情報セキュリティマネジメント試験 過去問解説

選択とは?情報セキュリティマネジメント試験 科目B 問49を解説

情報セキュリティマネジメント試験 科目B 問49は、選択に関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。

アプリ形式でこの問題を解く 弱点分析・復習リマインダーを見る

問題文

A 社は,放送会社や運輸会社向けに広告制作ビジネスを展開している。A 社は,人事業務の効率化を図るべく,人事業務の委託を検討することにした。A 社が委託する業務(以下,B 業務という)を図 1 に示す。 ・採用予定者から郵送されてくる入社時の誓約書,前職の源泉徴収票などの書類を PDF ファイルに変換し,ファイルサーバに格納する。 (省略) 図1 B 業務 委託先候補の C 社は,B 業務について,次のように A 社に提案した。 ・B 業務だけに従事する専任の従業員を割り当てる。 ・B 業務では,図 2 の複合機のスキャン機能を使用する。 ・スキャン機能を使用する際は,従業員ごとに付与した利用者 ID とパスワードをパネルに入力する。 ・スキャンしたデータを PDF ファイルに変換する。 ・PDF ファイルを従業員ごとに異なる鍵で暗号化して,電子メールに添付する。 ・スキャンを実行した本人宛てに電子メールを送信する。 ・PDF ファイルが大きい場合は,PDF ファイルを添付する代わりに,自社の社内ネットワーク上に設置したサーバ(以下,B サーバという)に自動的に保存し,保存先の URL を電子メールの本文に記載して送信する。 図2 複合機のスキャン機能(抜粋) A 社は,C 社と業務委託契約を締結する前に,秘密保持契約を締結して,C 社を訪問し,業務委託での情報セキュリティリスクの評価を実施した。その結果,図 3 の発見があった。 ・複合機のスキャン機能では,電子メールの差出人アドレス,件名,本文及び添付ファイル名を初期設定 1)の状態で使用しており,誰がスキャンを実行しても同じである。 ・複合機のスキャン機能の初期設定情報はベンダーの Web サイトで公開されており,誰でも閲覧できる。 注 1) C 社の情報システム部だけが複合機の初期設定を変更可能である。 図3 発見事項 そこで,A 社では,初期設定の状態のままでは A 社にとって情報セキュリティリスクがあり,対策が必要であると評価した。 設問 対策が必要であると A 社が評価した情報セキュリティリスクはどれか。解答群のうち,最も適切なものを選べ。

この問題の出題ポイント

  • 選択の定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。

選択肢

  1. B 業務に従事する従業員が,B 業務に従事する他の従業員になりすまして複合機のスキャン機能を使用し,PDF ファイルを取得して不正に持ち出す。その結果,A 社の採用予定者の個人情報が漏えいする。
  2. B 業務に従事する従業員が,攻撃者からの電子メールを複合機からのものと信じて本文中にある URL をクリックし,攻撃者が用意した Web サイトにアクセスしてマルウェア感染する。その結果,A 社の採用予定者の個人情報が漏えいする。正解
  3. 攻撃者が,複合機から送信される電子メールを盗聴し,添付ファイルを暗号化して身代金を要求する。その結果,A 社が復号鍵を受け取るために多額の身代金を支払うことになる。
  4. 攻撃者が,複合機から送信される電子メールを盗聴し,本文に記載されている URL を SNS に公開する。その結果,A 社の採用予定者の個人情報が漏えいする。

正解

: B 業務に従事する従業員が,攻撃者からの電子メールを複合機からのものと信じて本文中にある URL をクリックし,攻撃者が用意した Web サイトにアクセスしてマルウェア感染する。その結果,A 社の採用予定者の個人情報が漏えいする。

解説

図3が示すリスクは「複合機が送るメールの差出人・件名・本文・添付ファイル名が初期設定のまま固定であり,その初期設定情報がベンダーの Web サイトで公開されている」点にある。攻撃者はこの公開情報を使って複合機からのメールとほぼ同一の偽メールを容易に作成でき,しかも大きい PDF の場合は本文に保存先 URL を記載する仕様なので,URL でマルウェアサイトへ誘導するなりすましメールが成立する。従業員が複合機からのメールと信じて URL をクリックしマルウェア感染する選択肢イが,この発見事項から導かれる最も適切なリスクである。

なぜ他の選択肢が違うのか

  • なりすまし利用は利用者 ID とパスワードでスキャン機能を使う点に関わるリスクであり,図3で指摘された「メール書式が初期設定で固定・公開」という事実とは無関係なので,今回評価したリスクには当たらない。

  • イ(正解)

    正しい。メール書式が固定で公開されているため攻撃者が複合機からのメールを精巧に偽装でき,本文の URL からマルウェアサイトへ誘導できる。従業員が正規メールと誤認してクリックし感染する流れが図3の発見事項と直結する。

  • PDF は従業員ごとに異なる鍵で暗号化されており,盗聴したファイルをさらに攻撃者が暗号化して身代金を要求するという筋書きは図3の固定・公開という論点と結び付かず,記述自体も不自然である。

  • URL を盗聴して SNS に公開しても,B サーバは社内ネットワーク上にあり社外からアクセスできないため個人情報漏えいには至らない。メール書式の固定・公開を突くリスクでもないので不適切である。

解き方の整理

選択の問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。

関連問題

科目B の関連する問題

問55 · 同じテーマ: 選択A 社は,SaaS 形式の給与計算サービス(以下,A サービスという)を法人向けに提供する,従業員 100 名の IT 会社である。A ...問57 · 同じテーマ: 選択A 社は従業員 600 名の投資コンサルティング会社である。東京の本社には,情報システム部,監査部などの管理部門があり,関西に B 支店...

科目Bの問題一覧 情報セキュリティマネジメント試験の解説一覧

復習を続ける

間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。

Pro機能を見る 情報セキュリティマネジメントアプリを開く