【情報処理安全確保支援士試験 令和3年度 春期 午後2 問1 No.2】
情報処理安全確保支援士試験 令和3年度 春期 午後2 問1
【出典:情報処理安全確保支援士試験 令和3年度 春期 午後2 問1(一部、加工あり)】
[インシデント対応方法の変更]
インシデントPの対応が一段落した後、N社の経営陣は、N社で今後インシデントが起きた場合には、N社の基本方針に従って対応する契約に変更したいとB社に申し入れた。B社は、この申し入れに対し、次の条件を満たすことを前提として了承した。
条件1:N社は、ISO/IEC 27001を利用して、自社の情報セキュリティ対策を評価し、その結果と対策案についてB社の了承を得る。
条件2:N社は、B社の支援なしにインシデント対応を行う体制を整備し、その体制についてB社の了承を得る。
条件3:N社は、インシデント対応後、B社に事後報告を行う。ただし、両社で別途定める基準によって、B社ブランドを著しく毀損するインシデントと判断された場合は、直ちにB社に報告し、対応を協議する。
N社は、条件1〜3を含め、包括的なインシデント対応体制を実現するプロジェクトを発足させた。システム部のG部長を責任者に、システム部のHさんを担当者にそれぞれ任命するとともに、情報セキュリティ分社でコンサルティングサービスを展開するE社に支援を依頼した。E社のコンサルタントである情報処理安全確保支援士(登録セキスペ)のT氏がN社を支援することになった。
[条件1への対応]
条件1に対応すべく、Hさんは、情報セキュリティ対策の評価をT氏に依頼した。T氏は、ISO/IEC 27001付属書Aを基に評価し、指摘事項と対策案を表1のとおりに整理した。
N社は、T氏の対策案を参考に、N社としての対策をまとめ、B社の了承を得た。
下線④について、社内LANから店舗PCを経由せずにどのようにマルウェアが侵入すると想定されるか。侵入方法を50字以内で具体的に述べよ。:マルウェアに感染したUSBメモリを介して管理用PCに侵入し、さらに店舗管理サーバへ侵入する。
「④店舗管理システムは社内LANと分離されているが、社内LANにマルウェアが侵入した場合、店舗管理サーバにもマルウェアが侵入するリスクがある。」
マルウェアの侵入する方法として、経由する物理的なルートを確認していきます。
図2(N社が利用するシステム及びネットワークの概要)を見ると、確かに、店舗管理システムと社内LANは物理的に分離されていることが分かり、ネットワーク経由でのマルウェアの侵入は想定できません。
もう少し図2を確認すると、注記2に「一方、店舗管理システムと社内LANとは、ネットワークが分離されている。N社の関係部門は、管理用PCを操作して店舗管理サーバを利用する。また、店舗管理システムと社内LANとの間でデータの受渡しが必要な場合は、USBメモリを用いる。」とあります。
USBメモリが、店舗管理システムと社内LANを繋ぐ唯一の媒体のようです。
社内LANに侵入したマルウェアがUSBメモリに侵入し、そのUSBメモリを介して管理用PC、店舗管理サーバへ侵入するルートが想定できます。