[問題文・解答]
平成26年度4月に実施された情報セキュリティスペシャリスト試験の午後2問題 問1の解説を2回に分けて行います。今回は1回目(前半)です。
平成26年度4月の情報セキュリティスペシャリスト 午後2試験の問題・解答はIPA公式ページからダウンロード出来ます。(以下リンク)
[H26春 午後2 問題文] [H26春 午後2 解答]
[問題概要]
題材は、クレジットカード業界のセキュリティ基準として知られるPayment Card Industryデータセキュリティ基準(PCI DSS)についてです。概要は以下の通りで、今回は前半部分の解説を行います。
(前半部分)P.3〜P.9 設問1〜2該当範囲
- 百貨店を展開するL社では、現在自社店舗でのみ利用できるクレジットカードを発行しているが、H社と提携した新しいカードの提供を予定しており、現行のクレジットカードサービスシステムの拡張・見直しを検討している。
- システム拡張にあたり、クレジットカードに関する情報を保護するセキュリティ基準として国際的に知られるPCI DSSに準拠するため現状の調査を実施する。
- 調査の結果、クレジットカード番号の取扱いについてPCI DSSに準拠していない(暗号化保存の未実施)ため、対策を検討する。
- ワイヤレスアクセスポイントの有無を定期的に確認していない点もPCI CSSに準拠していないため、対策を検討する。
- 新システム導入に合わせて現行のデータベース構造を見直し、PCI DSS準拠方針に従った更なるセキュリティ改善を計る。
[設問1]
P.6上段で「VIP会員担当は、特に電話の多い十数名のVIP会員からの質問や要望に迅速に応えるために、そういったVIP会員のPAN、会員名、過去の問合せ履歴などをPC内のVIPファイルというファイルに記録している。会員管理システムでも同様の記録の管理は可能であるが、VIP会員担当は、VIPファイルの方が使いやすいと感じており、VIP会員から電話があった際には、ときどき、VIPファイルを使用することもあった。」とあります。
この記述より業務上の利便性だけの為にVIP会員担当がPANを独自にVIPファイルとして保存し利用していることが分かります。この行為は、明らかに図3 PANの取扱方針の方針1.「業務上の利便性だけの理由による利用や保存も禁止する」に反しています。
この記述より業務上の利便性だけの為にVIP会員担当がPANを独自にVIPファイルとして保存し利用していることが分かります。この行為は、明らかに図3 PANの取扱方針の方針1.「業務上の利便性だけの理由による利用や保存も禁止する」に反しています。
[答] VIP会員担当がVIPファイルにPANを記録している点
[設問2]
(1)
保守課の行う各特別作業において、PANの参照が必要となるかどうかでDB中のPAN列の復号権限の必要可否が決まります。表2の保守課の業務概要欄で各特別作業の説明があります。
特別作業-1:暗証番号の変更作業では、PANをキーとして暗証番号を変更する行を検索するため、PANの参照は必須となり、復号権限を与えます。
特別作業-2:ステータスコードの確認作業では、決済処理番号をキーに検索を行い、ステータスコードの列を参照するのみなのでPANの参照は不要であり、復号権限は与えません。
[答] イ
特別作業-1:暗証番号の変更作業では、PANをキーとして暗証番号を変更する行を検索するため、PANの参照は必須となり、復号権限を与えます。
特別作業-2:ステータスコードの確認作業では、決済処理番号をキーに検索を行い、ステータスコードの列を参照するのみなのでPANの参照は不要であり、復号権限は与えません。
[答] イ
(2)
表2よりこれまでは、保守課の特別作業-2では不要なPAN情報が参照可能な状態となっていました。これは、図3 PANの取扱方針の方針1.「PANの業務上不要な利用や保存はしない」に十分に従っているとは言えません。
そこでPAN列を暗号化して保存し、保守課への復号化権限を付与しない事で特別作業-2をPANを表示しない状態で遂行できるようになり、より一層上記方針に従うことができます。
そこでPAN列を暗号化して保存し、保守課への復号化権限を付与しない事で特別作業-2をPANを表示しない状態で遂行できるようになり、より一層上記方針に従うことができます。
[答] 作業:ステータスコード確認作業 又は 特別作業-2
状態:PANを表示しない状態
状態:PANを表示しない状態
(3)
表3 方式1の詳細欄に「OSの利用者IDのログインに成功すると、ハードディスクの全てのデータがアクセス時に自動的に復号されるようになる」とあり、方式1ではOSの利用者ID(ユーザアカウント)とデータの復号キーが紐付けられる事が分かります。
図4 PCI DSS要件の3.4.1では、「復号キーがユーザアカウントと関連付けられてない。」となっており、方式1は明らかにこの要件に反しています。
図4 PCI DSS要件の3.4.1では、「復号キーがユーザアカウントと関連付けられてない。」となっており、方式1は明らかにこの要件に反しています。
[答] 方式名:方式1
項目番号:3.4.1
動作:OSへのログインの成功後のデータアクセス時の自動的なデータの復号
内容:復号キーがユーザアカウントと関連付けられていない。
項目番号:3.4.1
動作:OSへのログインの成功後のデータアクセス時の自動的なデータの復号
内容:復号キーがユーザアカウントと関連付けられていない。
(4)
図2 各DBの主なテーブル構造を見ると、会員管理DBではPANが主キーとなっています。また、図2の注釈には「主キーには索引が設定される」とあります。
一方、表3 方式3の詳細欄より「索引を設定した列は暗号化できない」とあるため、PANが主キーとなっている会員管理DBは、方式3による列ごとの暗号化は使用できません。
一方、表3 方式3の詳細欄より「索引を設定した列は暗号化できない」とあるため、PANが主キーとなっている会員管理DBは、方式3による列ごとの暗号化は使用できません。
[答] 主キーであるPANに索引が設定されており暗号化できないから
(5)
[設問2](3)の理由により、方式1はPCI DSS要件の3.4.1に反するため、使用は推奨されません。また、[設問2](4)の理由によりPANが主キーとなっているDBに関しては方式3は使用できないため、ポイントテーブル及び会員管理テーブルは方式2となります。決済集計テーブルとオーソリテーブルは方式3
[答] a) 方式3 b) 方式2 c) 方式3 d) 方式2
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。
0 件のコメント:
コメントを投稿