ITサービスマネージャ試験 2023年春期問2 - 情報セキュリティの管理

情報セキュリティの管理

J 社は，首都圏で生命保険の各種保険商品を販売する中堅企業である。J 社の営業日は，月曜日から金曜日までの平日である。J 社の情報システム部は，営業支援のための営業システムを運用しており，運用時間は，営業日の 9 時から 19 時までである。J 社営業部の営業員は，営業部の PC を使って，営業管理サーバで稼働する営業システムを利用する。J 社のシステム構成を図 1 に示す。

営業員は，電子メールを利用し，メールサーバを経由して社外の J 社の顧客と連絡を行っている。また，営業員は，クラウド事業者が提供するストレージサービスを利用し，営業活動に必要な業務データを保存している。ストレージサービスでは，利用者の要求に応じて容量を動的に拡張できる。なお，クラウド事業者とのインターネットを介した通信は，セキュリティ上の安全性が確保されている。

〔業務の生産性を向上させる活動〕

営業部では，本年から PC で稼働する業務効率化ツール（以下，業務ツールという）を使って，営業員の業務の生産性を向上させる活動を推進しており，業務効率向上推進委員として，M 氏を任命している。なお，業務ツールは，営業員が自ら作成する。
M 氏は，営業員に対して業務ツール作成方法の指導や好事例の紹介を行うとともに，業務ツール利用についての作業管理を行っている。作業管理の手順を図 2 に示す。

図 2 作業管理の手順

① 営業員は，業務ツールを作成する場合，M 氏に事前に作成申請を行う。
② M 氏は，業務効率向上の可能性などを判断し，業務ツールの作成申請を承認する。
③ 営業員は，承認を得てから業務ツールを作成し，完成後に M 氏に利用申請を行う。
④ M 氏は，完成した業務ツールの利用申請を承認する。
⑤ 営業員は，業務ツールの実行ファイルを営業部内の PC にインストールして使用する。

〔情報セキュリティ対策の現状〕

情報システム部では，情報セキュリティ対策として，ウイルス対策サーバを設置し，PC 及び各サーバ（以下，これらを J 社機器という）で，パターンマッチング方式によるウイルスチェックを行っている。また，情報セキュリティ管理の運用ルールでは，情報セキュリティインシデントが発生した場合は，インシデント対応手順に従って即時に対応し，解決に時間が必要なインシデントが発生したときでも，当日中にはインシデントの解決方法を決定することなどを定めている。
情報セキュリティインシデントが発生した場合は，J 社機器のログを分析し，原因を調査している。毎月 1 回，営業日以外の日に伺うシステム保守作業で，システム保守員が，各サーバのシステム時刻を正しい時刻に設定し直しているが，複数の機器のログを突き合わせたときに，それぞれのシステム時刻が正確ではなく，時間軸での発生事象の流れを正確に把握できないことがある。また，J 社機器の各種ログは，それぞれの J 社機器の内蔵ストレージに記録しており，最新 3 か月分を保存できるようにしている。

〔情報セキュリティ対策強化の取組〕

昨今，他社において，マルウェア感染によって業務システムが長時間停止し，大きな事業影響を受ける事例が発生している。そこで情報システム部では，情報セキュリティ対策強化の取組を行うこととなり，情報システム部の IT サービスマネージャ K 氏が，J 社の情報セキュリティ対策を点検した。この結果，“未知マルウェアへの対応”及び“ログ管理方法の見直し”が必要であり，対策を検討することとした。

〔未知マルウェアへの対応〕

J 社で実施しているパターンマッチング方式のウイルスチェックは，検査対象のファイルを，既知の脅威情報を基にしたパターン情報と比較し，一致したものをウイルスとして検知するだけである。そこで，未知の脅威に対応できるように，パターンマッチング方式以外の手法を用いた未知マルウェア対策システムを導入することとした。
K 氏は，各社の製品を調査し，L 社の製品（以下，L ソフトという）を選定した。これに伴い，J 社機器に L ソフトを導入し，管理用の未知マルウェア対策サーバ（以下，L サーバという）を，J 社情報システム部に設置する。L ソフトの主な機能は次のとおりである。

実行ファイルの挙動を監視できる検査エンジンを有する L ソフトが，機器内のファイルを監視し，不正プログラムを検知する。監視する挙動としては，ファイルオープン及び削除の大量な繰り返しなどである。
L ソフトが不正プログラムを検知した場合，当該 J 社機器及び L サーバの画面に検知メッセージを表示し，不正プログラムを検体として採取する。
検知対象外とする実行ファイルの指定ができる。L サーバに検知対象外とする実行ファイルを登録すると，登録された実行ファイルのハッシュ値が，L ソフトを導入している J 社機器に自動的に配付される。J 社機器で，L ソフトの検査エンジンが実行ファイルの異常な挙動を検知した場合は，当該実行ファイルのハッシュ値を求め，事前に配付されたハッシュ値と比較して検知対象外とするか否かを判定し，一致した場合は検知対象外とする。

また，L 社は，L ソフトに関連して，二つの保守サービスを提供している。L 社の保守サービスの概要は，表 1 のとおりである。

表 1 L 社の保守サービスの概要
保守サービスの名称	サービス時間	サービス内容
標準サポート	L 社の営業日の 9 時～ 20 時	L ソフトの仕様の問合せ及び不具合発生時の解析対応を行う。 L ソフトが採取した不正プログラムの検体を解析し，マルウェアなのか，又は安全なファイルなのかの判定を行う。
プレミアムサポート	24 時間 365 日	標準サポート保守サービスの内容に加えて次のサービス内容を提供する。 L ソフト導入会社に対して，セキュリティ診断及びコンサルティングを行う。

注記 L 社は，検体の解析依頼を受付後，2 時間以内に解析結果を回答する。標準サポート保守サービスで，受付時刻が 18 時以降の場合，解析に時間が掛かるときは，回答が翌営業日になることがある。なお，L 社の営業日は，月曜日から金曜日までの平日である。

K 氏は，J 社の営業システムの運用時間及び L 社の保守サービスの費用を考慮して，標準サポート保守サービスを L 社と契約した。

〔ログ管理方法の見直し〕

表 2 現状のログ管理の課題及び検討した対策内容
区分	課題	対策内容
記録	複数の J 社機器のログを突き合わせたときに，それぞれのシステム時刻が正確ではなく，ログの分析に支障があるので，常に正確な時刻でのログ記録が必要である。	NTP サーバを導入することによって，各 J 社機器が常に正確な時刻でログを記録する。複数のログを突き合わせたときに，a できるようにする。
収集	取得した各種ログが J 社機器に分散しており，ログの調査・分析に効率が悪いので，効率的に活用できるようにする必要がある。	ログ管理システムを新たに構築し，各 J 社機器が取得したログを（ア）ログ管理システムのサーバに収集し，一元的に管理して効率向上を図る。
管理	災害やサイバー攻撃などによって，J 社内で管理しているログの消失などの被害が発生するリスクがあるので，可用性の確保が必要である。	新たに導入するログ管理システムで一元管理する各種ログについて，b し，被害発生時に速やかに復旧できるようにする。

K 氏は，“未知マルウェアへの対応”及び“ログ管理方法の見直し”の検討結果について，情報システム部の N 部長に報告し，承認を得た。その後，対策を実施し，運用を開始することとした。

〔インシデントの発生とその対応〕

（イ）過検知対策

（ウ）情報システム部が実施する手順を新たに追加

〔発生したインシデントの振り返り〕

（エ）L 社との保守契約を見直すこと

設問1

〔ログ管理方法の見直し〕について答えよ。

(1)

表 2 中の a に入れる適切な字句を，25 字以内で具体的に答えよ。

0 / 25字

(2)

表 2 中の下線（ア）について，ログ管理システムのサーバを設置する場所は，図 1 中のどのセグメントがよいか。答案用紙の“LAN1・LAN2”のいずれかの文字を〇印で囲んで示せ。また，情報セキュリティ管理の観点から，そのセグメントとする理由について，40 字以内で答えよ。

設置する場所

理由

0 / 40字

(3)

表 2 中の b に入れる具体的な対策内容を，図 1 中の字句を使って 30 字以内で答えよ。

0 / 30字

設問2

〔インシデントの発生とその対応〕について答えよ。

(1)

本文中の下線（イ）について，業務再開後に当該業務ツールが再び過検知されないために必要な対策の内容を 30 字以内で答えよ。

0 / 30字

(2)

本文中の下線（ウ）について，情報システム部が実施する具体的な手順を 50 字以内で答えよ。

0 / 50字

設問3

〔発生したインシデントの振り返り〕について，本文中の下線（エ）で保守契約を見直す理由を 40 字以内で答えよ。

0 / 40字

情報セキュリティの管理

〔業務の生産性を向上させる活動〕

図 2 作業管理の手順

〔情報セキュリティ対策の現状〕

〔情報セキュリティ対策強化の取組〕

〔未知マルウェアへの対応〕

実行ファイルの挙動を監視できる検査エンジンを有する L ソフトが，機器内のファイルを監視し，不正プログラムを検知する。監視する挙動としては，ファイルオープン及び削除の大量な繰り返しなどである。
L ソフトが不正プログラムを検知した場合，当該 J 社機器及び L サーバの画面に検知メッセージを表示し，不正プログラムを検体として採取する。
検知対象外とする実行ファイルの指定ができる。L サーバに検知対象外とする実行ファイルを登録すると，登録された実行ファイルのハッシュ値が，L ソフトを導入している J 社機器に自動的に配付される。J 社機器で，L ソフトの検査エンジンが実行ファイルの異常な挙動を検知した場合は，当該実行ファイルのハッシュ値を求め，事前に配付されたハッシュ値と比較して検知対象外とするか否かを判定し，一致した場合は検知対象外とする。

また，L 社は，L ソフトに関連して，二つの保守サービスを提供している。L 社の保守サービスの概要は，表 1 のとおりである。

表 1 L 社の保守サービスの概要
保守サービスの名称	サービス時間	サービス内容
標準サポート	L 社の営業日の 9 時～ 20 時	L ソフトの仕様の問合せ及び不具合発生時の解析対応を行う。 L ソフトが採取した不正プログラムの検体を解析し，マルウェアなのか，又は安全なファイルなのかの判定を行う。
プレミアムサポート	24 時間 365 日	標準サポート保守サービスの内容に加えて次のサービス内容を提供する。 L ソフト導入会社に対して，セキュリティ診断及びコンサルティングを行う。

K 氏は，J 社の営業システムの運用時間及び L 社の保守サービスの費用を考慮して，標準サポート保守サービスを L 社と契約した。

〔ログ管理方法の見直し〕

表 2 現状のログ管理の課題及び検討した対策内容
区分	課題	対策内容
記録	複数の J 社機器のログを突き合わせたときに，それぞれのシステム時刻が正確ではなく，ログの分析に支障があるので，常に正確な時刻でのログ記録が必要である。	NTP サーバを導入することによって，各 J 社機器が常に正確な時刻でログを記録する。複数のログを突き合わせたときに，a できるようにする。
収集	取得した各種ログが J 社機器に分散しており，ログの調査・分析に効率が悪いので，効率的に活用できるようにする必要がある。	ログ管理システムを新たに構築し，各 J 社機器が取得したログを（ア）ログ管理システムのサーバに収集し，一元的に管理して効率向上を図る。
管理	災害やサイバー攻撃などによって，J 社内で管理しているログの消失などの被害が発生するリスクがあるので，可用性の確保が必要である。	新たに導入するログ管理システムで一元管理する各種ログについて，b し，被害発生時に速やかに復旧できるようにする。

〔インシデントの発生とその対応〕

（イ）過検知対策

（ウ）情報システム部が実施する手順を新たに追加

〔発生したインシデントの振り返り〕

（エ）L 社との保守契約を見直すこと

設問1

〔ログ管理方法の見直し〕について答えよ。

(1)

表 2 中の a に入れる適切な字句を，25 字以内で具体的に答えよ。

0 / 25字

(2)

設置する場所

理由

0 / 40字

(3)

表 2 中の b に入れる具体的な対策内容を，図 1 中の字句を使って 30 字以内で答えよ。

0 / 30字

設問2

〔インシデントの発生とその対応〕について答えよ。

(1)

本文中の下線（イ）について，業務再開後に当該業務ツールが再び過検知されないために必要な対策の内容を 30 字以内で答えよ。

0 / 30字

(2)

本文中の下線（ウ）について，情報システム部が実施する具体的な手順を 50 字以内で答えよ。

0 / 50字

設問3

〔発生したインシデントの振り返り〕について，本文中の下線（エ）で保守契約を見直す理由を 40 字以内で答えよ。

0 / 40字