設問2 [セキュリティ仕様の決定]について、(1)~(4)に答えよ。
(3) 表6中の【f】に入れる適切なリスクNo.を二つ答えよ。
【f】:2, 3(9,10も捨てがたいがHSSでの管理不要だから)
解説
本文抜粋
| 適用対象 |
要件 |
リスクNo. 1) |
| インターネットからのアクセスを受け付ける回線 |
・ファイアウォールを設置し最小限のアクセスだけを許可する。
・IPSを設置し、不正アクセスの検出と、自動遮断を行う。
・Webアプリケーションファイアウォールを設置し、不正なHTTPアクセスを遮断する。 |
【f】 |
インターネットからのアクセスを受け付ける回線に行う以下の対策は、どのリスクNoに対応する対策かを問われています。
- ファイアウォールを設置し最小限のアクセスだけを許可する。
- IPSを設置し、不正アクセスの検出と、自動遮断を行う。
- Webアプリケーションファイアウォールを設置し、不正なHTTPアクセスを遮断する。
表4 顧客データに対するリスク分析の結果(抜粋)
| リスクNo. |
脅威 |
脆弱性 |
被害 |
発生確率 1) |
深刻度 2) |
対応要否 3) |
| 1 |
インターネット経由のHSSへの不正アクセス |
【b】 |
情報漏えい |
高 |
高 |
要 |
| 2 |
Webアプリケーションのセキュリティホール |
情報漏えい |
中 |
高 |
要 |
| 3 |
Webサーバ基板のセキュリティホール |
情報漏えい |
中 |
高 |
要 |
| 4 |
脆弱な認証とアクセス権管理の仕組み |
情報漏えい |
低 |
高 |
要 |
| 5 |
美容室従業員による物品持ち去り |
物品管理の不備 |
情報へのアクセス不能 |
低 |
中 |
不要 |
| 6 |
【c】 |
情報へのアクセス不能 |
低 |
中 |
不要 |
| 7 |
美容室従業員による不正アクセス |
【b】 |
情報漏えい |
中 |
高 |
要 |
| 8 |
脆弱な認証とアクセス権管理の仕組み |
情報漏えい |
低 |
高 |
要 |
| 9 |
不正プログラムによる管理端末からの情報窃取 |
ウイルス対策ソフトの停止 |
情報漏えい |
低 |
中 |
不要 |
| 10 |
未知のウイルスへの未対応 |
情報漏えい |
低 |
中 |
不要 |
表4ここまで
それぞれの対策が対応できるリスクNoを上げて見ましょう
| 対策 |
リスクNo. |
| ・ファイアウォールを設置し最小限のアクセスだけを許可する。 |
3 6 9 |
| ・IPSを設置し、不正アクセスの検出と、自動遮断を行う。 |
2 3 6 9 |
| ・Webアプリケーションファイアウォールを設置し、不正なHTTPアクセスを遮断する。 |
2 |
リスクNo.2 3 6 9が該当しますが、6と9は表4の対応要否が「不要」となっているので、6と9を除外すると2と3が正解になります。
最終更新:2013年08月31日 15:38
