情報セキュリティスペシャリスト試験午後Ⅱ問題??(1)
悪夢の続き-「問題に関する質問にはお答えできません」
(このお話はフィクションです。実在の人物や団体などとは関係ありません。)
セキュリティインシデント対応に関する次の記述を読んで、設問に答えよ。
J社は電子機器製造会社である。J社は中国に販売会社K社を設立し、製品を販売している。K社は社員50人程度で、WebサイトPを通して製品を販売している。
[セキュリティインシデントの発生]
K社のWebサイトの利用者が、WebサイトPの中のリンクアドレスが不正なサイトQに変わっていることに気が付き、サイト管理者宛に電子メールで連絡した。
サイト管理者はリンクアドレスが改ざんされていることを確認した。
また、その同じ日に、K社営業担当者が、中国の掲示板サイトに顧客情報が掲載されていることに気が付き、サイト管理者に連絡した。
[セキュリティインシデントのK社初動対応]
サイト管理者は掲載されている顧客情報がサイト利用者の個人情報であることを確認し、これらの事実について、IT部門、営業部門、経営陣に報告した。
K社経営陣は、J社に対して報告義務があることを認識し、J社のIT部門、法務部門、経営陣に報告した。
[セキュリティインシデントのJ社初動対応]
J社経営陣は、K社にはこのインシデントに対応するための人的資源が足りないことを認識しており、IT部門のB部長に問題への対応を指示した。
指示を受けたB部長は、K社IT部門に対し、WebサイトPのサービス停止を指示した。また、K社経営陣に対し、掲示板サイト管理会社に、掲載された顧客情報の削除を依頼するように指示した。また、IT部門のA課長に、セキュリティインシデント対応チームのリーダーとして対応するよう指示した。
A課長は、状況の確認のため、J社関係者とK社関係者を集め、テレビ会議を行った。
[CSIRT(Security Incident Response Team)の活動開始]
B部長は、最初の状況確認会議のJ社側出席者であるC主任、Dさん、E主任、Fさんに、セキュリティインシデント対応チームメンバーとして対応することを指示した。A課長はK社IT部門に、Webサイトに関するログをすべて送るように求め、CSIRTにログの解析を行うように指示した。その後、B部長とA課長はK社に赴き、現場で被害状況・運用管理状況調査を行うことにした。
[WebサイトPの状況]
WebサイトPは、半年前に公開を始めた。WebサイトPの構築・管理はK社が契約した業者が行っていた。Webアプリケーション開発はK社IT部門のLさんが担当し、開発委託されたM社が行った。公開前にJ社の脆弱性検査を受け、大きな問題がないことが確認されていた。開発終了後、担当者のLさんはK社を去っていた。
[本インシデントの関係者]
本インシデントの関係者は下記の通りである。
J社
経営陣
法務部門
IT部門 (B部長、A課長、C主任、Dさん、E主任、Fさんを含む)
K社
経営陣
営業部門 (営業担当者を含む)
IT部門 (サイト管理者、Lさんを含む)
WebサイトPの構築・管理委託業者
WebサイトPのアプリケーション開発M社
WebサイトPの利用者
掲示板サイト管理会社
[本インシデントに関係するサイト]
WebサイトP
不正なサイトQ
掲示板サイト
(次回に続く)
情報セキュリティスペシャリスト試験午後Ⅱ問題って本当に長いですね。
いつになったら設問に行きつくのかとよく思いました。
ここまでお読みいただき、ありがとうございました。