[解説]ITサービスマネージャ試験 2021年(令和3年)春期 午後1 問2  テーマ:情報セキュリティの管理

[解説]ITサービスマネージャ試験 2021年(令和3年)春期 午後1 問2  テーマ:情報セキュリティの管理

テーマ:情報セキュリティの管理

情報セキュリティインシデントの対応及び訓練計画の立案に関する、ITサービスマネージャとしての情報セキュリティ管理能力を問う問題。

出典:令和3年度 秋期 ITサービスマネージャ試験 午後1 問2

問題文のあらすじ

関東と九州の2拠点で生産を行っている精密機械製造会社B社でマルウェア感染のインシデントが発生する。

インシデント発生から初期対応、復旧手順の検討、九州拠点の副サーバを使って復旧作業行う。
また、復旧後にインシデントとインシデント対応について振り返り、改善策を検討する。

問題文の構成

  • 序文
  • [B社のシステム概要]
  • [情報セキュリティ対策の概要]
  • [情報セキュリティインシデントの発生]
  • [問題点と対策]

序文

  • B社は精密機械の製造販売を行っている。
  • 関東と九州に拠点がある。
  • 日曜の22:00から金曜の22:00まで生産
  • 生産部が生産計画と管理を行う

[B社のシステム概要]

  • 情報処理が「生産システム」「メールシステム」「IT機器構成管理システム」を運用。
  • 図1でシステム構成を図示
  • 表1システム概要を提示

図1 システム構成

  • 2拠点をVPNでつないでいる
  • 業務LANと保守LANがある
  • 生産サーバは正副2系統ある
  • バックアップサーバは九州工場の業務LAN上にある

表1 B社のシステム概要

  • 生産システムのオンライン処理
  • 生産システムのバックアップ運用
  • 保守LANでの生産システムプログラムテスト運用
  • 障害発生時のBCP対策として副サーバーを使用する運用
  • 構成管理システムの運用
  • 構成管理エージェントソフトと構成管理サーバーの関係
  • 保守LAN上のPCの構成情報更新の運用
  • 構成情報にOSセキュリティパッチ、マルウェア定義ファイル更新状況がある

などの情報が書かれています。

[情報セキュリティ対策の概要]

  • 情報セキュリティ管理課が登場。
  • 情報セキュリティサービスを提供するC社が登場。
  • C社のサービス内容
  • 図2でサーバのOSパッチの提供手順
  • 図3でPCののOSパッチの提供手順

図2 サーバのOSパッチの適用手順と図3 PCののOSパッチの適用手順

  • C社から最新のマルウェア定義が提供された時の対応が示されている。
  • 業務LANと保守LANでそれぞれ手順が異なる。
  • 業務LANは自動配信、保守LANは「OSパッチの入手と同じ方法」で入手、手動で適用する

[情報セキュリティインシデントの発生]

  • 2020年9月15(火)10:00にインシデント発生
  • 表2 今回インシデントの対応状況が示される

表2 今回インシデントの対応状況

インシデントの概要

  • 関東工場のPCを起点にランサムウェアに感染
  • 全サーバと全PCを業務LANから切り離す
  • C社の分析で「9月14日3:00公開の最新OSパッチ」適用で回避できることがわかる
  • 復旧計画を検討するも、正サーバに最新パッチを当てて復旧すると生産部が要請している時間に復旧できない
  • 災害時立ち上げ計画に基づいて副サーバでの稼働を検討し、経営の承認をえる
  • 復旧計画の作業を実施し、完了した

[問題点と対策]

  • 今回のインシデントを振り返る。
  • 表3現状の問題点と対策案(抜粋)で振り返り内容を提示

表3現状の問題点と対策案(抜粋)

設問1 [情報セキュリティインシデントの発生]について

設問1(1) 問題文

表2中の下線(ア)について、今回インシデントの対応として、副サーバ群を使って生産システムを稼働できる理由を40字以内で答えよ。
ただし、最新のOSパッチが副サーバー群に適用されていることは除く。

設問1(1) 解答例

業務LANに接続していない副サーバ群は、ランサムウェアに感染していないから。

設問1(1) ポイント解説

表1 B社のシステム概要「生産システム」の4項目目
(副サーバ群は)土曜日の日中を除いてLAN切替スイッチによって業務LANから切り離されており・・・と記載されています。
インシデントが起きたのは火曜日なので、副サーバ群は業務LAN上にいませんよね。
また、下線(ア)のあとに続く①~⑧の手順のうち、④で「LAN切替スイッチを使って保守LANを業務LANに接続する」とあります。
なので、保守LAN上の副サーバーを起動して、①~③の手順を踏んでから業務LANに接続する、ということがわかります。

業務LAN上にいない副サーバーはランサムの感染範囲外で健全、だから「副サーバー群を使って生産システムを稼働できる」となります。

設問1(2) 問題文

表2の[a]及び[b]には、通常の災害時立ち上げ計画の手順にはない作業で、今回のインシデントの対応として、バックアップサーバに必要な作業が入る。
(a)[a]には、マルウェア対策の作業が入る。作業の内容を40字以内で述べよ。
(b)[b]には、バックアップサーバを利用できるようにするための作業が入る。作業内容を20字以内で述べよ。

設問1(2)(a) 解答例

マルウェアに感染していないことを、最新のマルウェア定義で確認する。

設問1(2)(b) 解答例

業務LANに接続する。

設問1(2)(a)(b) ポイント解説

バックアップサーバーはインシデント発生時に業務LANに接続されていたので、マルウェア感染の恐れがあります。
いまは「全PCと全サーバを業務LANから切り離した」状態のため、バックアップサーバもLAN上にいません。
安全を確認したうえで業務LANに接続する必要があるので、aの手順は「マルウェア感染のチェック」であります。
そして、④以降の手順で保守LANを業務LANにつないでバックアップサーバからDB副サーバへバックアップのコピーをすることになっていることから、その前の手順として、bの手順として、バックアップサーバを業務LANに接続することになります。

設問2 [問題点と対策]

設問2(1) 問題文

表3中の下線(イ)について、現状を把握する方法を30字以内で述べよ。

設問2(1) 解答例

集計サーバへの送信情報から開封率を計算する。

設問2(1) ポイント解説

下線(イ)にある「現状」とは具体的になにを指しているかを探してみます。
対応する問題点には「添付ファイルを誤って開封してしまう社員がどのくらいの割合でいるか、現状を把握できていない」とありますよね。
ということは、「開封してしまう率を把握したい」ということになります。

図4不信メール対応訓練で、「開封した場合は、開封した社員のメールアドレス情報が自動で集計サーバーに送信される」とありますね。
集計サーバーの情報を使えば、開封してしまった社員の割合を知ることができます。

設問2(2) 問題文

表3の[c]に入れる適切な字句を15字以内で答えよ。

設問2(2) 解答例

構成管理システムの構成情報

設問2(2) ポイント解説

表1B社のシステム概要、構成管理システムの項目に「構成情報にはOSパッチの適用状況・・・」とあるので、解答にはたどり着きやすいと思います。
ちょっと謎なのは、セキュリティ課は情報システム部内にあるに、なぜ構成管理システムにすでにあるOSパッチの適用情報をいままで使っていなかったのか?ということですが・・・
考え出すと深みにハマりそう、なので、ここは素直に「OSパッチの適用状況は構成管理システムで確認すれば良い」と考えましょう。

設問2(3) 問題文

表3の[d]には、バックアップサーバのデータが利用できなく事態を想定した対策が入る。
対策の内容を50字以内で述べよ。

設問2(3) 解答例

バックアップを外部記憶媒体に複写し、業務LANからアクセスできない場所に保管する。

設問2(3) ポイント解説

要するに、バックアップをオフラインで保管しておけばよい、ということなのですが、「50字以内」と言われているので、このままでは解答文字数が少ないですよね。
何を使って、どのように保管するかを詳しく書く必要がある、と考えて情報を増やします。

外部記憶媒体にコピーするということと、業務LANからアクセスできない場所、といった具体的な情報を記載して解答を作ります。

以上