情報セキュリティマネジメント試験 - SE娘の剣 -

情報セキュリティマネジメント試験の解説サイトです。
目標は、「いつかは合格」ではなく「次の試験で1発合格」です。

合格体験談をお送りいただいた方、ささやかで恐縮ですが、お礼をお送りさせていただきました。しばらくたっても届かない場合は、ご連絡をお願いします。

また、すでに私から連絡を差し上げた方で、まだお送りくださっていない方ですが、事前連絡の通り、5月末で締め切らせていただきます。あらかじめご了承ください。

情報セキュリティマネジメント試験を目指す剣持成子_2平成28年春から、情報セキュリティマネジメント試験が始まります。

この試験が一回も開催されていない中で、試験を受けるのは不利という考えもあります。しかし、せっかく受けるのであれば、第1回目で合格しませんか?

本サイトでは、情報セキュリティマネジメント試験(SG)の合格を指南するサイトとして記事を掲載していきたいと思います。

1.試験概要
詳しい情報セキュリティマネジメント試験の概要は、以下のJIPDECのサイトにあります。
https://www.jitec.ipa.go.jp/sg/index.html

まず、情報セキュリティマネジメント試験とは、どんな試験なのでしょう。
IPAのサイト(https://www.jitec.ipa.go.jp/sg/index.html)では、以下の記載があります。
情報セキュリティマネジメント試験は、情報セキュリティマネジメントの計画・運用・評価・改善を通して組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的なスキルを認定する試験です。〈共通キャリア・スキルフレームワーク(CCSF)レベル2相当〉

2.試験要綱
試験要綱Ver2.0(情報セキュリティマネジメント試験抜粋版) が2015年10月16日に発表されました。
これを読むのは面倒ですが、一度くらい、目を通されてもいいと思います。
https://www.jitec.ipa.go.jp/1_13download/youkou_ver2_0_sg_bassui.pdf

3.対象者像
上記の試験要綱には、以下の記載があります。
情報システムの利用部門にあって,情報セキュリティリーダとして,部門の業務遂行に必要な情報セキュリティ対策や組織が定めた情報セキュリティ諸規程(情報セキュリティポリシを含む組織内諸規程)の目的・内容を適切に理解し,情報及び情報システムを安全に活用するために,情報セキュリティが確保された状況を実現し,維持・改善する者

この試験は、「人による対策(管理面の対策)」を重視した試験です。技術面の対策を中心とした情報セキュリティスペシャリスト試験とは違うということを意識しましょう。
つまり、学習する内容も、SQLインジェクションの攻撃手法といった技術的なことより、そういう攻撃が起こらないようにするには何をすべきか。また、事故(インシデント)が発生したら何をすべきか、などを学習の軸として捉えるようにしましょう。

試験センターから解答例(4/17の試験当日)が出ました。
【午前】
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2016h28_1/2016h28h_sg_am_ans.pdf
【午後】https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2016h28_1/2016h28h_sg_pm_ans.pdf
私の解答速報が全問正解しており、ちょっとホッとしました。間違っていると、皆様にご迷惑をかけることになりますので・・・。
ーーーーーーーーーーーーーー問1ーーーーーーーーーーーーーー
標的型攻撃メールの攻撃および、その対策が問われました。

【設問1】
(1) a:キ
    b:ク 
 空欄a、bは標的型メールの特徴が問われいます。不特定多数(空欄b:ク)に送られるウイルスメールとは違い、特定(空欄a:キ)の組織や個人を対象としたメールです。
(2) ウ
 問題文に記載がある仕掛けは、技術的な要素は全くありません。正解は、ウのソーシャルエンジニアリングです。socialとは「社会的な」という意味で、技術的以外の方法でセキュリティを脅かします。
  
(3) ア、エ
ア:図1に、「導入する方向で検討を進めております」「添付ファイルの質問内容をご確認の上」という記載があり、正しい選択肢です。
イ:判断に迷う選択肢ですが、「Y社の従業員しか知りえない情報」というのが、どれにあたるのか、非常にあいまいです。
ウ:URLのリンクはありません。
エ:図2の2項目目に「製品の問合せが3回あり、メールでやり取りをしていた」とあります。

(4) カ 
(ⅰ)差出人のメールアドレスは、F@zz-freemail.co.jpであり、Y社のメールアドレスのドメイン(y-sha.com)とは異なります。
(ⅱ)差出人のメールアドレス(F@zz-freemail.co.jp)と、署名のメールアドレス(F@x-sha.co.jp)が異なります。
(ⅲ)添付ファイルの拡張子は「exe」ですから、実行形式のファイルです。

【設問2】
(1) カ
 なにが問題であったかという基準は、個々の主観ではありません。社内の規定で、今回の場合は、図3にある「管理規程」です。図2のG君のヒアリング結果の中で、管理規定を満たしていない行為は、「誰にも相談せず、報告もしなかった」(→(ⅲ)に該当)、「マルウェア感染はあり得ないだろうと考え」(→(ⅳ)に該当)です。
(2) エ 
図3の管理規定に「速やかに情報セキュリティリーダに報告」とあります。今回は、速やかな報告がなされませんでした。
(3) イ 
図3の管理規定に「自己判断せずに」とあります。今回は、「誰にも相談せずに」とあります。
(4) ア 
どちらも図2にヒントがあります。
(ⅰ)「管理規定については、新入社員研修の際に一度見たことがある程度」ということでした。これでは、管理規定にある「速やかに報告」するルールなどは、覚えていないですよね。ですから、従業員に再周知するべきです。
(ⅱ)「H君が(中略)報告した際に、上司から大変厳しく叱責された」「報告したくないと思っていた」とあります。このような組織文化を変えないと、報告しない人は減らないことでしょう。
(5) エ 問題文にある「定量的に測定」という条件を満たす必要があります。これは、イとエです。アやウのように、「掲示」したり「掲示板で紹介」するだけでは、定量的な測定はできません。強いて言うなら、「定性的」なものは、確認できるかもしれません。また、。「一人一人が適切に対応できるか」を知るにはイでは不十分です。全体の出席率しか確認していないからです。


ーーーーーーーーーーーーーー問2ーーーーーーーーーーーーーー
アクセス制御に関する問題ですが、3つ問題の中で、一番難しかったと思います。

【設問1】
(1) オ 
 A社販売担当者に承認権限を付与すると、自分入力し、自分で承認できてしまいます。これは、方針3の「ある利用者が入力した情報は、別の利用者が承認する」を満たしません。
(2)エ 
上記の(1)に関連します。図1の「承認」の内容には、「問題がなければ承認する」とあります。つまり、承認行為がチェック機能を果たしているのです。第三者ではなく自分で承認できてしまえば、選択肢エにあるような「不正に入力された注文」も承認されてしまいます。
(3)a:オ
 b:イ 
 選択肢の中で、方針3(ある利用者が入力した情報は、別の利用者が承認する)を満たすものを探します。また、aは、次のM主任の会話にある「[要求2]を満たせません」という条件に合致する必要があります。では、順に見て行きましょう。
ア:利用者IDを増やしても、方針3は満たせません。
イ:A社の販売担当者に承認権限を付与する際に、B社の人が入力した注文だけを承認できる権限を付与します。これであれば、A社の販売担当者は、自分で入力した注文を承認できなくなります。適切な選択肢です。
ウ:検索機能は関係ありません。
エ:よく分からない選択肢です。
オ:これであれば、自分で入力した注文を承認できなくなります。適切な選択肢です。また、この内容は、要求2の「A社の担当者が入力した場合は、現状どおりにA社の販売責任者が承認する」を満たしません。販売責任者ではなく、販売担当者が承認できるからです。よって、これがaになります。

(4)ウ
 先ほども解説しましたが、もう一度整理します。
 aは「オ:他の利用者IDによって入力された注文だけを承認できる権限を追加する」ことです。要求2は、「A社の担当者が入力した場合は、現状どおりにA社の販売責任者が承認する」ことです。選択肢ウにあるように、販売担当者が複数いれば、一人の販売担当者が入力し、もう一人が承認できます。つまり、販売責任者ではなく、販売担当者が承認できるのです。
(5)エ
 出張中に、承認を代行する方法です。誰でも承認できていいというわけではありません。設問にある「利用方針に合致するもの」を満たす必要があります。
ア:担当者に「A社販売責任者」の権限を付与してはいけません。また、付与した担当者には「A社販売責任者」と「A社販売担当者」の2つの利用者IDが発行されることになり、方針1に反します。
イ:アと同様、担当者に「A社販売責任者」の権限を付与してはいけません。
ウ:別の人に貸しては、方針2に反します。
エ:N課長の上長ですから、責務および権限的にもふさわしい対応です。利用方針にも違反していません。
(6)イ 
ア:貸出し用の利用者IDということは、「一つの利用者IDは、1人の利用者だけが利用する」という方針2に反します。
イ:正解選択肢です。
ウ:利用者に、「管理者」のロールは不適切です。
エ:応援というのは、「一日の中でも問合せ数が少ない時間に」行われます。忙しさは日によって変わるでしょうから、都度のロール変更は運用が持たないと感じます。

【設問2】
(1)エ
 4つの選択肢から選ぶのですが、まず、申請者は誰かを考えます。
ア、イ:業務委託先というのは他社ですから、選択肢アとイは不適切です。ウやエのように、利用部門が申請すべきです。
ウ:「業務委託先から提出された申請書を情報のオーナ部署の長に転送する」とあります。「転送する」だけで、内容を確認していないのは問題です。
エ:正解選択肢です。

(2) d:ア
 空欄dのすぐ後ろに、「Dシステムの閲覧権限を見直して、必要最小限にした方がよい」とあります。この対策から、想定されるリスクは、アの「内部不正」です。閲覧が限定されれば、内部犯による不正な情報の持ち出しを制限できます。一方、閲覧権限を最小限にしても、イのタイプミスや、ウの病欠は少なくなりません。
 
 e:ウ
 問題文の[B社担当者の追加及び変更]の(3)に「その情報のオーナ部署の長に申請して承認」とあります。ですから、N課長からは、ウの「情報のオーナ部署の長」に権限の付与を申請します。
 
 f:ア 
 担当者が変更するという情報を知っているのはB社だけです。よって、情報提供ができるのは、アの「B社の管理者」です。
 
(3)ウ 
ア:退任者の利用者IDは即座に利用できないようにすべきです。
イ:退任者の利用者IDを、新任者に割り当ててはいけません。別の利用者IDを割り当てるべきです。利用方針の2にも違反します。
ウ:退任者の利用者IDを直ちに無効化しており、適切な方法です。
エ:問題文に「引継ぎを兼ねて、およそ1週間は2人とも在籍してTシステムとDシステムを利用して業務を行う」とあります。ですから、引継ぎ開始時点でIDを無効化しては業務に支障がでます。
(4) ア 
ア:担当者の希望を聞く必要はありません。業務に必要な最低限の閲覧権限を付与すべきです。
イ:新任者の利用者IDをいつから有効にすべきかを判断するために、必要な情報です。
ウ、エ:退任者の利用者IDを速やかに無効んするために、必要な情報です。


 ーーーーーーーーーーーーーー問3ーーーーーーーーーーーーーー
 情報セキュリティの自己点検がテーマです。CSAという聞きなれない言葉が出てきましたが、CSAとはという説明があり、この言葉を知らなくても解くことができました。
 
【設問1】 イ
 下線①の「その結果が正しいかを客観的に判断ができない」ものを探します。
ア:10は「他人から容易に見えるところにパスワードを書いていない」です。監査する人が、本人付近を確認すればパスワードを書いていないかが分かります。
イ:11は「不審な電子メールの添付ファイルを開いていない」です。そもそも、不審なメールかどうかの客観的な判断ができませんよね。また、開くかどうかは、不審なメールが届いたときにしか分かりません。つまり、監査する人ではなく、本人しか知り得ない情報です。
ウ:12は「情報セキュリティ事故が発生したときの連絡先を知っている」です。これは、本人に質問すれば、知っているかを確認できます。
エ:13は「帰宅字は顧客情報を含む書類を施錠保管している」です。実際のオフィスを立ち入り検査すれば、確認ができます。

【設問2】 イ、オ
ア:関連法規への準拠性は、どちらも変わりません。
イ:CSAは、「被監査部門が、自部門の活動を評価すること」です。よって、業務内容の十分な理解に基づいて評価することができます。
ウ:どちらの場合も、監査の証跡は、根拠資料として必要です。
エ:被監査部門が自ら評価しますから、独立的な立場とは言えません。
オ:CSAシートに基づいてチェックをするわけですから、その活動を通じてセキュリティの意識付けができます。結果、評価実施者への教育としても役立ちます。

【設問3】
(1)イ 
空欄aは表3のNo.4「新たな脅威について全員が教育を受けている」に対応します。問題文には、、情報セキュリティ教育は海外営業部では「新たに配属された部員だけが受講」とあります。「新たな脅威」は、日々登場しますから、配属時だけの研修では不十分です。選択肢イのNGが該当します。
(2) エ 
空欄bは、表3のNo.11「リモート接続のためのパスワードを90日ごとに変更している」に該当します。問題文には、「ノートPCだけが、リモート接続サービスによる社内ネットワークへの接続を許可」「海外営業部の部員は、出張がなく、全員がデスクトップPCだけを使ってる」とあります。リモート接続は誰も行わないので、エが正解です。
(3) ア 
空欄cは、表3のNo.19「ファイルサーバ上の顧客情報のアクセス権は最小権限の原則に基づいて設定されている」に該当します。
問題文の簡易チェックリスト(表1)No.1には、「業務上の必要がある人だけにアクセス権を付与している」という項目があります。また、「全部員が全てのチェック項目にOKを記入」とあります。よって、選択肢アが正解です。
(4)イ
dの評価根拠には、「部外者が従業員に気付かれずに入ることは難しい」とあります。つまり、選択肢イにある「関係者だけが入室可能」の内容です。
(5) イ 
下線③に関して問題となっているのは、退職などで不要となった利用者IDが、5つも存在したことです。これに対する対策は、イのシステムからのIDの削除を速やかにすることです。

【設問4】
(1)カ
e1:空欄e1のあとに、W氏の「全部員に担当顧客を確認」という記述があります。よって、対策3が該当します。対策2の周知だけでは、「2週間ほど時間を下さい」という記述に適合しません。
e2:対策2によって牽制をしておけば抑止効果になります。部長がいう「リスク低減」が図れます。
e3:対策3によるアクセスログを3か月から3年と長期間にしておけば、事後が発生したときに、犯人およびその影響を判断する可能性が高まります。
(2)ア
f1:「業務が回らなくなる」という記載がヒントです。対策4にて、管理職だけが顧客情報の追加や修正をしていては、管理職が不在のときなどに業務が進まなくなります。
f2:その後の記述である「ベンダに開発をお願いするので」がヒントです。システムのワークフロー機能を付与する対策5が該当します。
f3:対策6の「ログを上長が定期的に確認する」方法は、問題文の部長の言葉である「ちょっと大変だが」に適合します。

-------所感
■午前試験
従来の試験と変わらずという印象です。同じレベル2の基本情報技術者レベルの試験です。ただ、基本情報技術者試験に比べて、試験範囲がセキュリティに大きく絞られているため、対策しやすいと感じました。生粋のIT技術者以外の多くの人が苦手とする法規やコンピュータアーキテクチャが無いということで、広く多くの方が受験対象になると感じました。

■午後試験
問題文が長いので、つらかったと思います。ITの試験というよりは、国語の試験という印象を持った人もいるでしょう。セキュリティに関する深い知識は問われませんし、専門用語も登場しません。問題文に書かれてあることをよく読み、そのヒント使って答えを導けば、合格ラインに達することができるでしょう。
たきちんと読み込むためには、最低限の言葉やセキュリティの実情を知っていなければいけません。いくら国語力がある国語の先生が受けたとしても、セキュリティをしらなければ合格できないことでしょう。私のテキストに書いたような、最低限の言葉であったり、新聞に出てくるような「標的型攻撃」という言葉、システムの閲覧権限などの最低限のシステムの仕組みを知っている必要があります。

■今後の対策
私の本でもこれまで書いてきましたが、分厚い本でのセキュリティに関する深い学習は不要です。知識学習は最低限にとどめ、午前はひたすら過去問を解くことでしょう。午後も(過去問が少ないのですが)、過去問の学習が軸になります。(基本情報技術者試験のセキュリティに関する問題で補うしかないでしょう)。また、日常的にセキュリティを意識することや、会社でのシステムにおけるセキュリティや、セキュリティの運用ルール、業務委託先のセキュリティの担保などを意識して知るようにしましょう。地道ですが、机上にとどまらず現場を知るという活動が、この試験に役立つことでしょう。


↑このページのトップヘ