情報処理安全確保支援士試験 令和3年度 秋期 午後2 問2
【出典:情報処理安全確保支援士試験 令和3年度 秋期 午後2 問2(一部、加工あり)】
問2 マルウェア感染への対処に関する次の記述を読んで、設問1〜4に答えよ。
A社は、従業員8,000名の化学素材会社であり、首都圏に本社、地方には六つの支社がある。素材の研究開発に関して古くから産学官連携をリードしてきた。A社は、VPNサーバ及び基幹システムを、ハウジング契約を結んでいるデータセンタ(以下、DCという)内に設置している。A社の電子メール(以下、メールという)は以前、基幹システム内に設置していたメールサーバを利用していたが、現在はクラウド上のWebメールサービス(以下、Bサービスという)を利用している。Bサービスへの移行に伴う通信量の増加によって、DCにある統合脅威管理(以下、UTMという)の処理能力は、ひっ迫している。従業員は、会社から貸与されたPC(以下、業務PCという)を業務に必要なWebアクセスやメール送受信などに利用する。
本社では、働き方の多様性を確保するためにテレワークを推進してきた。テレワークでは、従業員が業務PCを自宅に持ち帰り、自宅のネットワークからVPNサーバを介して、基幹システムや利用者LANにあるリソースにアクセスできる。テレワークでは、Bサービスなどのインターネットへの接続においても、同様にVPNサーバを介する。
図1にA社のネットワーク構成を、表1にその構成要素の説明を示す。
[社外との情報共有]
A社の研究部は、素材研究とその実用化に関する情報を共有する”化学研究開発コンソーシアム”という団体(以下、化学コンという)を運営している。化学コンには、研究機関や大学、企業など40組織が会員として加盟している。化学コンでは、月に1回、対面形式の連絡会議が開催され、会員の上位役職者が参加している。連絡会議では、研究開発における機密性の高い議事も扱われる。開催案内などの機密性のあまり高くない情報の共有はメールで行われるが、重要な情報は情報連携システムと呼ばれるSSHを用いたシステムで共有されている。
会員は、情報連携システム用の連携端末を設置する必要がある。化学コンは、会員に図2に示す連携端末設置ガイドライン(以下、ガイドラインという)を提示し、遵守を求めている。
情報連携システムの構成を図3に、情報連携の手順と会員間で共有するファイルを格納する連携サーバの運用を図4に示す。
連携サーバは、研究部が管理する連携FWを経由してインターネットに接続されている。連携FWでは、会員から伝えられたグローバルIPアドレス及び研究部セグメントから連携サーバへのアクセスだけを許可している。
[テレワークの検討]
2月2日、首都圏を中心とする感染症の急激な流行に伴い、A社は本社に勤務する従業員に対して、2月16日から原則、テレワークとする方針を決定した。また、より多くの従業員がテレワークに移行できるよう、テレワークWGを立ち上げた。テレワークWGには、情報システム部など関係する部の担当者が参加し、インフラ増強やルール整備を検討する。A社では、公的機関が発行したテレワークセキュリティガイドラインを参考に、図5に示すテレワークセキュリティ規定を作成し、本社に適用した。
a:経営者、b:システム管理者、c:システム管理者、d:テレワーク勤務者
一般的な役職の役割として回答できる設問のようです。
「(a)は、テレワークの推進に必要な人材・資源を確保するために、必要な予算を割り当てる。」
これは、「経営者:組織のあるべき姿を検討し、テレワークセキュリティ全般を考え、必要なリソースを確保する。」の”必要なリソースを確保する”というところから経営者が該当します。
「(b)は、情報セキュリティポリシに従い、セキュリティ維持に必要な技術的対策を講じるとともに、定期的に実施状況を点検する。」
これは、「システム管理者:情報システムへの不正アクセス、マルウェア感染などのインシデント発生時の対処のルールを定める。」が該当します。
「(c)は、社内システムに、強度の低いパスワードが用いられないように制限を掛ける。」
これも、システム管理者が該当します。
「(d)は、パスワードの使い回しを避け、12桁以上の長さで他人に推測されにくいものを設定する。」
これは、「テレワーク勤務者:定められたルールを遵守し、データを安全に扱う。」が該当します。
e:CRYPTREC
「その際、電子政府における調達の際にも参照される(e)暗号リストを参照し、暗号化には危殆化していない暗号アルゴリズムを採用するものとする。」
電子政府における調達の際に参照されるものは、CRYPTREC(Cryptography Research and Evaluation Committees)暗号リストです。
CRYPTRECとは、電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクトのことで、デジタル庁、総務省及び経済産業省、国立研究開発法人情報通信研究機構(NICT)、独立行政法人情報処理推進機構(IPA)などで構成されています。