情報セキュリティマネジメント試験　科目Bサンプル問題（2022年4月25日掲載）問1　解説

今回は、情報セキュリティマネジメント試験科目Bサンプル問題2022年4月25日掲載、問1解説をお送りします。

科目Bというと、問題文や設問がA4用紙2枚3枚分もあって、ちょっと長いので、あぁ何かややこしいな難しそうだなと特に最初のうちは思うかもしれません。しかし、この情報セキュリティマネジメント試験の勉強を進めるうちに非常に具体的なケーススタディであるので、少しずつ楽しんで解くことができるようになります。

今回の問題はもし標的型攻撃にある部署が襲われたらという想定で訓練をしました。さて、その訓練の結果はというお話なので、ぜひ少しでも楽しみながら解いていきましょう。

※動画で解説を視聴したい方は、以下のYouTubeをご覧ください。

1 情報セキュリティマネジメント試験　科目Bサンプル問題（2022年4月25日掲載）問1
2 情報セキュリティマネジメント試験　科目Bサンプル問題（2022年4月25日掲載）問1 解説
3 まとめ

情報セキュリティマネジメント試験　科目Bサンプル問題（2022年4月25日掲載）問1

A社は，スマートフォン用のアプリケーションソフトウェアを開発・販売する従業員100名のIT会社である。A社には，営業部，開発部，情報システム部などがある。情報システム部には，従業員からの情報セキュリティに関わる問合せに対応する者（以下，問合せ対応者という）が所属している。

A社は，社内の無線LANだけに接続できるノートPC（以下，NPCという）を従業員に貸与している。A社の従業員は，NPCから社内ネットワーク上の共有ファイルサーバ，メールサーバなどを利用している。A社の従業員は，ファイル共有には，共有ファイルサーバ及びSaaS型のチャットサービスを利用している。

A社は，不審な点がある電子メール（以下，電子メールをメールといい，不審な点があるメールを不審メールという）を受信した場合に備えて，図1の不審メール対応手順を定めている。

【メール受信者の手順】

1 メールを受信した場合は，差出人や宛先のメールアドレス，件名，本文などを確認する。

2 少しでも不審メールの可能性がある場合は，添付ファイルを開封したり，本文中のURLをクリックしたりしない。

3 少しでも不審メールの可能性がある場合は，問合せ対応者に連絡する。

【問合せ対応者の手順】（省略）

図1 不審メール対応手順

ある日，不審メール対応手順が十分であるかどうかを検証することを目的とした，標的型攻撃メールへの対応訓練（以下，A訓練という）を，営業部を対象に実施することがA社の経営会議で検討された。営業部の情報セキュリティリーダであるB主任が，マルウェア感染を想定したA訓練の計画を策定し，計画は経営会議で承認された。

今回のA訓練では，PDFファイルを装ったファイルをメールに添付して，営業部員1人ずつに送信する。このファイルを開くとPCが擬似マルウェアに感染し，全文が文字化けしたテキストが表示される。B主任は，A訓練を実施した後，表1に課題と解決案をまとめて，後日，経営会議で報告した。

設問表1中の 【 a 】に入れる字句はどれか。解答群のうち，最も適切なものを選べ。

解答群

ア注意喚起するために，同じ部の全従業員のメールアドレスを宛先として，添付ファイルを付けたまま，又は本文中のURLを記載したまま不審メールを転送する。

イ注意喚起するために，全従業員への連絡用のメーリングリスト宛てに添付ファイルを付けたまま，又は本文中のURLを記載したまま不審メールを転送する。

ウ添付ファイルを付けたまま，又は本文中のURLを記載したまま不審メールを共有ファイルサーバに保存して，同じ部の全従業員がアクセスできるようにし，メールは使わずに口答，チャット，電話などで同じ部の全従業員に注意喚起する。

エ問合せ対応者の指示がなくても，不審メールを問合せ対応者に転送する。

オ問合せ対応者の指示に従い，不審メールを問合せ対応者に転送する。

情報セキュリティマネジメント試験　科目Bサンプル問題（2022年4月25日掲載）問1 解説

問題文の第1段落～第5段落

最初の段落では、このA社の組織全体の説明が書いてあります。

続いて2番目の段落では、A社の社内でどのようなネットワークを使っているか、ということが書かれています。

3番目の段落があり、つづく「図1 不審メール対応手順」では、非常にオーソドックスな内容の手順が書かれています。問い合わせ対応者の手順は省略ということですね。

つづく、「ある日，不審メール対応手順が～」から始まる段落では、営業部の情報セキュリティリーダであるB主任が，マルウェア感染を想定したA訓練の計画を策定し，計画は経営会議で承認されたことが記載れています。

その次の段落では、今回のＡ訓練の詳細が書かれています。それによれば、B主任があたかも、ドッキリの仕掛け人みたいな形で　この訓練を実施したわけですね。

要は　このB主任以外の営業部員は全員訓練と知らされずに不審なメールが送られてきたと
ではその結果はどうなったのでしょうか。それが続く「表1　課題と解決案」に書かれています。

「表1　課題と解決案」

まず、課題1の課題をチェックしましょう。

不審メールだと気づいた営業部員が注意喚起するために、部内の連絡用のメーリングリスト宛てに添付ファイルを付けたまま転送している

とありますが、これは当然よくないですね。

注意喚起はいいと思うのですが、添付ファイル、つまり怪しいメールを付けたままだと誰かがクリックして、かえってウイルスの感染などを拡散させてしまうおそれがあります。

つづいて解決策です。

不審メール対応手順の【メール受信者の手順】の3を”少しでも不審メールの可能性がある場合は、問い合わせ対応者に連絡した上で【a】”に修正する。

この現在のメール受信者の手順3は少しでも不審メールの可能性がある場合は問い合わせ対応者に連絡するとなっていました。

ですので、今後は連絡した後に何かをするというのを付け加えるわけですね。

設問

それでは、表1中の【a】に入れる字句はどれが適当か、回答群を見ていきましょう。

ア　注意喚起するために、同じ部の全従業員のメールアドレスを宛先として添付ファイルを付けたまままたは本文中のURLを記載したまま不審メールを転送する。

これはダメですね。こういった不審ファイルやあるいは不審なURLを付けたまま転送すると先ほど申し上げた通り、かえってそれをクリックしたりする人が出てきます。却ってウイルスの拡散を広めてしまいます。よってアは　不適切です。

イ。注意喚起するために全従業員への連絡用のメーリングリスト宛てに添付ファイルを付けたまままたは本文中のURLを記載したまま不審メールを転送する。

今度は全従業員への連絡用のメーリングリストとなっていますが、これも当然ダメです。全従業員に不審なファイルあるいは不審なURLがいってしまうので同じですね。イも不適切です。

ウ　添付ファイルをつけたまま　または本文中のURLを記載したまま、不審メールを共有ファイルサーバーに保存して同じ部の全従業員がアクセスできるようにし、メールは使わずに口頭やチャット、電話などで同じ部の全従業員に注意喚起する。

口頭チャット電話などメールを使わずに注意喚起したのは悪くはありません。しかし、共有ファイルサーバーにこの添付ファイルをつけたまま、あるいはURLを記載したまま不審メールを保存するのは、これは他のメンバーが不審なURLや添付ファイルにアクセスできるため不適切ですね。よってウも×。

エ　問い合わせ対応者の指示がなくても、不審メールを問い合わせ対応者に転送する。

この不審メールを問い合わせ対応者に転送するのは、最終的にはこの人に送らなきゃいけないので、これは良いんですが、この問い合わせ対応者の指示がなくてもという部分が良くないですね。あくまで問い合わせ対応者も人間ですから、何らかのミスをすることはあります。ですので、問い合わせ対応者の方から不審メールを送ってください。転送してくださいとの指示があってから確実に送る。何も言わずに送ると問い合わせ対応者もうっかりその添付ファイルをクリックしたりURLをクリックしたりすることがないとも限りません。よって、エも不適切です。