テクニカルエンジニア（情報セキュリティ）平成20年度試験問題（午後1問4）

情報セキュリティスペシャリスト試験情報＞テクニカルエンジニア（情報セキュリティ）平成20年度試験メニュー＞問題と解説
　

テクニカルエンジニア（情報セキュリティ）平成20年度試験問題（午後1問4）

　
問4　ISMS構築時のリスクマネジメントに関する次の記述を読んで，設問1～4に答えよ。
　
　D社は，従業員数400名の通信販売会社であり，ISMSの認証取得を目指して，マネジメントシステムを構築中である。
　D社の情報システムには，全社共用サーバと部門サーバがある。全社共用サーバは情報システム部が運用管理しており，部門サーバは各部門が運用管理している。従業員は，各自のデスクトップPC又はノートPCを利用して社内業務を行っている。
　D社では，マネジメントシステムの構築に伴い，リスクマネジメントを実施することになり，技術的な検討を要する部分は，情報システム部のH主任とM君が担当することになった。次は，H主任とM君の会話である。
　
〔リスクマネジメントの実施手順〕

H主任：当社では，リスクマネジメントを実施する手順として，最初にリスクアセスメントを行い，次にリスク対応を行うことにしている。リスクアセスメントでは，まず，リスク分析を行い，次にリスク評価を行う。リスク分析では，情報資産の重要度，脅威及び脆(ぜい)弱性をレベルで表し，それぞれのレベルの積をリスク値として算定する。リスク評価では，リスク値が一定値を超えたものを対応すべきリスクとして決定する。

M君：対応すべきリスクとして決定されたものについては，どうするのですか。

H主任：対応すべきリスクに対して，個々に対応を検討していく。リスク対応には，四つの選択肢がある。第一に，適切な管理策を採用して，リスクを低減するという選択肢がある。第二に，リスクが組織の方針及びリスク［　　a　　］基準を満たす場合には，そのリスクを［　　a　　］するという選択肢がある。第三に，リスクの存在する状況から撤退することによって，リスクを［　　b　　］するという選択肢がある。第四に，関連する事業上のリスクを保険会社や供給者などの他者に［　　c　　］するという選択肢がある。
現時点でリスク評価までは完了しているので，次の段階では，リスクを低減する選択肢の中で，技術的な管理策を検討していこう。

　
〔技術的な管理策の検討〕

M君：対応すべきリスクとして，ノートPCを社外に持ち出す際の，紛失時，盗難時の情報漏えいが挙げられています。ノートPCには，ログインパスワードを設定していますが，それだけでは不十分なのでしょうか。

H主任：〔1〕ノートPCにログインしなくても，ハードディスクの内容を読み出す方法があるから，このままでは十分ではないね。ノートPCが紛失，盗難に遭った場合に情報が読まれてしまう可能性を低くするために，〔2〕技術的な管理策を採用すべきだろう。予算に余裕があれば，持出しが必要な情報だけを格納した，持出し専用のノートPCも導入したいね。
　

M君：対応すべきリスクとして，次に，外部記憶媒体への不正書出しが挙げられています。これはなぜでしょうか。社内規程では，外部記憶媒体への書出しを禁止しているので，リスクはないと思いますが。

H主任：実態としては，必ずしも社内規程が守られているとはいえないね。社内教育と内部監査で徹底する方法もあるが，強制的な方法も併せて考えた方がいい。強制的な方法として，外部記憶媒体を物理的に使えなくする方法もあるが，読込みができなくなると業務に支障が出る場合もあるので，ソフトウェアによって書出しだけを禁止する方法がいいだろう。

M君：対応すべきリスクとして，さらに，全社共用サーバに対する不正ログインが挙げられています。不正ログインのリスクに対しては，パスワードによる管理策を採用しています。全社共用サーバのOSでは，最短パスワード長を7文字に設定しているのですが。

H主任：それだけでは，不正ログインのリスクに対して不十分だ。パスワードに関してOSに設定すべき項目は，ほかにもある。リスクを低減するために設定項目を追加しよう。
　

M君：対応すべきリスクとして，部門サーバに対する不正ログインも挙げられています。部門サーバに対しても，全社共用サーバと同様に考えればいいのですね。

H主任：それだけでは十分とはいえない。全社共用サーバはサーバ室に設置してあり，物理的なアクセスは制限されているが，部門サーバは各部門の執務室に設置してあり，従業員ならだれでも物理的にアクセスできる。したがって，CDから起動されて，パスワードファイルにアクセスされてしまうリスクかあるね。

M君：しかし，部門サーバのOSでは，パスワードはハッシュ化されています。ハッシュ値からパスワードを復元することは，困難なのではないでしょうか。

H主任：パスワード候補のハッシュ値をあらかじめ計算し蓄えておいたテーブルを利用して，ハッシュ値からパスワードを特定する方法もある。例えば，小文字のアルファベットと数字で作成される7文字のパスワードの候補数は，［　　d　　］で表されるから，約780億通りになる。1秒間にパスワードを1万回試すことができるとすると，すべてのパスワードを試すには，約91日必要だ。ところが，テーブルがソート済みで2分探索法を利用できるとすると，テーブルのデータ数をNとして，最大比較回数は［　　e　　］＋1を超えない整数値になる。1回の比較に100ミリ秒かかるとしても，最大3.7秒で探索できることになる。

M君：なるほど。ただし，約780億通りだとすると，テーブルのサイズはかなり大きくなりそうですね。

H主任：そのとおりだ。パスワードとハッシュ値の一組当たりのサイズを30バイトとすると，全体で約2.4T（10¹²）バイトのテーブルになる。しかし，レインボーテーブルというテーブルを用いた攻撃では，ハッシュ値の計算を併用することによって，テーブルのサイズを抑えつつ，数秒から数分でほとんどのパスワードを解読できたという報告がある。

M君：それは危険ですね。では，どうしたらいいのでしょうか。

H主任：パスワードの情報だけでなく，ソルトという情報を付加してハッシュ値を計算することによって，ハッシュ値からパスワードを特定しにくくする方法を採用したOSを導入するのがいいだろう。しかし，すぐにはOSを変更できないので，当面は，鍵のかかる専用ラックに格納して，部門サーバへの物理的なアクセスを制限することにしよう。

　
　D社は，技術的な検討結果を踏まえて技術的な管理策を決定し，社内規程に反映させ，社内教育，内部監査などを実施した。その後，審査を受け，ISMSの認証を取得することができた。
　

　
設問1　本文中の［　　a　　］～［　　c　　］に入れる適切な字句を解答群の中から選び，記号で答えよ。
　
解答群

ア　移転イ　回避ウ　管理エ　拒否

オ　根絶カ　受容キ　譲渡ク　売却

　

 設問1の正解と解説へ
　
設問2　ノートPCの紛失時や盗難時の情報漏えいについて，(1)，(2)に答えよ。
　

(1) 　本文中の下線〔1〕の具体的な内容を，35字以内で述べよ。

(2) 　本文中の下線〔2〕の管理策による対応方法を，30字以内で述べよ。

　

設問2の正解と解説へ
　
設問3　外部記憶媒体への不正書出しについて，アプリケーションプログラムには変更を加えないで，外部記憶媒体への不正書出しをソフトウェアによって防ぐ方法を，40字以内で具体的に述べよ。
　

設問3の正解と解説へ
　
設問4　サーバに対する不正ログインについて，(1)～(3)に答えよ。
　

(1) 　本文中の［　　d　　］，［　　e　　］に入れる適切な数式を解答群の中から選び，記号で答えよ。
解答群

ア　7³⁶ イ　36⁷ ウ　₃₆C₇ エ　₃₆P₇

オ　log₂N カ　log₁₀N キ　Nlog₂N ク　Nlog₁₀N

　

(2) 　全社共用サーバのパスワードに関する設定において，不正ログイン対策としてOSに設定できる項目を，本文中に記載された最短パスワード長以外に三つ挙げ，それぞれ15字以内で答えよ。

(3) 　ソルトを使用するとハッシュ値からパスワードを特定しにくくなるのはなぜか。その理由を，40字以内で具体的に述べよ。

　

設問4の正解と解説へ
　
メニューへ戻る
　

　
　

H主任	：当社では，リスクマネジメントを実施する手順として，最初にリスクアセスメントを行い，次にリスク対応を行うことにしている。リスクアセスメントでは，まず，リスク分析を行い，次にリスク評価を行う。リスク分析では，情報資産の重要度，脅威及び脆(ぜい)弱性をレベルで表し，それぞれのレベルの積をリスク値として算定する。リスク評価では，リスク値が一定値を超えたものを対応すべきリスクとして決定する。
M君	：対応すべきリスクとして決定されたものについては，どうするのですか。
H主任	：対応すべきリスクに対して，個々に対応を検討していく。リスク対応には，四つの選択肢がある。第一に，適切な管理策を採用して，リスクを低減するという選択肢がある。第二に，リスクが組織の方針及びリスク［　　a　　］基準を満たす場合には，そのリスクを［　　a　　］するという選択肢がある。第三に，リスクの存在する状況から撤退することによって，リスクを［　　b　　］するという選択肢がある。第四に，関連する事業上のリスクを保険会社や供給者などの他者に［　　c　　］するという選択肢がある。現時点でリスク評価までは完了しているので，次の段階では，リスクを低減する選択肢の中で，技術的な管理策を検討していこう。

M君	：対応すべきリスクとして，ノートPCを社外に持ち出す際の，紛失時，盗難時の情報漏えいが挙げられています。ノートPCには，ログインパスワードを設定していますが，それだけでは不十分なのでしょうか。
H主任	：〔1〕ノートPCにログインしなくても，ハードディスクの内容を読み出す方法があるから，このままでは十分ではないね。ノートPCが紛失，盗難に遭った場合に情報が読まれてしまう可能性を低くするために，〔2〕技術的な管理策を採用すべきだろう。予算に余裕があれば，持出しが必要な情報だけを格納した，持出し専用のノートPCも導入したいね。
M君	：対応すべきリスクとして，次に，外部記憶媒体への不正書出しが挙げられています。これはなぜでしょうか。社内規程では，外部記憶媒体への書出しを禁止しているので，リスクはないと思いますが。
H主任	：実態としては，必ずしも社内規程が守られているとはいえないね。社内教育と内部監査で徹底する方法もあるが，強制的な方法も併せて考えた方がいい。強制的な方法として，外部記憶媒体を物理的に使えなくする方法もあるが，読込みができなくなると業務に支障が出る場合もあるので，ソフトウェアによって書出しだけを禁止する方法がいいだろう。
M君	：対応すべきリスクとして，さらに，全社共用サーバに対する不正ログインが挙げられています。不正ログインのリスクに対しては，パスワードによる管理策を採用しています。全社共用サーバのOSでは，最短パスワード長を7文字に設定しているのですが。
H主任	：それだけでは，不正ログインのリスクに対して不十分だ。パスワードに関してOSに設定すべき項目は，ほかにもある。リスクを低減するために設定項目を追加しよう。
M君	：対応すべきリスクとして，部門サーバに対する不正ログインも挙げられています。部門サーバに対しても，全社共用サーバと同様に考えればいいのですね。
H主任	：それだけでは十分とはいえない。全社共用サーバはサーバ室に設置してあり，物理的なアクセスは制限されているが，部門サーバは各部門の執務室に設置してあり，従業員ならだれでも物理的にアクセスできる。したがって，CDから起動されて，パスワードファイルにアクセスされてしまうリスクかあるね。
M君	：しかし，部門サーバのOSでは，パスワードはハッシュ化されています。ハッシュ値からパスワードを復元することは，困難なのではないでしょうか。
H主任	：パスワード候補のハッシュ値をあらかじめ計算し蓄えておいたテーブルを利用して，ハッシュ値からパスワードを特定する方法もある。例えば，小文字のアルファベットと数字で作成される7文字のパスワードの候補数は，［　　d　　］で表されるから，約780億通りになる。1秒間にパスワードを1万回試すことができるとすると，すべてのパスワードを試すには，約91日必要だ。ところが，テーブルがソート済みで2分探索法を利用できるとすると，テーブルのデータ数をNとして，最大比較回数は［　　e　　］＋1を超えない整数値になる。1回の比較に100ミリ秒かかるとしても，最大3.7秒で探索できることになる。
M君	：なるほど。ただし，約780億通りだとすると，テーブルのサイズはかなり大きくなりそうですね。
H主任	：そのとおりだ。パスワードとハッシュ値の一組当たりのサイズを30バイトとすると，全体で約2.4T（10¹²）バイトのテーブルになる。しかし，レインボーテーブルというテーブルを用いた攻撃では，ハッシュ値の計算を併用することによって，テーブルのサイズを抑えつつ，数秒から数分でほとんどのパスワードを解読できたという報告がある。
M君	：それは危険ですね。では，どうしたらいいのでしょうか。
H主任	：パスワードの情報だけでなく，ソルトという情報を付加してハッシュ値を計算することによって，ハッシュ値からパスワードを特定しにくくする方法を採用したOSを導入するのがいいだろう。しかし，すぐにはOSを変更できないので，当面は，鍵のかかる専用ラックに格納して，部門サーバへの物理的なアクセスを制限することにしよう。

ア　移転	イ　回避	ウ　管理	エ　拒否
オ　根絶	カ　受容	キ　譲渡	ク　売却

(1)	本文中の下線〔1〕の具体的な内容を，35字以内で述べよ。
(2)	本文中の下線〔2〕の管理策による対応方法を，30字以内で述べよ。