情報セキュリティマネジメント試験 過去問解説
SaaSとは?情報セキュリティマネジメント試験 科目B 問55を解説
情報セキュリティマネジメント試験 科目B 問55は、SaaSに関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
A 社は,SaaS 形式の給与計算サービス(以下,A サービスという)を法人向けに提供する,従業員 100 名の IT 会社である。A 社は,自社でも A サービスを利用している。A 社の従業員は,Web ブラウザで A サービスのログイン画面にアクセスし,A サービスのアカウント(以下,A アカウントという)の利用者 ID 及びパスワードを入力する。ログインに成功すると,自分の給与及び賞与の確認,パスワードの変更などができる。利用者 ID は,個人ごとに付与した不規則な 8 桁の番号である。ログイン時にパスワードを連続して 5 回間違えると A アカウントはロックされる。ロックを解除するためには,A サービスの解除画面で申請する。 A 社は,半年に 1 回,標的型攻撃メールへの対応訓練(以下,H 訓練という)を実施しており,表 1 に示す 20XX 年下期の H 訓練計画案が経営会議に提出された。 表1 20XX 年下期の H 訓練計画案(抜粋) 注記 偽解除サイトで入力された情報は,保存しない。A 社は,従業員の氏名,所属部門名及び A アカウントの情報を個人情報としている。 経営会議では,表 1 の計画案はどのような標的型攻撃メールを想定しているのかという質問があった。 設問 表 1 の計画案が想定している標的型攻撃メールはどれか。解答群のうち,最も適切なものを選べ。
この問題の出題ポイント
- SaaSの定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
選択肢
- ア従業員を A サービスに誘導し,A アカウントのロックが解除されるかを試行する標的型攻撃メール
- イ従業員を攻撃者が用意した Web サイトに誘導し,A アカウントがロックされない連続失敗回数の上限を発見する標的型攻撃メール
- ウ従業員を攻撃者が用意した Web サイトに誘導し,従業員の個人情報を不正に取得する標的型攻撃メール正解
- エ複数の従業員を A サービスに同時に誘導し,アクセスを集中させることによって,一定期間,A サービスを利用不可にする標的型攻撃メール
正解
ウ: 従業員を攻撃者が用意した Web サイトに誘導し,従業員の個人情報を不正に取得する標的型攻撃メール
解説
この訓練計画は,A サービスを装ったメールで「アカウントがロックされた」と偽り,攻撃者が用意した偽解除サイトへ誘導して氏名・所属・利用者 ID・パスワードを入力させる手口を模している。これらは A 社が個人情報と定めている情報であり,正規サービスではなく攻撃者側のサイトで詐取する点が要点なので,攻撃者の Web サイトへ誘導して従業員の個人情報を不正取得する標的型攻撃メールを想定しているとする選択肢ウが正解である。
なぜ他の選択肢が違うのか
ア
誘導先は A サービスそのものではなく,A サービスを装った偽解除サイトである。ロック解除の可否を試すのが目的でもないため,計画が想定する攻撃の説明として誤りである。
イ
計画は連続失敗回数の上限(5回)を探る内容を含んでおらず,入力させるのは氏名や ID・パスワードである。ロック条件の発見を狙う攻撃ではないので誤りである。
ウ(正解)
正しい。偽サイトで個人情報に当たる氏名・所属・利用者 ID・パスワードを入力させており,攻撃者の Web サイトへ誘導して個人情報を不正取得する標的型攻撃メールを正確に模している。
エ
アクセスを集中させて A サービスを利用不可にする内容は計画に含まれず,可用性を狙う DoS 型の攻撃でもないため,想定する攻撃の説明として誤りである。
解き方の整理
SaaSの問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。