平成21年度 春期 午後1 問4 情報システムの特権管理

設問1
(1)
・イ
金融商品取引法では、上場企業を対象に「内部統制報告制度」が定められている
これはJ-SOXとも呼ばれているらしいです。
2024年4月1日に改訂されました。

(2)
a : 特権IDの共用 (7文字)
E社ではOS,DBMS,APに対して、1つずつ特権IDが登録されており
管理者10名はこれらを共用しているとのこと。
現状では、特権IDを誰が利用したのかを特定できない。
ID共用系の問題は時折出てきますが、「利用者を特定できない」
といった内容の解答が定石に思えます。

(3)
・ログのレビュ―(7文字)
特権IDの悪用を発見するには、ログをチェック(レビュー)し
特権ID利用申請に基づいた作業が行われているかを確認する必要がある。
余談ですが、レビューは月1で実施されるみたいですが
個人的には少なくないか？と思った次第です。
最悪の場合、レビュー実施日の翌日に不正が行われたら
次のレビューまでの１ヶ月は気づかないってことだと思うので…


設問2
(1)
ア
データの参照だけを行う事ができる～、とあるので
これは ア の最小権限の法則が当てはまります

(2)
・Syslog(6文字)
UNIX系の環境でログの収集や転送に「Syslog」が利用されます
これも試験では度々見かける用語です。

(3)
d:ログサーバの特権 ID 使用者とほかのサーバの特権 ID 使用者を分離(31 字)
要はログサーバの特権ID使用者を限定する、という方法
これにより他のサーバの特権ID利用者よる、誤操作や故意のログ削除のリスクを低減できる。

(4)
特権IDの認証が失敗したとき(14文字)
特権IDを知らない人が特権IDを利用しようとした際には
認証の失敗(パスワードを間違える等)が考えられる
答えのような条件を組み込むことで、これを検知できる可能性がある。

(5)
下線4:システム管理者による不正行為の実行を抑止するため(24 字)
下線5:アラートの発生条件を回避しようとする行為を防止するため(27 字)
　　 アラートが発生しないような不正使用方法を発見されないようにするため(33 字)
アラートを設定していることを周知することで「不正な行いは監視されているよ」ということを伝える
これにより不正行為の実行を心理的に抑止できる(抑止力)
周知の際にはアラートの発生条件を公開しないようにする。
公開してしまうと、条件を回避するような不正行為を行われてしまうから。

(6)
確認する内容:
・特権 ID で DB のデータを変更した処理のログに対応する特権 ID 利用申請書が提出されているこ
と(45 字)
・DB のデータを変更した処理が、すべて業務目的に基づいていること(31 字)
立証しようとしていること:
・DBMS 内の財務データが特権 ID によって改ざんされていないこと(31 字)
・DBMS 内の財務データの完全性(15 字)
財務報告の信頼性を担保する為、DBMSに対して特権IDを使用して行われた作業が正当なものであることを確認する。
具体的には特権IDでDBのデータを変更した個々のログと、それに対応した特権ID使用申請書の内容を比較/確認して、内容に矛盾が無いことを確認する。
上記作業で問題が無ければ、不正行為がおこなわれていないことの証明になり
結果としてDBMS内の財務データの完全性を立証できる。

感想
特権IDのみでなく、ログの管理や最小権限の原則などの情報セキュリティの基本的な概念が出題された
今回の問題の解答は、最近の試験問題でも出てくるような答えさせ方だった。
特にsyslog、最小権限(他の選択肢も)、IDの共用関連はよく見るので
この問題を通して憶えておくと良いといます、