のサービスで漏洩した情報などから流通しているパスワードリストを使ってログインを試行する攻撃のことです。

下線②について、パスワードの安全な設定方法とは何か。35字以内で具体的に述べよ。:他のサービスで利用したパスワードとは別のものを設定すること

②パスワードリスト攻撃の被害を防ぐ上で必要な、パスワードの安全な設定方法を全会員に案内した。
前述のとおり、パスワードリスト攻撃は他のサービスで流出したパスワードによる攻撃のため、その対策としては各個人が設定するパスワードを他のサービスと共通にしないようにすることです。

下線③について、ログインが普段と異なる環境から行われたことを判定する技術的手法を、45字以内で具体的に述べよ。:IPアドレスから分かる地理的位置について、過去のログインのものとの違いを確認する。/WebブラウザのCookieを利用し、過去にログインした端末かを判定する。

③ログインが普段と異なる環境から行われた場合、会員が事前に登録した電子メールアドレスにその旨を通知する仕組みを通販サイトに導入した。
ログイン時の環境としては、地理的位置、デバイス、IPアドレス、時間帯などがあります。
これらの環境が普段と異なるかどうかを判定して、利用者IDやパスワードが正しくても、利用者への通知や追加認証を行うことで被害を防ぐことが可能となります。
ログイン環境を判定する技術的手法としては、IPアドレスから地理的位置を確認したり、Cookie情報からデバイスを確認したりする方法があります。

a:タイムゾーン、b:9

N社が提供したログの大半は、記録されていた時刻情報の(a)が日本標準時であり、協定世界時に対し時刻情報が(b)時間進んだ値で記録されていた。しかし、協定世界時で記録されていたログや、(a)を示す情報が記録されていなかったログも存在した。
時刻情報で、日本標準時や協定世界時といえばタイムゾーンのことです。
ログを確認する上で重要な時刻情報は、複数の機器でタイムゾーンを統一することや、NTPサーバなどで時刻同期をすることが必要です。
日本標準時(JST:Japan Standard Time)は、協定世界時(UTC:Universal Time Coordinated)に対し、9時間進んだ値となります。

モバイルバージョンを終了