1

予備調査において入手した2種類の管理規定が、それぞれ個別に策定されていていることに着目し回答を導く。

両規程で定めるセキュリティ管理のレベルの不整合や矛盾に着目。

「D社における全社的なセキュリティ管理の観点からは内容の確認が行われていない」に着目し、統合(本社基幹ネットワークと制御ネットワーク)によって安全管理規程と情報セキュリティ管理規程の整合性、管理レベルが同等で相互に不整合・矛盾しないことをベースに回答。

2

管理対象として重視されていないセキュリティ領域のアクセス対策、論理アクセス制御やサーバのハードニングを踏まえ、内部者による不正アクセス、外部不正アクセスを想定し回答を導く。

■論理的アクセス制御

https://www.ogis-ri.co.jp/rad/webmaga/rwm20101003.html

■サーバのハードニング

ビジネス要件を満たしながらも、サーバのセキュリティをより堅牢にする設定を行うこと

ex)アクセス制御の不備のよるセキュリティインシデント

・不要なアクセス権をもつ内部者による情報漏えい

・インターネット経由の外部からの不正アクセス

・ネットワークの脆弱性をついたサイバー攻撃

以上より回答を導く。

3

(1)

問題文には解答がないため一般的な文書名を記載。

セキュリティ管理者によるセキュリティパッチ適用事前確認事項

・表1項番5のセキュリティ要件満たすために必要な文書

　(24時間365日稼働のセキュリティ要件を満たすかどうか確認するための文書)

⇒パッチの適用計画

・制御データ処理時の数値変動とタイミングの変化が定められた範囲内に収まるか確認するための文書

⇒制御データ処理時の影響調査

(2)

問題文「セキュリティパッチ適用の間隔が比較的長いこともあり，その間のOS の脆弱性を突いたセキュリティインシデント発生に備えた補完的コントロールが必要」という記載に着目し、侵入防御システムなどをベースに解答を導く。

https://cybersecurity-jp.com/security-measures/18655#i-4

4

問題文〔本調査での発見事項〕(4)について、システム監査人が対策①，②の他に、制御ネットワーク側で遠隔監視・保守に伴う不正アクセスを防ぐための技術的対策が適切に講じられていることを確認するための監査手続を回答。

E 社の推奨ポリシに基づくE 社技術者によるFW-B 設定において不要なポートが開いていないかなどをベースに回答を導く。

なお監査手続きを記述する場合には、監査技術(監査証拠を入手するための手段・方法)も併せて記述する必要があり、監査上のポイントを明確にすることも重要。

E社の推奨ポリシに基づくE社技術者によるFW-B設定において不要なポートが開いていないかなどをベースに回答。

監査技法：ドキュメントレビュー法

監査証拠：E社推奨ポリシ

確認方法：設定がポリシに基づき必要なパケットのみ通過させる設定であることを確認

ランキング参加中

資格試験勉強してる人