【情報処理安全確保支援士試験 令和3年度 春期 午後2 問2 No.2】
情報処理安全確保支援士試験 令和3年度 春期 午後2 問2
【出典:情報処理安全確保支援士試験 令和3年度 春期 午後2 問2(一部、加工あり)】
[二つ目のトラブル]
DHCPサーバに起因するトラブル(以下、トラブル1という)が解決した直後、企画部が最近利用し始めたビジネスチャットサービスR(以下、サービスRという)という無料のSaaSにおいて、別のトラブル(以下、トラブル2という)が発生した。
トラブル2の報告を受けたAさんが調査したところ、次のような状況であった。
状況1:企画部の部員がサービスRに開設したチャットエリアにおいて、模造サングラス販売の不正サイトに誘導するチャットが、部員のVさんのアカウントから連続して書き込まれた。Vさん本人は、身に覚えがないとのことだった。
状況2:企画部では、以前からサービスWというSNSを使って公開情報を発信している。Vさんを含む部員の数名は、会社のメールアドレスをサービスRとサービスWの利用者IDとして登録し、両方のサービスで同じパスワードを設定していた。サービスWでは、パスワード漏えいの事故があり、企画部の部員は全員がサービスWのパスワードを変更したが、誰もサービスRのパスワードは変更しなかった。
状況3:外部の何者かがサービスR内の情報に不正にアクセスし情報を持ち出していないかを調査するため、サービスRの提供会社にアクセスログを提供してもらえないかと問い合わせたが、無料のサービスについては提供できないという回答だった。
状況1〜3から、Aさんは、サービスRのアカウントが乗っ取られている可能性が高いので全員のパスワードをすぐに変更すべきであることと、サービスRでどのような情報にアクセスされたかはログが入手できないので調査が困難であることをE部長に報告した。E部長は、状況3について、仮に情報漏えいがあった場合、最大でどの程度の被害となり得るかを判断するために、④アクセスログの調査以外に実施できる調査を指示した。Aさんは、総務Gのほかの部員にも協力を仰ぎ、指示された調査を実施して結果をまとめた。
E部長は、調査の結果を確認し、今回は大きな被害はなかったと判断したが、情報セキュリティ対策の強化が急務であると感じた。そこで、業務における個人所有機器及びSaaSの利用を統制するべきとCEOに提言した。CEOは、統制の必要性に合意したが、一方で、過剰に統制すると従業員のビジネスマインドを阻害しかねないので、統制レベルを慎重に検討するよう指示した。
下線④について、アクセスログ以外に何を調査すべきか。調査すべきものを40字以内で述べよ。:企画部の部員がアクセスできるチャットエリアで共有されている情報
「E部長は、状況3について、仮に情報漏えいがあった場合、最大でどの程度の被害となり得るかを判断するために、④アクセスログの調査以外に実施できる調査を指示した。」
アクセスログの調査ができればある程度漏えいした情報が把握できますが、最大でどの程度の被害になるかを想定することはセキュリティ事故が起こる前であっても必要なことです。
漏えいの対象となり得る情報は、アクセスされるデータが格納される全ての情報と考えていいでしょう。
今回のトラブル2は、サービスRにおいて「企画部の部員がサービスRに開設したチャットエリア」が対象になっています。
そしてVさんのアカウントを利用する不正な書き込みがあったということは、そのアカウントがアクセスできる情報が漏えいする可能性があったということです。
つまり企画部の部員としてアクセスできるチャットエリアの情報を調査することで、最大でどの程度の被害となり得るかを判断できます。