このページでは、情報セキュリティスペシャリスト試験(SC)(現 情報処理安全確保支援士試験)、平成21年度 春期 午後Ⅱの問2「インターネット販売を行う企業の情報セキュリティ管理」の問題文と解答例を掲載しています。
問題と解答(PDF)
平成21年春期 午後Ⅱ 問2 インターネット販売を行う企業の情報セキュリティ管理
問題文
問2 インターネット販売を行う企業の情報セキュリティ管理に関する次の記述を読んで、 設問1~5に答えよ。
P 社は従業員数 500 名の衣料小売業者であり,店頭販売やカタログ販売を行っている。これに加え,5年前からは社内に業務システム(以下,販売システムという)を構築し,一般消費者に対してクレジットカード決済を利用したインターネット販売を行っている。P社では情報セキュリティを確保するための取組を進めており,インターネット販売事業に関してISO/EC 27001 (JIS Q 27001)の認証(以下, ISMS 認証という)を2年前に取得している。
P社は先ごろ ISMS 認証の維持審査に合格したが,この審査において四つの観察事項を指摘された。 ISMS 認証機関から提示された維持審査結果報告書を図1に示す。
〔観察事項への対応〕
維持審査の結果を受け, P 社では,情報セキュリティ責任者を兼務している情報システム部のG部長と,その部下で販売システムの管理を担当しているFさんが観察事項への対応に当たることになった。
次は,G部長とFさんの会話である。
Fさん:維持審査での観察事項への対応ですが,どのように進めていきましょうか。
G部長:不適合はなかったが,四つの観察事項への対応策を検討しよう。 1. については適用範囲の定義文書を修正することで対応しよう。2.と 3. は情報セキュリティポリシ(以下,ポリシという)の修正に加え,技術的な対応も必要になりそうだ。具体的にどの程度まで実施するのかが難しいね。
Fさん:4.については,新たな法律の制定や業界の動向を踏まえて社内の ISMS 運営事務局で法的要求事項の改訂案を検討し, [ a ]の場で承認を得るというルールを作るとよいと思います。クレジットカード業界に関しては新たな動きがありますね。
G部長:審査が終わってから聞いた話では,2008年6月に公布された改正割賦販売法が施行されると,クレジットカードの発行会社にはクレジットカード番号 (以下,カード番号という)を含むカード会員データの保護が義務付けられるそうだ。当社のようなカードの加盟店を直接規制する法律ではないが,当社にもカード発行会社から何らかの対策が求められるかもしれない。
Fさん:カード番号の不正な取得や有償での提供を行った個人も処罰されるということでしたね。カード番号を悪用されると影響が大きいですからね。
そういえば,クレジットカード業界では加盟店に対して技術的な対応を含め た自主基準を定めていたようです。観察事項の2.と3.への対応のヒントにな るかもしれませんので,調べてみます。 数日後,FさんはG部長に調査の結果を報告した。
Fさん:先日の話ですが,国際クレジットカードブランド 5 社が共同で設立した PCI SSC (Payment Card Industry Security Standards Council, LLC) SER 議会が, PCI データセキュリティ基準(Payment Card Industry Data Security Standard, 以下, PCI DSS という)という業界基準を設けています。この基準を参考にして対応を考えてはどうでしょうか。
Fさんは図2に示す PCI DSS(バージョン1.2)の要件をG部長に提示した。
G部長:全部で12 個の要件があるのか。観察事項に対応する要件は要件 6, 8辺りかな。これらの要件が更に細かく分かれているわけだね。
Fさん:そうです。例えば,観察事項として指摘されたパスワード管理に関しては,要件8の中に,図3に示すような詳細要件が定められています。
G部長:クレジットカード加盟店では,今後このレベルの管理が求められるということか。当社の現状からみるとかなり厳しい要件もあるが,クレジットカード決済を利用していくのであれば実施する方がいいのだろうね。
Web アプリケーションの開発時におけるセキュリティ要件については何か参考になりそうなものはあったかな。
Fさん:Web アプリケーションの開発では,クロスサイトスクリプティングや SQLインジェクションなど,広く知られた脆弱性について対処する必要があります。
そのため,詳細要件 6.5 では,安全なコーディングのためのガイドラインに 従うことを推奨しています。PCI DSS では,その代表的なものとして,米国 の団体が策定したガイドラインを挙げています。今後はこのガイドラインに 沿って具体的なセキュリティ要件を発注の際の仕様に含めるとよいのではな いでしょうか。
G部長:そうだね。詳細については検討する必要があるが,今後 Webアプリケーションの改修を行うときや新規の開発を行うときには,①委託先に具体的なセキユリティ要件を提示することにしよう。
これらの検討を踏まえ,G部長とFさんは観察事項への対応計画を作成した。この対応計画は経営陣の承認を経て実行に移されることになった。
〔PCI DSS を参考にした ISMS の継続的改善〕
その後,G部長が対応計画の完了を経営陣に報告したところ,PCI DSS で求められる要件をベースラインとして ISMS における技術面及び管理面の改善を図るようにとの指示が出た。そこで,G部長とFさんはPCI DSS の要件に沿って販売システムの管理状況を確認することにした。次は,G部長とFさんの会話である。
Fさん:PCI DSS の各要件への対応状況ですが,私の考えで12個の要件ごとに現在の状況を表1のようにまとめてみました。
G部長:今の時点で対応できている要件はどれかな。
Fさん:要件4, 5, 7, 8は対応できていると思います。要件4はインターネットや無線LAN などの公衆ネットワーク上でのカード会員データの暗号化を求めていますが,販売システムでは無線 LAN は使用していませんし,インターネット経由でカード会員データを送受信する部分はすべてSSL で暗号化されています。要件 5 はシステムへのウイルス対策ソフトの導入ですが,ウイルス対策ソフトは販売システムに含まれるすべての PC とサーバに導入済です。
G部長:②ウイルス定義ファイルの自動更新と定期スキャンも実施しているし,問題なさそうだ。
Fさん:要件 7 はカード会員データへのアクセスを業務上必要な範囲内に制限するということですが,販売システムにはポリシ上も機能上も職責に応じて権限を与えられた担当者だけがアクセスできるようになっているので問題はありません。要件8 は利用者ごとに個別の利用者 ID を割り当てるという要件で, パスワードポリシについては ISMS の観察事項に基づいて対応しました。それ以外の部分は以前から実施済です。
G部長:この四つの要件に関しては対策が実施されているということだね。次に,要件1, 3, 12 については見直しや確認が必要なところだね。
Fさん:はい。要件1ではファイアウォールの設置を求めていますが,詳細要件 1.1.6の,少なくとも6 か月ごとに,ファイアウォール及びルータに関するルールセットのレビューを実施するという要件が現状では満たされていません。それ以外の詳細要件はすべて対応できています。
G部長:ファイアウォールもルータも,設定についてのレビューは実施していなかったな。今の運用手順を改訂してレビューを行う必要があるね。
Fさん:要件 3 はカード会員データの保護についてです。カード番号は販売システムのデータベースサーバ(以下, DB サーバという)の中では暗号化されていますが,詳細要件3.4 によるとバックアップやログの中にカード番号が含まれている場合にはカード番号の一部を削除するか,あるいは暗号化やハッシュによって読めないようにする必要があります。
G部長:販売システム以外にもカード番号が存在するかどうかだね。具体的にカード番号がどの情報資産に含まれているか,それがどこに保管されているかについては,先日の維持審査の前に実施したリスク分析で明確にされているから対応はそれほど難しくはないだろう。
Fさん:要件 12はポリシの整備が中心になっていますが,ここで対応すべき詳細要件としてはインシデント対応計画があります。PCI DSS では少なくとも年に一度のテストと見直しを求めていますが,インシデント対応計画についてはこれまでにテストも見直しも行ったことがありません。
G部長:この辺までは今までの対策の延長で対応できそうだが,更に修正が必要になるのが要件2, 6, 9, 10, 11 だね。
Fさん:要件2は,システムのデフォルト設定を使ってはいけないという要件です。
G部長:サーバについては受入れ検査のときに③ポートスキャンツールを使って不要なサービスの有無を確認しているが,その後システムを変更しているからもう一度確認が必要だ。
Fさん:要件6は後回しにして,要件9は物理的アクセスの制限や媒体の取扱いにっいてです。詳細要件9.1.1 では機密エリアはビデオカメラやその他のアクセス管理機器で監視し,少なくとも3 か月間は監視データを保管することが求められていますが,現状では保管していません。
G部長:サーバ室とコールセンタはカメラで監視しているが,監視映像は保管していないから,追加投資が必要になりそうだ。
Fさん:ほかにはバックアップ媒体の保管の話があります。今は媒体を④サーバ室に保管していますが,外部の施設への保管も検討する必要があります。
G部長:これについては,先ほどのインシデント対応計画と同様に,ISO/IEC 27001の[ b ]計画でも対応すべきだろうね。
Fさん:要件 11 に移りましょうか。詳細要件 11.2 では,少なくとも四半期に一度, そのほかにネットワークに大きな変更があったときにシステムへの脆弱性スキャンを行うことが求められています。また, 詳細要件 11.3 では,少なくとも年に一度と,そのほかにインフラやアプリケーションを大幅に変更した後にペネトレーションテスト(以下, P テストという)を実施することが求められています。
G部長:P テストは外部にお願いする必要があるのかな。F さんにP テストのスキルにつけてもらった上で実施するのはどうだろう。
Fさん:社内で実施することは要件上認められていますが,私にP テストのスキルが
あったとしても, ⑤私がPテストを実施するのは望ましくないですね。
G部長:そうだね。内部で実施するか外部で実施するかは別途考えよう。
Fさん:残っているのは要件6, 10 ですね。まず,要件 10 はアクセスの追跡と監視についてです。具体的には,各システム上でログを取得するだけではなく,改ざんされないように保護した上で少なくとも日に一度は確認することが求められます。
G部長:Web コンテンツへのアクセス状況は解析しているけれども,セキュリティ上のイベントについては特に何もしていない。日に一度の確認となるとかなり大変だから,今後は何らかの対応が必要だ。
Fさん:ほかにはシステムクロックを正確な時刻に保つことが求められていますが,社内のすべての機器は販売システム上の時刻サーバを介してインターネット上の標準時サーバと時刻を同期させています。これには通信の遅延を補正できる[ c ]というプロトコルを使っています。
〔Web アプリケーションの保護の手法〕
Fさん:技術的に最も対応が難しそうな要件6 の対応状況は表2 のとおりです。詳細要件6.2 から6.5までは対応済ですが,残りの二つに関しては対応が必要になりそうです。特に詳細要件 6.6 では Web アプリケーションの見直し又は Web アプリケーションファイアウォール(以下,WAF という)の導入が求められています。
G部長:詳細要件 6.1 はセキュリティパッチ(以下,パッチという)のリリース後1か月以内の適用ということだね。システムを停止できない場合も多いが、パッチの運用体制を見直して対応するしかないね。
Fさん:パッチの適用についてはリスクに応じて優先度をつけることも認められていますので,重大なものを優先させ,軽微なものは 3か月以内に適用することができます。
G部長:詳細要件 6.6 の Web アプリケーションの見直しというのはどんな方法で行うのかな。
Fさん:Web アプリケーションの脆弱性を手動又は自動で評価するツール又は手法によって, Web アプリケーションをレビューすることが求められています。脆弱性はすべて修正し,修正後に再評価する必要があります。
G部長:実施の頻度はどれくらいなのかな。
Fさん:少なくとも年に一度実施することが求められています。そのほかに何らかの変更があった場合にも実施する必要があります。
G部長:Web アプリケーションの見直し以外にはWAF の導入も選択肢としてあるということだが,今導入している侵入防止システム(以下,IPS という)では対応できないのかな。
Fさん:今使っている IPS はシグネチャベースの製品で,ネットワーク層に対する既知の攻撃を防御することに主眼を置いています。Web アプリケーションの脆弱性に対する攻撃にはそれほど効果はありません。
G部長:WAF では Web アプリケーションへの攻撃をどうやって防ぐのだろう。
Fさん:これには二つの考え方があるようです。一つはポジティブセキュリティモデルといって,正常な通信として定義されたもの以外の通信をすべて遮断するものです。どういった通信が正常なのかを定義するために個々の Web アプリケーションに対して細かい設定が必要になり,導入にも手間が掛かります。
もう一つはネガティブセキュリティモデルといって,シグネチャや特定のパ ターンに合致した通信をアプリケーション層で遮断するものです。Web アプリケーションの脆弱性の性質から, ⑥個々の攻撃に対してシグネチャを作成することが難しいというデメリットがありますが,特定の情報の漏えいを防ぐ観点からは,こちらのモデルの方が有効な場合があります。このため, PCI DSS では,この二つのセキュリティモデルを WAF に実装することが推 奨されています。
G部長:状況によっては両方のモデルを実装した WAFが必要ということか。
Fさん:WAF には攻撃を検知する機能があるので,当社の対策に欠けている PCI DSS の要件を満たせるというメリットもあります。
G部長:なるほど。ただ,⑦Web アプリケーションの見直しをせずに WAF を導入することには問題があるのではないかな。コスト面での制約はあるが,できるだけ併用する方向で検討しよう。
〔トランザクションログに対する代替管理策〕
その後,P社では PCI DSS を参考に販売システムの改善を図っていったが,システムの制約上,対応が困難な詳細要件が存在することが分かった。次は,G部長とFさんの会話である。
G部長:ベンダに問い合わせてみたところ, DBMS が作成するトランザクションログについては暗号化を施してカード番号を判読困難にすることは難しいようだ。 既存のログからカード番号を除去するのも現実的ではない。そうなると,詳細要件 3.4 を満たすことができない。できるだけ追加投資を必要とせずに対応する方法はないだろうか。
Fさん:要件を満たせない場合でも,関連するリスクをほかの手段を適用することで[ d ]できる場合には,その手段を代替管理策とすることで,要件の目的を実現することが可能です。PCI DSS では,表3に示すようなワークシートを使って,要件が満たされないことに対するリスクを管理するそうです。
まだ検討の途中ですが,このような形になるかと思います。
G部長:なるほど,表3 の代替管理策を実施すれば詳細要件 3.4 の目的は実現できそうだ。残りの5.と6.についても検討してみてくれないかな。
Fさん:分かりました。残りの部分についてもこれから検討します。
その後,P 社は PCI DSS を参考にして ISMS の取組を進め,技術面でのセキュリティ向上とポリシ面での継続的改善を図ることができた。
設問
設問1
〔観察事項への対応〕について,(1), (2) に答えよ。
(1) 本文中の [ a ]に入れる適切な字句を,15字以内で答えよ。
(2) 本文中の下線①について, Web アプリケーションの開発委託先に対してセキュリティ要件を提示していなかった場合,受入れ検査時に脆弱性の存在が判明したときにどのような問題が発生するか。60字以内で述べよ。
設問2
〔PCI DSS を参考にした ISMS の継続的改善〕について,(1)~(5) に答えよ。
(1) 本文中の[ b ],[ c ]に入れる適切な字句を,それぞれ5字以 内で答えよ。ただし, [ b ]は漢字とし, [ c ]は英字の略称とす る。
(2) 本文中の下線②について,自動更新と定期スキャンが確実に実施されていることをどのように確認するべきか。30字以内で述べよ。
(3) 本文中の下線③について,検査対象と同一のネットワークセグメントからポートスキャンツールを利用して検査を行う場合,不要なサービスがあるかどうかをどのような基準で判断するか。50字以内で述べよ。
(4) 本文中の下線のについて,現状のままバックアップ媒体をサーパ室に保管する場合のリスクを, 50字以内で述べよ。
(5) 本文中の下線⑤について, F さんが自身でP テストを実施することは望ましくないとした理由を,30字以内で述べよ。
設問3
〔Web アプリケーションの保護の手法〕について,(1), (2) に答えよ。
(1) 本文中の下線6について,シグネチャを作成することが難しい理由を,50 字以内で述べよ。
(2) 本文中の下線のについて, Web アプリケーションの見直しをせずに WAF を導入することによって発生するセキュリティ上の問題点を,60 字以内で述べよ。
設問4
〔トランザクションログに対する代替管理策〕について,(1), (2) に答えよ。
(1) 本文中の [ d ]に入れる適切な語句を解答群の中から選び,記号で答えよ。
解答群
ア 移転
イ 回避
ウ 受容
エ 低滅
(2) 表3中の[ e ]に入れる代替管理策を,40字以内で述べよ。
設問5
PCI DSS を参考として技術面で新たな対策を追加していったP社が, ISMS の活動として次回の審査に向けて実施すべき作業を,50字以内で述べよ。
解答例
設問1
(1)a:マネジメントレビュー 又は 情報セキュリティ委員会
(2)
- 開発の要件としてセキュリティ要件を提示していない以上,成果物に脆弱性が発見された場合でも受け入れさざるを得ない。
- 発見された脆弱性に対する改修費用を開発元と委託先のどちらが負担するかでトラブルが生じる。
設問2
(1)
b:事業継続
c:NTP
(2) ウイルス対策ソフトの動作ログを採取し,レビューを行う。
(3) システムで利用されるサービスのポート番号以外のポートがオープンになっていないかどうか。
(4)災害の発生時にシステムのデータとバックアップ媒体上のデータが同時に被災する可能性がある。
(5) 管理を行っているシステムを自ら検査することになるから
設問3
(1) Web では,一つの脆施弱性に対して攻撃を引き起こす可能性のあるアクセスのパターンが多岐にわたるから
(2) WAF 単独では取りこぼしが発生し得るので,脆弱性が修正されない場合には攻撃を受ける可能性が高い点
設問4
(1) d:エ
(2)e:トランザクションログに対して参照可能な利用者を制限する
追加した対策の有効性を内部監査によって確認し,改善すべき点があれば改 善計画を立てて改善を行う。
設問5
- 新たに追加された対策を加味してリスク分析を実施する。
- 新たに追加された対策についての有効性の評価を行う。
出題要旨
情報セキュリティの実現に当たっては,適切なセキュリティ技術を選択するとともに,組織に適合したセキュリティポリシを適用し,その継続的な改善を図ることが望まれる。
本間では,衣料小売業者における情報セキュリティの見直しを題材に,法的要求事項や情報セキュリティ標準の知識,セキュリティ検査の技法, Web アプリケーションの保護の手法などについて問う。
関連リンク
その他の過去問は下記リンクなどもご覧ください。
