ITサービスマネージャ試験 2021年春期問2 - 情報セキュリティの管理

情報セキュリティの管理

B 社は，精密機械の製造・販売を行っている。精密機械の生産は，関東工場及び九州工場で，毎週日曜日 22:00 から作業を開始し，その週の金曜日 22:00 まで連続で行われている。B 社生産部では，工場の生産活動に関わる計画及び管理を行っている。

〔B 社のシステム概要〕

B 社情報システム部では，生産部の生産活動を支援する生産システム，社員からのメール送受信機能を担うメールシステム及び IT 機器の構成情報を管理する構成管理システムを運用している。関東工場及び九州工場の PC は，それぞれの工場に勤務する生産部及び情報システム部の部員が使用する。B 社のシステム構成を図 1 に，B 社のシステム概要を表 1 に示す。

表 1 B 社のシステム概要
システム名	システム概要
生産システム	生産システムは，関東工場の生産サーバ（正），DB サーバ（正）及び九州工場のバックアップサーバで構成される。関東工場及び九州工場に勤務する生産部の部員が，PC を使って生産システムを利用する。関東工場の生産サーバ（正）で，毎週日曜日 22:00 から金曜日 22:00 までのオンライン処理を実行する。オンライン処理では，DB サーバ（正）の生産 DB を更新し，データ更新ログを生産サーバ（正）のログファイルに記録する。毎週金曜日 22:00 から 24:00 まで週次バッチ処理を実行する。週次バッチ処理の最終工程で，DB サーバ（正）の生産 DB のデータを九州工場のバックアップサーバにフルバックアップする。このバックアップ処理は 30 分で完了する。オンライン処理実行中の 0:00，8:00 及び 16:00 に定期バッチ処理を実行する。定期バッチ処理では，処理の開始時刻から 8 時間前までのデータ更新ログを対象としてバックアップサーバにコピーする。この処理は 30 分で完了する。保守 LAN に接続されている生産サーバ（副）及び DB サーバ（副）（以下，これらを副サーバ群という）は，土曜日の日中を除いて LAN 切替スイッチによって業務 LAN から切り離されており，生産システムのプログラムの開発とテストに使用される。テストが完了したプログラムは，土曜日の日中に生産サーバ（正）に展開される。障害が発生し，生産システムが長時間使用できない場合は，保守 LAN を業務 LAN に接続し，副サーバ群を稼働環境として使用することができる。
メールシステム	社内及び社外との電子メール送受信が，メールサーバで処理される。
構成管理システム	構成管理システムでは，B 社で使用するサーバ及び PC の構成情報を構成管理サーバに登録している。全てのサーバ及び全ての PC には，エージェントプログラムが導入されていて，業務 LAN 上のサーバ及び PC の構成情報の変化を検出した場合，エージェントプログラムは構成管理サーバに通知し，構成管理システムが構成情報を更新する。保守 LAN 上のサーバ及び PC の場合は，土曜日の日中に構成情報を更新する。構成情報には，OS セキュリティパッチ（以下，OS パッチという）の適用状況，及びマルウェア対策用のマルウェア定義ファイル（以下，マルウェア定義という）の更新状況が分かるマルウェア定義の版の情報が含まれる。

〔情報セキュリティ対策の概要〕

情報システム部のセキュリティ管理課は，情報セキュリティ管理を担当している。セキュリティ管理課は，情報セキュリティ運用支援サービスを提供している会社（以下，C 社という）と情報セキュリティサービスを契約している。C 社が B 社に提供しているサービスの内容は，次のとおりである。

マルウェア対策ソフトウェア（以下，対策ソフトという）を B 社に提供しており，B 社の全てのサーバ及び全ての PC には C 社の対策ソフトが導入されている。
OS ベンダと連携して，OS の脆弱性に関する情報を収集し，B 社に適切な助言を行う。
情報セキュリティインシデント対策の対応方針や手順の策定を支援する。

情報システム部の担当者は，平日 6:00 に，OS ベンダから最新の OS パッチが公開されているかどうかを確認する。サーバの OS パッチが公開されている場合は，図 2 に示す手順に従って，PC の OS パッチが公開されている場合は，図 3 に示す手順に従って，それぞれ OS パッチを適用する。

図 2 サーバの OS パッチの適用手順

（当日 6:00～7:00）九州工場の業務 LAN に接続されている PC を使って最新の OS パッチを入手し，外部記憶媒体に保存する。保守 LAN 上の副サーバ群に，外部記憶媒体に保存した最新の OS パッチをインストールし，再起動する。各サーバが正常に動作することを確認する。
（当日 7:30～10:00）副サーバ群を稼働環境として使用し，保守 LAN 上で生産システムのオンライン処理が正常に稼働することを確認する。
（当日 10:00～10:30）業務 LAN 上のバックアップサーバに，最新の OS パッチをインストールし，再起動する。バックアップサーバが正常に動作することを確認する。
（土曜日 9:00～10:00）確認が完了した最新の OS パッチを，業務 LAN 上の生産サーバ（正）及び DB サーバ（正）にインストールし，再起動する。業務 LAN 上で生産システムが正常に稼働することを確認する。

注記図は，生産システムに関わるサーバについての手順の抜粋である。

図 3 PC の OS パッチの適用手順

（当日 7:00～7:30）九州工場の業務 LAN に接続されている PC を使って最新の OS パッチを入手し，外部記憶媒体に保存する。保守 LAN 上の PC に最新の OS パッチをインストールし，再起動する。PC が正常に動作することを確認する。
（当日 11:00～12:00）保守 LAN 上で，最新の OS パッチを適用した PC を使って生産システムのオンライン処理が正常に利用できることを確認する。
（当日 13:00～15:00）確認が完了した最新の OS パッチを，業務 LAN に接続された稼働中の PC にインストールイメージとして配付する。

注記使用している PC への OS パッチの適用は，PC の再起動を契機として実施される。社員が PC を再起動する際に，自動でインストールが行われ，OS パッチが適用される。関東工場及び九州工場の生産部では，平日夜間も PC を利用しているので，PC のシャットダウンは，金曜日の 22:00 に実施され，その後 PC を再起動することで，OS パッチが適用される。

また，C 社から最新のマルウェア定義が提供されている場合は，最新のマルウェア定義が提供される都度，次の対応を行う。

業務 LAN に接続されている機器については，マルウェア定義が自動的に配信され，マルウェア定義が更新される。
保守 LAN に接続されている機器については，情報システム部の部員が，OS パッチの入手と同じ方法を使ってマルウェア定義を入手し，マルウェア定義を手動で更新する。

〔情報セキュリティインシデントの発生〕

2020 年 9 月 15 日（火）10:00 に，生産システムの利用者からセキュリティ管理課に情報セキュリティインシデント（以下，今回インシデントという）の発生連絡があった。今回インシデントの対応状況を表 2 に示す。

表 2 今回インシデントの対応状況
時刻	経緯と対応
10:00	関東工場の PC の利用者（以下，通報者という）からセキュリティ管理課に"PC に保存したファイルが意図せず暗号化されておりファイルを開くことができない。"と，電話があった。セキュリティ管理課の IT サービスマネージャの D 氏は，通報者に対し PC を業務 LAN から切り離すように依頼した。
10:30	インシデント対応チームが発足され，D 氏が対応を指揮することになった。C 社の技術者から“今回インシデントは，9 月 7 日（月）に他社で発生したランサムウェアの感染例に似ている。B 社社内にマルウェアが拡散しているリスクがある。業務 LAN に接続されている全てのサーバ及び全ての PC を業務 LAN から切り離す必要がある。”と，D 氏に連絡が入った。D 氏は，経営幹部に状況を報告し対策実施の了解を得た。サーバ及び PC は，業務 LAN から切り離され，生産システムは停止した。生産部から D 氏に，“今月の生産計画を達成するためには，遅くとも本日日の 18:00 までに生産システムを稼働する必要がある。”との要請が入った。
11:00	D 氏が調査したところ，通報者が 9 月 14 日（月）9:45 頃に不審な電子メール（以下，不審メールという）の添付ファイルを開封していたことが分かった。 D 氏は，通報者が開封した添付ファイルを C 社に送付し，支援を要請した。
13:00	C 社の技術者から，次の報告があった。 ① 当該の添付ファイルは，ランサムウェアである。他社で発生したランサムウェアに似ているが別のランサムウェアである。このランサムウェアは，感染から 24 時間以内に，感染した機器のストレージに保存されたファイルの暗号化を開始する。感染した機器から，LAN に接続している他の機器に OS の脆弱性を利用して攻撃を行い，短時間で急速に感染を広める。 ② 今回のランサムウェアの攻撃は，OS ベンダが 9 月 14 日 3:00 に公開した最新の OS パッチを適用することによって，回避できる。 ③ 今回のランサムウェアに対応できる最新のマルウェア定義の版を，本日の 16:00 に提供できる。
13:30	D 氏は，復旧計画の検討を行った。まず，D 氏は生産サーバ（正）及び DB サーバ（正）を使用して，生産システムを再開する方法を検討した。16:00 以降，最新のマルウェア定義の版で対策ソフトの機能を使って，マルウェア感染の有無を確認する作業を行うことになるが，この作業には 2 時間 30 分必要となる。その後，最新の OS パッチを適用するが，完了予定時刻は 19:00 となるので，生産部から要請されている 18:00 までに生産システムを稼働できない。次に，D 氏は，災害時立上げ計画^注1）に基づいて，九州工場の副サーバ群を使って生産システムを稼働させる案の検討を開始した。副サーバ群及びバックアップサーバに，図 2 の手順によって，最新の OS パッチが 9 月 14 日 10:30 までに導入され，必要な確認作業が完了していることを確認した。
14:00	D 氏は，復旧計画を次のとおり作成した。生産システムの復旧（16:00 に作業を開始し，18:00 までに作業を完了する） ① 生産サーバ（正）及び DB サーバ（正）の代替機として，（ア）副サーバ群を起動する。 ② a ③ b ④ LAN 切替スイッチを使って保守 LAN を業務 LAN に接続する。 ⑤ バックアップサーバから生産 DB のフルバックアップを DB サーバ（副）にコピーする。 ⑥ バックアップサーバのデータ更新ログを使って，DB サーバ（副）を 8:00 の状態に復元する。 ⑦ 生産システムのオンライン処理を開始する。 ⑧ 8:00 から生産システムが停止した時点までのデータは，生産部員がデータを再投入する。業務 LAN から切り離された PC の復旧（16:00 から 18:00 までの間に PC 利用者が対応する） ① PC には最新の OS パッチのインストールイメージが配付されているので，PC を再起動し，最新の OS パッチが適用されている状態とする。 ② PC のマルウェア定義を最新の版に更新し，マルウェア感染の有無を確認する。感染している場合は，マルウェアを駆除する。 ③ PC を業務 LAN に接続する（生産システムの利用は，18:00 からとする）。
15:00	D 氏は，復旧計画を経営幹部に説明し，了解を得た。
16:00	D 氏は，C 社から最新のマルウェア定義の版を受領したのち，復旧計画の作業を開始した。
18:00	復旧計画の全ての作業を完了した。

注^1）災害時立上げ計画とは，大規模地震などの災害が発生し，関東工場が被災したときに，九州工場の各サーバを使って生産システムを稼働させる計画のことである。

〔問題点と対策〕

D 氏は，今回インシデントの対応を振り返り，C 社の技術者の支援も得て，情報セキュリティに関する現状の問題点と対策案を表 3 のとおり整理した。

表 3 現状の問題点と対策案（抜粋）
項番	問題点	対策案
1	社員が，不審メールに添付されているファイルを十分確認せずに開封してしまう。	B 社の全社員を対象に，不審メール受信時の対応教育を e ラーニングで定期的に実施する。また，図 4 に示す不審メール対応訓練を実施する。
2	セキュリティ管理課では，今回のように添付ファイルを誤って開封してしまう社員がどのくらいの割合でいるか，現状を把握できていない。	図 4 に示す不審メール対応訓練を行うことによって，（イ）現状を把握する。
3	セキュリティ管理課では，最新の OS パッチが適用されていない PC を把握していない。	c を使って，PC の OS パッチの適用状況を把握する。
4	バックアップサーバがマルウェアに感染すると，バックアップのデータが利用できなくなる。	d

図 4 不審メール対応訓練

不審メール対応訓練の実施に先立って，訓練の内容及び時期を，全社員に電子メールで通知する。
関連会社のメールアドレスを装って，業務連絡を模擬した訓練メールを全社員に送付する。訓練メールにはファイルを添付して，本文に添付ファイルの開封を促すメッセージを記載しておく。
業務 LAN に集計サーバを設置し，社員が不審メールと判断できずに添付ファイルを開封した場合は，開封した社員のメールアドレスが自動で集計サーバに送信されるシステムを構築する。

設問1

〔情報セキュリティインシデントの発生〕について，（1），（2）に答えよ。

(1)

表 2 中の下線（ア）について，今回インシデントの対応として，副サーバ群を使って生産システムを稼働できる理由を 40 字以内で答えよ。ただし，最新の OS パッチが副サーバ群に適用されていることは除く。

0 / 40字

(2)

表 2 の a 及び b には，通常の災害時立上げ計画の手順にはない作業で，今回インシデントの対応として，バックアップサーバに必要な作業が入る。
（a） a には，マルウェア対策の作業が入る。作業内容を 40 字以内で述べよ。
（b） b には，バックアップサーバを利用できるようにするための作業が入る。作業内容を 20 字以内で述べよ。

0 / 40字

0 / 20字

設問2

〔問題点と対策〕について，（1）～（3）に答えよ。

(1)

表 3 中の下線（イ）について，現状を把握する方法を 30 字以内で述べよ。

0 / 30字

(2)

表 3 の c に入れる適切な字句を 15 字以内で答えよ。

0 / 15字

(3)

表 3 の d には，バックアップサーバのデータが利用できなくなる事態を想定した対策が入る。対策の内容を 50 字以内で述べよ。

0 / 50字

情報セキュリティの管理

〔B 社のシステム概要〕

表 1 B 社のシステム概要
システム名	システム概要
生産システム	生産システムは，関東工場の生産サーバ（正），DB サーバ（正）及び九州工場のバックアップサーバで構成される。関東工場及び九州工場に勤務する生産部の部員が，PC を使って生産システムを利用する。関東工場の生産サーバ（正）で，毎週日曜日 22:00 から金曜日 22:00 までのオンライン処理を実行する。オンライン処理では，DB サーバ（正）の生産 DB を更新し，データ更新ログを生産サーバ（正）のログファイルに記録する。毎週金曜日 22:00 から 24:00 まで週次バッチ処理を実行する。週次バッチ処理の最終工程で，DB サーバ（正）の生産 DB のデータを九州工場のバックアップサーバにフルバックアップする。このバックアップ処理は 30 分で完了する。オンライン処理実行中の 0:00，8:00 及び 16:00 に定期バッチ処理を実行する。定期バッチ処理では，処理の開始時刻から 8 時間前までのデータ更新ログを対象としてバックアップサーバにコピーする。この処理は 30 分で完了する。保守 LAN に接続されている生産サーバ（副）及び DB サーバ（副）（以下，これらを副サーバ群という）は，土曜日の日中を除いて LAN 切替スイッチによって業務 LAN から切り離されており，生産システムのプログラムの開発とテストに使用される。テストが完了したプログラムは，土曜日の日中に生産サーバ（正）に展開される。障害が発生し，生産システムが長時間使用できない場合は，保守 LAN を業務 LAN に接続し，副サーバ群を稼働環境として使用することができる。
メールシステム	社内及び社外との電子メール送受信が，メールサーバで処理される。
構成管理システム	構成管理システムでは，B 社で使用するサーバ及び PC の構成情報を構成管理サーバに登録している。全てのサーバ及び全ての PC には，エージェントプログラムが導入されていて，業務 LAN 上のサーバ及び PC の構成情報の変化を検出した場合，エージェントプログラムは構成管理サーバに通知し，構成管理システムが構成情報を更新する。保守 LAN 上のサーバ及び PC の場合は，土曜日の日中に構成情報を更新する。構成情報には，OS セキュリティパッチ（以下，OS パッチという）の適用状況，及びマルウェア対策用のマルウェア定義ファイル（以下，マルウェア定義という）の更新状況が分かるマルウェア定義の版の情報が含まれる。

〔情報セキュリティ対策の概要〕

マルウェア対策ソフトウェア（以下，対策ソフトという）を B 社に提供しており，B 社の全てのサーバ及び全ての PC には C 社の対策ソフトが導入されている。
OS ベンダと連携して，OS の脆弱性に関する情報を収集し，B 社に適切な助言を行う。
情報セキュリティインシデント対策の対応方針や手順の策定を支援する。

図 2 サーバの OS パッチの適用手順

（当日 6:00～7:00）九州工場の業務 LAN に接続されている PC を使って最新の OS パッチを入手し，外部記憶媒体に保存する。保守 LAN 上の副サーバ群に，外部記憶媒体に保存した最新の OS パッチをインストールし，再起動する。各サーバが正常に動作することを確認する。
（当日 7:30～10:00）副サーバ群を稼働環境として使用し，保守 LAN 上で生産システムのオンライン処理が正常に稼働することを確認する。
（当日 10:00～10:30）業務 LAN 上のバックアップサーバに，最新の OS パッチをインストールし，再起動する。バックアップサーバが正常に動作することを確認する。
（土曜日 9:00～10:00）確認が完了した最新の OS パッチを，業務 LAN 上の生産サーバ（正）及び DB サーバ（正）にインストールし，再起動する。業務 LAN 上で生産システムが正常に稼働することを確認する。

注記図は，生産システムに関わるサーバについての手順の抜粋である。

図 3 PC の OS パッチの適用手順

（当日 7:00～7:30）九州工場の業務 LAN に接続されている PC を使って最新の OS パッチを入手し，外部記憶媒体に保存する。保守 LAN 上の PC に最新の OS パッチをインストールし，再起動する。PC が正常に動作することを確認する。
（当日 11:00～12:00）保守 LAN 上で，最新の OS パッチを適用した PC を使って生産システムのオンライン処理が正常に利用できることを確認する。
（当日 13:00～15:00）確認が完了した最新の OS パッチを，業務 LAN に接続された稼働中の PC にインストールイメージとして配付する。

また，C 社から最新のマルウェア定義が提供されている場合は，最新のマルウェア定義が提供される都度，次の対応を行う。

業務 LAN に接続されている機器については，マルウェア定義が自動的に配信され，マルウェア定義が更新される。
保守 LAN に接続されている機器については，情報システム部の部員が，OS パッチの入手と同じ方法を使ってマルウェア定義を入手し，マルウェア定義を手動で更新する。

〔情報セキュリティインシデントの発生〕

表 2 今回インシデントの対応状況
時刻	経緯と対応
10:00	関東工場の PC の利用者（以下，通報者という）からセキュリティ管理課に"PC に保存したファイルが意図せず暗号化されておりファイルを開くことができない。"と，電話があった。セキュリティ管理課の IT サービスマネージャの D 氏は，通報者に対し PC を業務 LAN から切り離すように依頼した。
10:30	インシデント対応チームが発足され，D 氏が対応を指揮することになった。C 社の技術者から“今回インシデントは，9 月 7 日（月）に他社で発生したランサムウェアの感染例に似ている。B 社社内にマルウェアが拡散しているリスクがある。業務 LAN に接続されている全てのサーバ及び全ての PC を業務 LAN から切り離す必要がある。”と，D 氏に連絡が入った。D 氏は，経営幹部に状況を報告し対策実施の了解を得た。サーバ及び PC は，業務 LAN から切り離され，生産システムは停止した。生産部から D 氏に，“今月の生産計画を達成するためには，遅くとも本日日の 18:00 までに生産システムを稼働する必要がある。”との要請が入った。
11:00	D 氏が調査したところ，通報者が 9 月 14 日（月）9:45 頃に不審な電子メール（以下，不審メールという）の添付ファイルを開封していたことが分かった。 D 氏は，通報者が開封した添付ファイルを C 社に送付し，支援を要請した。
13:00	C 社の技術者から，次の報告があった。 ① 当該の添付ファイルは，ランサムウェアである。他社で発生したランサムウェアに似ているが別のランサムウェアである。このランサムウェアは，感染から 24 時間以内に，感染した機器のストレージに保存されたファイルの暗号化を開始する。感染した機器から，LAN に接続している他の機器に OS の脆弱性を利用して攻撃を行い，短時間で急速に感染を広める。 ② 今回のランサムウェアの攻撃は，OS ベンダが 9 月 14 日 3:00 に公開した最新の OS パッチを適用することによって，回避できる。 ③ 今回のランサムウェアに対応できる最新のマルウェア定義の版を，本日の 16:00 に提供できる。
13:30	D 氏は，復旧計画の検討を行った。まず，D 氏は生産サーバ（正）及び DB サーバ（正）を使用して，生産システムを再開する方法を検討した。16:00 以降，最新のマルウェア定義の版で対策ソフトの機能を使って，マルウェア感染の有無を確認する作業を行うことになるが，この作業には 2 時間 30 分必要となる。その後，最新の OS パッチを適用するが，完了予定時刻は 19:00 となるので，生産部から要請されている 18:00 までに生産システムを稼働できない。次に，D 氏は，災害時立上げ計画^注1）に基づいて，九州工場の副サーバ群を使って生産システムを稼働させる案の検討を開始した。副サーバ群及びバックアップサーバに，図 2 の手順によって，最新の OS パッチが 9 月 14 日 10:30 までに導入され，必要な確認作業が完了していることを確認した。
14:00	D 氏は，復旧計画を次のとおり作成した。生産システムの復旧（16:00 に作業を開始し，18:00 までに作業を完了する） ① 生産サーバ（正）及び DB サーバ（正）の代替機として，（ア）副サーバ群を起動する。 ② a ③ b ④ LAN 切替スイッチを使って保守 LAN を業務 LAN に接続する。 ⑤ バックアップサーバから生産 DB のフルバックアップを DB サーバ（副）にコピーする。 ⑥ バックアップサーバのデータ更新ログを使って，DB サーバ（副）を 8:00 の状態に復元する。 ⑦ 生産システムのオンライン処理を開始する。 ⑧ 8:00 から生産システムが停止した時点までのデータは，生産部員がデータを再投入する。業務 LAN から切り離された PC の復旧（16:00 から 18:00 までの間に PC 利用者が対応する） ① PC には最新の OS パッチのインストールイメージが配付されているので，PC を再起動し，最新の OS パッチが適用されている状態とする。 ② PC のマルウェア定義を最新の版に更新し，マルウェア感染の有無を確認する。感染している場合は，マルウェアを駆除する。 ③ PC を業務 LAN に接続する（生産システムの利用は，18:00 からとする）。
15:00	D 氏は，復旧計画を経営幹部に説明し，了解を得た。
16:00	D 氏は，C 社から最新のマルウェア定義の版を受領したのち，復旧計画の作業を開始した。
18:00	復旧計画の全ての作業を完了した。

〔問題点と対策〕

表 3 現状の問題点と対策案（抜粋）
項番	問題点	対策案
1	社員が，不審メールに添付されているファイルを十分確認せずに開封してしまう。	B 社の全社員を対象に，不審メール受信時の対応教育を e ラーニングで定期的に実施する。また，図 4 に示す不審メール対応訓練を実施する。
2	セキュリティ管理課では，今回のように添付ファイルを誤って開封してしまう社員がどのくらいの割合でいるか，現状を把握できていない。	図 4 に示す不審メール対応訓練を行うことによって，（イ）現状を把握する。
3	セキュリティ管理課では，最新の OS パッチが適用されていない PC を把握していない。	c を使って，PC の OS パッチの適用状況を把握する。
4	バックアップサーバがマルウェアに感染すると，バックアップのデータが利用できなくなる。	d

図 4 不審メール対応訓練

不審メール対応訓練の実施に先立って，訓練の内容及び時期を，全社員に電子メールで通知する。
関連会社のメールアドレスを装って，業務連絡を模擬した訓練メールを全社員に送付する。訓練メールにはファイルを添付して，本文に添付ファイルの開封を促すメッセージを記載しておく。
業務 LAN に集計サーバを設置し，社員が不審メールと判断できずに添付ファイルを開封した場合は，開封した社員のメールアドレスが自動で集計サーバに送信されるシステムを構築する。

設問1

〔情報セキュリティインシデントの発生〕について，（1），（2）に答えよ。

(1)

0 / 40字

(2)

0 / 40字

0 / 20字

設問2

〔問題点と対策〕について，（1）～（3）に答えよ。

(1)

表 3 中の下線（イ）について，現状を把握する方法を 30 字以内で述べよ。

0 / 30字

(2)

表 3 の c に入れる適切な字句を 15 字以内で答えよ。

0 / 15字

(3)

表 3 の d には，バックアップサーバのデータが利用できなくなる事態を想定した対策が入る。対策の内容を 50 字以内で述べよ。

0 / 50字