情報処理安全確保支援士試験 令和4年度 秋期 午後2 問2
【出典:情報処理安全確保支援士試験 令和4年度 秋期 午後2 問2(一部、加工あり)】
[事後評価]
インシデント対応について、P社とK社が合同で見直しを実施した。この見直しを受けて、M課長は幾つかの修正をW主任に指示した。W主任は修正案を表7のとおりまとめた。
M課長は、これらの案を承認し、後日正式な規定とした。
n:社外向けの通報窓口を設置する。
表7(インシデント対応についての修正案(抜粋))の方針「IRTでの通報受付を早めるために、通報窓口を見直す。」についての具体的内容です。
IRTでの通報受付を早めるとあるので、今回のインシデントの通報受付に関する時系列の記述を探します。
問題文には、「IRTの体制が整った1週間後の9月29日、社内からの通報専用メールアドレス宛てにある従業員からメールが届いた。そのメールの内容は、”S社が提供するオンラインストレージサービスであるSサービスにおいて、K社の取扱商品の価格表(以下、ファイルNという)と思われるファイルが一般公開されていて、仕入原価も記載されていると9月26日に取引先から連絡があった”というものだった。メールを見た通報窓口の要員はIRT全員を招集して会議を開催しようとしたが、日程調整が難航し、開催できたのは10月4日だった。10月3日には、営業部門から、”顧客から、Sサービスで公開されているファイルについて苦情が来ているので対応を急いでほしい”と、M課長に抗議が来ていた。」
この内容から、9月26日には取引先から従業員に連絡があったものの、通報専用メールアドレス宛てにメールが届いたのは9月29日と3日間の遅延がありました。
ここで通報専用メールアドレスについては、「M課長は、W主任にインシデント対応の流れを整理して、必要となる規程及び通報窓口の要員が社内から通報を受けるための通報専用メールアドレスを整備するように指示した。」とあるように社内のみから通報を受けるためのもののようです。
したがって、通報窓口を見直すとすれば、社外からの通報窓口を設置すればよさそうです。
o:最初の判定に加え、影響の大きさ又は影響の広がりについての事実が見つかるたびに、再判定を行う。
同じく、方針「体制のとり方を見直すために、レベルの判定のタイミングを見直す。」についての具体的内容です。
まず、体制のとり方について、関連する記述を確認します。
図6(インシデント対応の流れ(案))のIRT欄の中段に「レベルに応じた体制をとる」、その注記に「レベルが緊急の場合は、IRT全員の体制とする。重要の場合は、URTメンバー5名の体制とする。軽微の場合は、IRTメンバー2名の体制とする。レベルが緊急の場合か経営層に報告する。」とあります。
体制を決定するレベルについては、図5(レベル判定基準(案))にあります。
影響の深刻さについては、「ファイルNに含まれている商品の売上高は全社の売上高の5%であった。」という記述から「中:一部の事業の継続に影響がある」が該当するでしょう。
影響の広がりについては、「これらの状況を基にレベルの判定を行おうとしたが、”影響の広がり”の区分のどれにも該当しないので、とりあえず”軽微”と判定した。」とあり、レベル:軽微となり、IRTメンバー2名の体制となりました。
しかし、結果的には「体制不足もあり、取引先からの連絡から、インシデント対応完了までに12日間掛かった。」となっています。
改めて図6を確認するとレベルの判定は1回だけで完了しています。
今回のように、調査結果の事実によっては再判定することで体制を柔軟に強化する必要があります。