[平成２８年度春] 午後2 問1 解説①

[問題文・解答]

平成２８年度４月に実施された情報セキュリティスペシャリスト試験の午後２問題 問１の解説を２回に分けて行います。今回は１回目（前半）です。
平成２８年度４月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H28春 午後2 問題文]　　　[H28春 午後2 解答]

[問題概要]

題材は、CSIRT構築とセキュリティ設計についてです。

概要は以下の通りで、今回は前半部分の解説を行います。

（前半部分）P.3〜P.7上段　設問1〜2該当範囲

• A社ではセキュリティポリシを定め、IRT(Incident Response Team: インシデント対応チーム)を設置・運用しているが、十分に機能していない。
• 大きなインシデントが発生したため、現状のインシデント対応について問題を調査し、改善を計る。

（後半部分）P.7中段〜P.14上段　設問3〜6該当範囲

• 社内のLDAPサーバに大量のログイン試行のログがあり、調査を実施した結果、社内PCが攻撃メールからマルウェアに感染していた。
• 対策として、サーバへのアクセスを制限するための運用管理LANの新設などのセキュリティ設計の見直しを実施する。
• 社内機器への脆弱性修正プログラムの適用漏れに起因するインシデントを防ぐために脆弱性情報を効率的に収集・把握することを検討する。

[設問1]

CSIRT(Computer Security Incident Response Team)

コンピュータやネットワークに関する何らかの問題（主に情報セキュリティインシデント）が起きていないかを監視するとともに、問題が発生した際には原因や影響範囲の調査、対処の実施や改善策の検討を行う組織。

表1 番号2の次の手順の番号欄の記述より、aの内容に応じて、以下の２通りの対応に分かれます。

1. 6)完了 インシデントを記録して完了。
2. 3)調査依頼の検討　→　4)状況報告の検討　→　5)インシデントの対応指示
   →6)完了　インシデントを記録して完了。

上記の対応2では、インシデントに対する対応を行っており、対応1では対応は行わず記録のみで完了していることから、aはインシデント対応の要不要を指すことが分かります。

[答] 対応の要否

[設問2]

(1)

問題文中の以下のような記述より、IRTに報告すべきインシデントが明確に決まっていないことから、どんなインシデントが発生した時に連絡すべきかも従業員に伝わっていないことが分かります。従って、bには(IRT に)報告すべきインシデントの範囲が入ります。

• P.4最終行〜P.5先頭「A社IRTに報告すべきインシデントの範囲についても明確には定義していない」
• P.4 4行目「多くの従業員は、セキュリティポリシに規定されたA社IRTの機能を知らなかった上に、社内Webサイト上に"マルウェア観戦時の社内の連絡先"の表記があることから、A社IRTをマルウェア観戦時の報告先だと認識していた。」

[答] 報告すべきインシデントの範囲

(2)

表1のIRT運用手順の番号5作業内容欄より、「A社IRTは、予め定めた基準に従い、インシデントの全社への影響度に基づいて、インシデントの対応内容を決定し、必要な対応指示を行う」とあります。
これに対して、表2のIRTに関する問題点の対応指示手順では「表1の運用手順における対応指示手順と異なり、現状はインシデントを発見した事業部が独自に影響度を判断し、事業部の都合を優先させた対応を行っている。」とあるように本来の対応が取られておらず、事業部の都合が優先されていることが問題となっています。
従って、下線①はインシデントの全社への影響度に基づいてインシデントの対応内容を決定し、指示するための改善策となります。

[答] インシデントがA社全体に与える影響度に基づいた対応を指示するため

上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。