〇論文設計テンプレート
太字:問題文抜粋箇所
1. 情報システムの概要とビジネス上の役割及び求められるセキュリティレベル
1.1 情報システムの概要とビジネス上の役割
〇概要
・〇〇システム
〇役割
購入者⇒決済手段の多様化
加盟店⇒〇〇リスクの軽減
1.2 求められるセキュリティレベル
採点講評:セキュリティレベルに言及して記載。リスクの論述は誤り。
・顧客情報を不正利用し、購入者の意図しない決済が発生することで当社に対する顧客・加盟店からの信頼が大きく損なわれる
・PCIDSS・情報セキュリティ基準を厳守することを義務付けられている
・外部脆弱性診断の実施
PCIDSS、情報セキュリティ基準、外部脆弱性診断
・社員による情報漏えい
・外部からの標的型攻撃
〇購入者
・個人情報の流出による不正利用
〇加盟店
・顧客の信用失墜⇒機会損失による売上減
〇グループ会社
・社会的信用失墜⇒株価暴落
2. セキュリティレベルを維持できなくなる要因とそれに対するコントロール
採点講評:運用段階における情報セキュリティの脅威に変化を踏まえて記載
2.1 セキュリティレベルを維持できなくなる要因
(1)外部要因
・外部からの標的型攻撃
・災害発生時のサーバの負荷増大
(2)内部要因
・運用管理者による情報漏えい
・運用ミスによるセキュリティレベルの低下
・アクセス権限が開発関係者に付与されている
2.2 対応するコントロール
・適時に対応を見直すコントロール
・インシンデント発生に備えて、迅速かつ有効に機能するコントロール
(1)外部要因に対するコントロール
・セキュリティパッチの適用とルールが定められている
・脆弱性診断の実施
・セキュリティソフト導入
⇒検知対象の見直し
・対象サーバの冗長構成
⇒2拠点
(2)内部要因に対するコントロール
・セキュリティ教育の実施
・権限の棚卸
・運用責任者が運用ログのチェック
3. コントロール確認のための監査手続
3.1 外部要因に対するコントロールの監査
・情報セキュリティ基準
⇒パッチの適用ルールが定められていること
・運用ログ
⇒定期的にパッチを実施していること
・外部脆弱性診断結果
⇒改善のため計画が策定
3.2 内部要因に対するコントロールの監査
・教育記録
⇒実施され受講していること
・運用ログ記録
⇒運用責任者の印が押されていること/インタビュー