【情報処理安全確保支援士試験令和4年度秋期午後2 問2 No.5】

情報処理安全確保支援士試験令和4年度秋期午後2 問2

【出典：情報処理安全確保支援士試験令和4年度秋期午後2 問2（一部、加工あり）】

[原因の特定]
図7に基づく調査では、従業員の、Jさんが使用しているPCだけが詳細調査Aに進み、そのほかのPCは全て可能性は低いとの結果になった。P社から報告を受けたIRTでは、Jさんに聞き取り調査を行った結果、公開可能な価格表ファイルを持ち出すために、個人所有のUSBメモリにファイルをコピーした時に、誤ってファイルNもコピーしてしまい、その後USBメモリを紛失していたことが分かった。
IRTでは、紛失したUSBメモリを手に入れた何者かが、ファイルNを含む幾つかの価格表をSサービスにアップロードしたと推測した。今回のインシデントはこれ以上被害が拡大することはないと考え、インシデント対応は完了とした。体制不足もあり、取引先からの連絡から、インシデント対応完了までに12日間掛かった。

[再発防止]
M課長は、ファイル持出しに起因する同様のインシデントの再発を防止するためには、個人所有の外部記憶媒体の使用制限を含めた対策が必要であると考え、必要な規程を策定するようにW主任に指示した。W主任は、規程案を図8のとおりにまとめ、M課長に提出した。

M課長は、この規程案を承認するとともに、情報システム課が管理するUSB-IDをP社に伝え、この規程に違反する持出しを製品Cで検知するようにP社に依頼した。P社は、違反する持出し捜査のうち製品Cで検知可能な操作について⑤新たな検知ルールを作成して、製品Cに登録した。一方、製品Cで登録できない操作については、別の対策を提案した。

下線⑤について、新たに作成した検知ルールを60字以内で答えよ。：情報システム課が管理するUSB-IDのいずれにも一致しないUSB-IDのUSBメモリが装着された。

「P社は、違反する持出し捜査のうち製品Cで検知可能な操作について⑤新たな検知ルールを作成して、製品Cに登録した。」
図8（規程案（抜粋））の「業務で使用する外部記憶媒体は、情報システム課が調達するUSBメモリに限定する。調達したUSBメモリのUSB-IDは情報システム課が管理する。」という内容に対し、PCで稼働する製品Cで必要な検知ルールを考えます。
USBメモリのイベントについては、表3（イベントの情報）に「操作種別（装着、取外し）、USBメモリのID（以下、USB-IDという）」とあります。