情報処理安全確保支援士 2012年 秋期 午後1 問02
ログの管理に関する次の記述を読んで、設問1〜3に答えよ。
H社は、200名が勤務する高級化粧品の訪問販売会社である。H社では、顧客の連絡先、訪問記録、購買履歴などの個人情報を管理する顧客管理システム(以下、Bシステムという)を利用している。Bシステムを利用しているのは、営業部の1課〜5課に所属する140名である。そのうち、営業を行っている120名は個人情報にアクセスする権限をもち(以下、有権限者という)、担当顧客の情報を記録、参照している。残りの20名は、売上状況などを集計するためだけにBシステムを利用しているので、個人情報にアクセスする権限をもたない(以下、無権限者という)。各営業部員は貸与された端末を社内で利用している。
最近、H社の同業他社であるC社において、顧客の個人情報がシステムから漏えいするという事件があった。そこでH社では、情報システム部のD部長が中心となって個人情報漏えい対策を強化することになった。D部長は、対策の検討に当たって部下のE課長に対し、H社のシステムの中で最も多くの個人情報を保有しているBシステムのアクセス管理の状況を確認するように指示した。
E課長は、Bシステムの利用者IDの管理状況を調査した。その結果、次の点を確認することができた。
・利用者IDの登録、変更及び削除は、申請に基づいて実施している。
・3か月ごとに利用者IDと利用者名の一覧を営業部の各課長に提示の上、業務上の必要性について確認している。なお、利用者IDと利用者は1対1に対応している。
・Bシステムのログを取得し、3年間保存している。
E課長がこれらの調査結果をD部長に報告したところ、D部長から、“利用者IDの管理状況は分かったが、それだけではBシステムの利用が適切に行われているという保証にはならない。個人情報漏えいにつながるような不審な利用がないか、その予兆も含めて、ログを分析して確認するプロセス(以下、そのプロセスをモニタリングという)が必要である”と指摘された。
〔モニタリングの検討〕
指摘を受けたE課長は、まず、Bシステムで取得しているログの種類を確認し、表1にまとめた。
次に、E課長は、Bシステムへのアクセスのうち、不審な利用及びその予兆とするものを表2にまとめた。
続いて、E課長は、①営業部のF部長にヒアリングを行い、ログから不審な利用者IDを抽出するための条件(以下、モニタリング条件という)を検討し、表3にまとめた。
保存されているログを表3のモニタリング条件で分析したところ、どの条件に合致する利用者IDも見つからなかった。E課長は、F部長へのヒアリング結果とログの分析結果をD部長に報告した。
報告を受けたD部長は、今後も表3の条件でモニタリングを行うように指示した。E課長は、継続的にモニタリングを行うには、機械処理が必要と考え、ツールの開発を始めた。ツールの開発では、まず、モニタリング条件が、具体的かつ機械処理が可能なものになっていることを確認した。さらに、Bシステムのモニタリング手順を図1にまとめた。
〔モニタリングの実施〕
Bシステムのモニタリング手順をまとめてから2週間後にツールが完成し、ツールによるモニタリングを開始した。D部長は、③モニタリングの実施を社内に通達するよう指示した。ただし、④モニタリング条件はセキュリティ上の懸念から開示しないよう指示した。
モニタリングを開始してから3か月後に、化粧品の専門知識をもった従業員4名が、商品部から営業部1課に異動になった。4名は、全ての顧客を対象として、顧答の購買履歴を基に、電話又は電子メールでアフターケアをする新サービスを担当することになった。4名は、新サービスを行うために、1人当たり毎週200回近く個人情報にアクセスすることになった。その結果、4名は表3のモニタリング条件2に該当し、業務目的のアクセスであるにもかかわらず、営業部1課の課長が毎週ヒアリングを受けることになってしまった。そこでE課長は、条件2の利用成功回数のしきい値を50回から200回に引き上げることをD部長に提案した。
提案を受けたD部長は、⑤条件2の利用成功回数のしきい値を引き上げると、適切なモニタリングができなくなるので、再度検討するようにE課長に指示した。E課長は再検討の結果、改善案として、表3に示すモニタリング条件2を、表4に示す新たなモニタリング条件2で置き換えることを提案した。
D部長は、当分はこの改良を加えたモニタリングを実施することを了承した。さらに、D部長は、“営業部の業務は今後も変化していくと考えられる。今回は、ヒアリングの実施件数が急増したことでモニタリング条件を見直すことになったが、モニタリング条件の見直しをせずにいると、モニタリングが有効に機能しなくなったり、非効率になったりすることがある”として、E課長に対し、⑥モニタリングの有効性と効率性を維持するための施策を検討するように指示した。
その後、H社ではその施策を踏まえたモニタリングを継続して実施している。
設問1:モニタリングの検討について、(1)〜(3)に答えよ。
(1)本文中の下線①を行わなかった場合に、表3を作る上でどのような情報が不足すると考えられるか。25字以内で具体的に述べよ。
模範解答
個人情報へのアクセス頻度の上限のような具体的な値
解説
解答の論理構成
- 【問題文】には、モニタリング条件策定の前提として「①営業部のF部長にヒアリングを行い、ログから不審な利用者IDを抽出するための条件(以下、モニタリング条件という)を検討し、表3にまとめた。」とあります。
- 表3の各条件には「ログイン失敗が3回以上」「8000番台の機能の利用成功回数が50回を超えた」など、具体的なしきい値が設定されています。
- これらのしきい値は、営業部の通常業務で許容されるアクセス量を把握していなければ決められません。ヒアリングを行わなければ業務実態が分からず、
• 何回以上のアクセスが“異常”と見なせるのか
• どの時間帯の利用が“想定外”なのか
といった基準値を設定できないため、モニタリング条件そのものが作成できません。 - したがって、①を省略すると「個人情報へのアクセス頻度の上限のような具体的な値」が不足すると結論づけられます。
誤りやすいポイント
- “ヒアリングしないと不審利用のパターンが分からない”とだけ書き、数値化された基準が欠ける点を示さない。
- “F部長の承認”や“利用目的”と記述し、アクセス回数・頻度という定量情報に言及しない。
- 表3の例(50回など)をそのまま引用せず抽象的に「条件を決められない」とだけ述べる。
FAQ
Q: しきい値が無くても機械学習で異常検知すれば良いのでは?
A: 本問は既に取得済みのログを「具体的かつ機械処理が可能な条件」で分析する方針です。しきい値のない異常検知は設計方針外です。
A: 本問は既に取得済みのログを「具体的かつ機械処理が可能な条件」で分析する方針です。しきい値のない異常検知は設計方針外です。
Q: 50回や3回という数値は誰が決めたのですか。
A: 「①営業部のF部長にヒアリングを行い」業務実態(通常のアクセス頻度)を把握したうえで設定しています。
A: 「①営業部のF部長にヒアリングを行い」業務実態(通常のアクセス頻度)を把握したうえで設定しています。
Q: 具体的なしきい値が無くなると何が困るのですか。
A: モニタリング条件が曖昧になり、機械処理で自動抽出できず、過検知・見逃しの両方が発生します。
A: モニタリング条件が曖昧になり、機械処理で自動抽出できず、過検知・見逃しの両方が発生します。
関連キーワード: ログ分析、しきい値設定、モニタリング条件、アクセス頻度、ヒアリング
設問1:モニタリングの検討について、(1)〜(3)に答えよ。
(2)表3中のaに入れる条件とは何か。具体例を一つ挙げ、25字以内で述べよ。
模範解答
a:8000番台の機能の利用失敗回数が1回以上
解説
解答の論理構成
- 【問題文】表2「エ:無権限者が、自分の利用者IDを用いて、個人情報へのアクセスを試みる。」が抽出対象です。
- 個人情報は【問題文】表1にある「8000番台の機能(1000~9999のうち)」で操作されます。
- 無権限者が個人情報を参照しようとすると、権限不足のため「ログインとログアウト以外の機能の利用失敗」が記録されます。
- したがって、無権限者の不正試行を検知するには「8000番台の機能の利用失敗」を監視すればよいことになります。
- 週次モニタリングで一度でも失敗があれば要確認なので、a には「8000番台の機能の利用失敗回数が1回以上」が入ります。
誤りやすいポイント
- 「ログイン失敗」と混同しやすい
無権限者は認証には成功しているため、見るべきは機能利用の失敗ログです。 - “回数”のしきい値設定
無権限者のアクセスは1回でも問題なので、誤って複数回に設定すると見逃しリスクが高まります。 - 8000番台=個人情報機能であることの読み落とし
問題文中の「機能番号(1000~9999)」の説明を見落とすと番号帯を誤解しがちです。
FAQ
Q: なぜ成功ログではなく失敗ログを見るのですか?
A: 無権限者は機能を実行する権限がないため、実行すると失敗ログが必ず残るからです。
A: 無権限者は機能を実行する権限がないため、実行すると失敗ログが必ず残るからです。
Q: 8000番台以外の失敗ログは対象外ですか?
A: はい。個人情報に関わらない機能の失敗は本設問の目的外なので対象外です。
A: はい。個人情報に関わらない機能の失敗は本設問の目的外なので対象外です。
Q: しきい値を1回に設定すると誤検知が増えませんか?
A: 無権限者はそもそもアクセス権がないため1回でも重大です。ヒアリングで正当性を確認する運用が想定されています。
A: 無権限者はそもそもアクセス権がないため1回でも重大です。ヒアリングで正当性を確認する運用が想定されています。
関連キーワード: アクセス制御、ログ分析、モニタリング、しきい値管理
設問1:モニタリングの検討について、(1)〜(3)に答えよ。
(3)図1中の下線②について、調査の対象とする従業員を端末IDで特定しようとするのはどのイベントの場合か。表1中のイベントから選べ。
模範解答
ログイン失敗
解説
解答の論理構成
- 調査対象を端末IDで特定する場面
- 問題は「図1中の下線②について、調査の対象とする従業員を端末IDで特定しようとするのはどのイベントの場合か」と問うています。
- 端末IDを手がかりにせざるを得ないのは、「利用者IDが B システムに登録されていない場合」です。
- 「利用者IDが登録されていない」可能性があるログ
- 表1を見ると
・「ログイン失敗」には「ログインしようとした利用者ID」
・他の 4 つのイベントには「利用者ID」
が記録されます。 - 「ログインしようとした利用者ID」は入力値をそのまま保存するので、存在しないIDが含まれる可能性があります。
- 対して、「利用者ID」が記録されるイベントは、認証または権限チェックを通過しているため、いずれも B システムに登録済みの ID です。
- 表1を見ると
- 以上より
- 未登録IDがログ中に現れる可能性があるのは表1の「ログイン失敗」のみ。
- 従って、このイベントでのみ端末IDから従業員を特定する必要が生じます。
結論:「ログイン失敗」
誤りやすいポイント
- 「ログインとログアウト以外の機能の利用失敗[ 1 ]」も失敗だから未登録IDだと勘違い
→ このイベントに記録されるのは既にログイン済みの「利用者ID」であり、未登録IDは入り得ません。 - 成功・失敗の成否で判断してしまう
→ 問題は成否ではなく「登録の有無」。失敗でも登録IDが記録されるケースがある点に注意が必要です。 - 図1の文章を丸暗記してしまい、ログの内容まで確認しない
→ 表1の「ログインしようとした利用者ID」という文言の有無が決定的です。
FAQ
Q: 失敗系イベントは全て未登録IDの可能性があるのでは?
A: 表1の「ログインとログアウト以外の機能の利用失敗[ 1 ]」は、既に認証済みのセッション内で発生するため登録済みIDが入ります。未登録IDが入るのは「ログイン失敗」だけです。
A: 表1の「ログインとログアウト以外の機能の利用失敗[ 1 ]」は、既に認証済みのセッション内で発生するため登録済みIDが入ります。未登録IDが入るのは「ログイン失敗」だけです。
Q: もし辞めた従業員のIDで成功イベントが残っていたら?
A: 3 か月ごとの利用者ID棚卸しで不要IDは削除しているため、成功イベントに退職者のIDが現れることは想定されていません。
A: 3 か月ごとの利用者ID棚卸しで不要IDは削除しているため、成功イベントに退職者のIDが現れることは想定されていません。
Q: 端末IDから従業員を突き止める方法以外に備えておくべき対策は?
A: 端末貸与台帳との突合せや、端末ごとの利用者制限(AD ポリシ)を実装しておくと調査が迅速になります。
A: 端末貸与台帳との突合せや、端末ごとの利用者制限(AD ポリシ)を実装しておくと調査が迅速になります。
関連キーワード: 認証ログ、端末ID, アクセス監査、ログイン試行、不正アクセス
設問2:モニタリングの実施について、(1)〜(4)に答えよ。
(1)本文中の下線③について、どのような効果があると考えられるか。20字以内で述べよ。
模範解答
悪意ある行動を抑止する効果
解説
解答の論理構成
- 文章中で、D部長は「③モニタリングの実施を社内に通達する」よう指示しています。
- 通達=従業員に知らせる行為であり、システム操作が監視対象であることを全員が認識します。
- 監視を自覚すると、不正行為の発覚リスクが高まると従業員が感じるため、
・不正アクセス
・過剰な個人情報閲覧
などの行動を控える心理的効果が生じます。 - 以上より、③の狙いは“不正を未然に防ぐ”ことであり、模範解答「悪意ある行動を抑止する効果」となります。
誤りやすいポイント
- 「通達=技術的対策」と早合点し、監視精度や自動化に関する効果を書いてしまう。
- 「社内へ周知する=作業効率向上」だけを取り上げ、抑止というセキュリティ視点を忘れる。
- モニタリング条件を開示しない点(④)と混同し、「通達によって条件を共有できる」と誤解する。
FAQ
Q: 通達せずに密かに監視した方が検出率は高まりませんか?
A: 検出はできても抑止力が働かず、不正が起こってから対処する受動的な対応になります。通達は未然防止に効果的です。
A: 検出はできても抑止力が働かず、不正が起こってから対処する受動的な対応になります。通達は未然防止に効果的です。
Q: 通達する際、モニタリング条件もセットで知らせるべきでは?
A: 条件まで知らせると回避策を立てられる恐れがあります。文中でも「④モニタリング条件はセキュリティ上の懸念から開示しない」としており、範囲のみ知らせるのが適切です。
A: 条件まで知らせると回避策を立てられる恐れがあります。文中でも「④モニタリング条件はセキュリティ上の懸念から開示しない」としており、範囲のみ知らせるのが適切です。
Q: 抑止効果を高める補完策はありますか?
A: 罰則規定や定期的なセキュリティ教育を併用すると、通達の実効性がより向上します。
A: 罰則規定や定期的なセキュリティ教育を併用すると、通達の実効性がより向上します。
関連キーワード: 抑止効果、ログ監視、行動心理、セキュリティポリシー、インシデント防止
設問2:モニタリングの実施について、(1)〜(4)に答えよ。
(2)本文中の下線④について、モニタリング条件の開示によるセキュリティ上の懸念とは何か。40字以内で述べよ。
模範解答
モニタリング条件を回避するようにして悪意ある行動をとられること
解説
解答の論理構成
- 問題文には、D部長が“④モニタリング条件はセキュリティ上の懸念から開示しない”と指示したと明記されています。
- モニタリング条件とは、表3のように「1週間で、ログイン失敗が3回以上」や「8000番台の機能の利用成功回数が50回を超えた」など、具体的なしきい値で構成されています。
- これらを社内に公開すると、不正を企てる者が「しきい値‐1」程度に行動を抑え、検出を逃れる行動を計画できてしまいます。
- よって、開示による最大のリスクは「モニタリング対象が条件を回避して不正を実行できる」点にあり、模範解答のとおりとなります。
誤りやすいポイント
- 「条件を隠すのはプライバシー保護のため」と誤解しやすい
- 「ログ内容そのものの漏えい」を懸念と答えてしまう
- しきい値を知られても“気づかれない程度に増減する”という回避行動に思い至らない
FAQ
Q: もし条件を一部だけ公表したらどうなりますか?
A: 不正者は公表部分を手掛かりに抜け穴を推測できます。しきい値を推定される可能性が残るため、部分開示も推奨されません。
A: 不正者は公表部分を手掛かりに抜け穴を推測できます。しきい値を推定される可能性が残るため、部分開示も推奨されません。
Q: 条件を秘密にしても内部者が漏らしたら意味がないのでは?
A: 秘密にすることは“必要条件”であって“十分条件”ではありません。情報漏えい対策と併せ、必要最小限の関係者のみが知る仕組みを整備することが重要です。
A: 秘密にすることは“必要条件”であって“十分条件”ではありません。情報漏えい対策と併せ、必要最小限の関係者のみが知る仕組みを整備することが重要です。
Q: しきい値を動的に変える方法は有効ですか?
A: 有効です。機械学習や統計的異常検知を導入し、固定しきい値を避ければ回避行動をさらに難しくできます。
A: 有効です。機械学習や統計的異常検知を導入し、固定しきい値を避ければ回避行動をさらに難しくできます。
関連キーワード: ログ分析、しきい値、内部不正、セキュリティ対策、監査ログ
設問2:モニタリングの実施について、(1)〜(4)に答えよ。
(3)本文中の下線⑤について、適切なモニタリングができなくなるのは、どのような従業員が、どのようなアクセスを行った場合か。本文中の字句を用いて60字以内で具体的に述べよ。
模範解答
新サービス担当の4名以外の従業員が1週間で50回を超えて200回以下の頻度で個人情報へのアクセスを行った場合
解説
解答の論理構成
- 原因となるしきい値変更
- 当初の条件2は「1週間で、8000番台の機能の利用成功回数が50回を超えた利用者ID」でした【表3】。
- しきい値を「200回」に引き上げると、51〜200回のアクセスが監視対象から外れます。
- 見逃す恐れのある行動
- 表2「イ」には「有権限者が…大量の個人情報にアクセスする」とあり、“大量”の目安を50回超と定義していました。
- 51〜200回は依然として“大量”の範疇であり、不審行為の可能性があります。
- 見逃す恐れのある対象者
- 新サービス担当の4名は正当業務で「1人当たり毎週200回近く個人情報にアクセス」します【本文】。
- したがって「新サービス担当の4名以外の従業員」が51〜200回を行った場合こそ監視すべきです。
- 以上より、適切なモニタリングができなくなる場面は
新サービス担当の4名以外の従業員が、1週間に51〜200回の個人情報アクセス(8000番台機能)を行った場合となります。
誤りやすいポイント
- 「200回超だけを大量アクセスと見なす」と早合点し、51〜200回を無視してしまう。
- 監視対象者に「新サービス担当の4名」を含めてしまい、真のリスク主体を取り違える。
- 期間(1週間)と機能番号(8000番台)を他の条件と混同する。
FAQ
Q: なぜ51回からが“不審”なのですか?
A: モニタリング条件2の初期設定が「50回を超えたら抽出」であり、“大量”の基準を50回超と定義しているためです。
A: モニタリング条件2の初期設定が「50回を超えたら抽出」であり、“大量”の基準を50回超と定義しているためです。
Q: 新サービス担当4名を除外すると決め打ちしても良いですか?
A: 例外登録は可能ですが、業務変更や人事異動が再び起こる可能性があるため、動的な条件(条件2’のような増加率監視)が推奨されます。
A: 例外登録は可能ですが、業務変更や人事異動が再び起こる可能性があるため、動的な条件(条件2’のような増加率監視)が推奨されます。
Q: 51〜200回のアクセスが全て不正ですか?
A: いいえ。不正の予兆として抽出し、上司ヒアリングなどで業務目的かどうかを確認します。監視はあくまでトリガーです。
A: いいえ。不正の予兆として抽出し、上司ヒアリングなどで業務目的かどうかを確認します。監視はあくまでトリガーです。
関連キーワード: ログ監視、しきい値、アクセス頻度、個人情報、機能番号8000番台
設問2:モニタリングの実施について、(1)〜(4)に答えよ。
(4)表4中のbに入れる条件とは何か。具体例を一つ挙げ、30字以内で述べよ。
模範解答
b:1週間で、8000番台の機能の利用成功が50回を超え
解説
解答の論理構成
- 【問題文】の「表3 モニタリング条件」で、条件2は
「1週間で、8000番台の機能の利用成功回数が50回を超えた利用者ID」
であり、不審行為「イ(有権限者が…大量の個人情報にアクセス)」を検知するための基準でした。 - しかし新サービス担当の4名が毎週約200回アクセスするため、同じ基準では業務上正当な利用まで検知してしまうと記述されています。
- そこで【問題文】は「表4 新たなモニタリング条件2’」を提示し、
「b、かつ、8000番台の機能の利用成功回数が前の週に比べて2倍以上」
と二段階条件に変更しました。 - 不審かどうかは“急増”がポイントなので、bには「従来と同じアクセス量の閾値」を残し、そこに“前週比2倍以上”を加えて絞り込みます。
- よってbは、条件2で用いた「週50回超え」の基準を書き直したものが入ります。
誤りやすいポイント
- 「2倍以上」だけに着目し、50回超えの閾値が不要と誤解する。
- “利用成功回数”と“ログ件数”を混同する。
- 「8000番台の機能」の意味を“8000番”1種類と誤読し、累計を過小評価する。
- 文中の数値(50回・2倍)を改変して書いてしまう。
FAQ
Q: 新サービス担当者は毎週200回近くアクセスしますが、条件2’で検知されますか?
A: 前週と同程度(例えば200回→210回)なら「2倍以上」にならないので検知されません。
A: 前週と同程度(例えば200回→210回)なら「2倍以上」にならないので検知されません。
Q: 50回という閾値はどこから来た数字ですか?
A: 元々の条件2「1週間で、8000番台の機能の利用成功回数が50回を超えた利用者ID」から引き継がれています。
A: 元々の条件2「1週間で、8000番台の機能の利用成功回数が50回を超えた利用者ID」から引き継がれています。
Q: 閾値を業務変更のたびに手動で修正する必要がありますか?
A: 2段階条件により“急増”を重視するため、日常業務量の変化には柔軟に対応しやすくなります。
A: 2段階条件により“急増”を重視するため、日常業務量の変化には柔軟に対応しやすくなります。
関連キーワード: アクセスログ、不正検知、閾値設定、行動分析
設問3:
本文中の下線⑥について、モニタリングの有効性と効率性を維持するための施策とは何か。50字以内で具体的に述べよ。
模範解答
定期的に営業部の部長にヒアリングを行って業務内容に変化がないか確認し、モニタリング条件を見直す。
解説
解答の論理構成
-
施策の目的の確認
- 【問題文】では、D部長が“モニタリング条件の見直しをせずにいると、モニタリングが有効に機能しなくなったり、非効率になったりする”と述べ、⑥の施策を要求しています。
- したがって、施策は「業務の変化を捉え、条件を適切に更新し続けること」が狙いです。
-
変化を把握する主体
- モニタリング条件の策定時、E課長は①営業部のF部長にヒアリングを行い条件を決定しました。
- 業務内容の最新情報を最も把握しているのは営業部の管理職(各課長・部長)であるため、同じルートで継続的に情報を収集するのが合理的です。
-
施策の具体化
- 「変化を把握する」→「定期的にヒアリング」。
- 「条件の陳腐化を防ぐ」→「モニタリング条件を見直す」。
- これらを一連のサイクルとして回すことで、有効性(正しく不審行為を捉える)と効率性(不要な調査を抑える)の両立が図れます。
-
以上より、模範解答
- 「定期的に営業部の部長にヒアリングを行って業務内容に変化がないか確認し、モニタリング条件を見直す。」が適切です。
誤りやすいポイント
- 「ツールの機能拡張」だけを書き、業務側の情報収集を忘れる。
- 「しきい値を自動調整する」など技術的手段だけに触れ、D部長の指示にある“業務は今後も変化していく”という背景を無視する。
- ヒアリングの頻度や対象を限定せず曖昧に書いてしまう。
FAQ
Q: なぜ“営業部の部長”なのですか?
A: ⑥の前段で業務変化の例として営業部のサービス変更が挙げられており、最適な情報源は営業部を統括する部長だからです。
A: ⑥の前段で業務変化の例として営業部のサービス変更が挙げられており、最適な情報源は営業部を統括する部長だからです。
Q: ヒアリングの対象を「全従業員」にするのは過剰ですか?
A: はい。必要十分な情報を持つ管理職層から定期的に聞き取り、効率良く条件見直しを行うのが指示内容に合致します。
A: はい。必要十分な情報を持つ管理職層から定期的に聞き取り、効率良く条件見直しを行うのが指示内容に合致します。
Q: 条件見直しはどのタイミングで行うべきですか?
A: ヒアリングで業務変更が確認された都度、または定期的(例:四半期ごと)に実施するのが一般的です。
A: ヒアリングで業務変更が確認された都度、または定期的(例:四半期ごと)に実施するのが一般的です。
関連キーワード: ログ分析、しきい値設定、モニタリング条件、業務フロー変更
