[平成２６年度春] 午後2 問1 解説②

[問題文・解答]

平成２６年度４月に実施された情報セキュリティスペシャリスト試験の午後２問題 問１の解説を２回に分けて行います。今回は２回目（後半）です。
平成２６年度４月の情報セキュリティスペシャリスト 午後２試験の問題・解答はIPA公式ページからダウンロード出来ます。（以下リンク）
[H26春 午後2 問題文]　　　[H26春 午後2 解答]

[問題概要]

題材は、クレジットカード業界のセキュリティ基準として知られるPayment Card Industryデータセキュリティ基準(PCI DSS)についてです。

概要は以下の通りで、今回は後半部分の解説を行います。
（前半部分）P.3〜P.9　設問1〜2該当範囲

• 百貨店を展開するL社では、現在自社店舗でのみ利用できるクレジットカードを発行しているが、H社と提携した新しいカードの提供を予定しており、現行のクレジットカードサービスシステムの拡張・見直しを検討している。
• システム拡張にあたり、クレジットカードに関する情報を保護するセキュリティ基準として国際的に知られるPCI DSSに準拠するため現状の調査を実施する。
• 調査の結果、クレジットカード番号の取扱いについてPCI DSSに準拠していない（暗号化保存の未実施）ため、対策を検討する。

（後半部分）P.10〜P.12　設問3〜4該当範囲

• ワイヤレスアクセスポイントの有無を定期的に確認していない点もPCI CSSに準拠していないため、対策を検討する。
• 新システム導入に合わせて現行のデータベース構造を見直し、PCI DSS準拠方針に従った更なるセキュリティ改善を計る。

[設問3]

(1)

P.4上段に「L社のセキュリティポリシによって、ハウスカードサービスのシステムを含め、全システムで、無線LANの利用が禁止されている。」とあるため、通常の運用ではワイヤレスアクセスポイントは設置されていないはずです。ただし、例えば従業員が個人の利便性目的や情報の漏えいを目的として敢えてセキュリティポリシに反してワイヤレスアクセスポイントを設置する可能性も考えられます。従って、定期的なワイヤレスアクセスポイントの有無確認は必要となります。
[答] セキュリティポリシに反してワイヤレスアクセスポイントが設置されること

(2)

図5 3.使用PC、検査対象無線LAN規格、使用ソフトウェアで「無線LAN規格：IEEE802.11b/g」となっていることからIEEE802.11a、IEEE802.11n、IEEE802.11acなどは検査されていないことが分かります。

[答] 5GHz帯　又は　IEEE802.11a

[設問4]

(1)

表2 会員サポート課の業務概要覧によると「会員と特定するために受付時にPAN、会員名、住所を聞き、会員管理システムでPANをキーとして検索し、本人であることを確認の上、〜」とあることから、現状の業務では電話受付時の会員特定のためにPANを使用している事が分かります。
クレジットカードにお客様コードを新たに表記し、会員管理DBの主キーをお客様コードに変更すると、会員管理DBの索引がお客様コードとなるためPANではなくお客様コードからの会員検索・特定が可能となります。この変更により図3 PANの取扱方針の方針1.「PANの業務上不要な利用や保存はしない」により準拠した業務手順となります。
[答] 電話受付時の会員の特定をPANではなくお客様コードで行うように改善できる。

(2)

変換DBを作成し、PANとお客様コードを相互に関連づける事でPANが主キーとなっているテーブルでPANとお客様コードを入れ替えることが出来ます。
現状PANが主キーとなっているポイントDBと会員管理DBでは、PANの部分をお客様コードに入れ替えても業務上支障はありません。

[答] f) お客様コード、ポインタ値、最終更新日時
　　g) お客様コード、会員名、住所、電話番号、性別

上記の解説は問題と解答を元に自分なりの考え方を記述しており、間違っている部分もあるかと思いますので、ご了承願います。また、誤りについては正しい考え方をご指摘・ご教授頂けると助かります。