令和6年秋問1設問1(5)
広告
束の間の休息さん
(No.1)
下線①マルウェアによるファイルの送信を防ぐ為にプロキシサービスで行う暫定対策を答える問題についですが当方全遮断と考えました。理由は情報流出防止とマルウェアを社会への流出防止です。このような考えは年金機構による125万件の年金情報流出事件の際にもセキュリティベンダーのラックでも「標的型サイバー攻撃の対処としては、PCの感染や不正な通信が見つかった段階で、その組織からの外部通信をすべて遮断し、遠隔操作ウイルスをネットワーク内に封じ込めること、また、遠隔操作ウイルスが攻撃者に連絡を取ろうと試みる通信を発見することで、不正な動作をするPCをすべて発見し、確実に駆除してゆくことが必要としている。」としております。
*年金情報流出から得られる教訓は――ラックが文書公開 「標的型攻撃の対策は、従来のウイルス対策と全く逆」
より参照
「….comへの通信を遮断する」というようなら解答がIPAが好きそうな解答であることはわかってますが実務家として実際に流出を目の当たりにし、自分が判断し責任を取る立場であるとした場合、皆さんはどのような対応をしますか?
*年金情報流出から得られる教訓は――ラックが文書公開 「標的型攻撃の対策は、従来のウイルス対策と全く逆」
より参照
「….comへの通信を遮断する」というようなら解答がIPAが好きそうな解答であることはわかってますが実務家として実際に流出を目の当たりにし、自分が判断し責任を取る立場であるとした場合、皆さんはどのような対応をしますか?
2024.10.28 23:19
pixさん
★SC ダイヤモンドマイスター
(No.2)
この投稿は投稿者により削除されました。(2024.10.29 07:09)
2024.10.29 07:09
pixさん
★SC ダイヤモンドマイスター
(No.3)
>「….comへの通信を遮断する」というようなら解答がIPAが好きそうな解答で
>あることはわかってますが実務家として実際に流出を目の当たりにし、
>自分が判断し責任を取る立場であるとした場合、皆さんはどのような対応を
>しますか?
IPAの解答は一定の方針に基づいております。
1つのシステムには
・多くのステークホルダーの存在
・リスク管理の必要性
があります。
システム停止の判断は最終的にはトップレベルの経営陣の役割です。
システムを停止することにより
・ビジネスとしてのインパクト、具体的には1日あたりの損失
・情報流出した際のエンドユーザーへのインパクトと賠償
などを総合的に判断する必要があるからです。
これらは、いちシステム担当が判断する範疇を超えています。
現実的には経営陣の判断を仰ぐことになるでしょう。
もし自分がで役員かつCIOであるならば、経営陣に対して提案する
立場になります。
理想としてはその際も、システム停止の判断は事前にリスク管理として
計画されていることが望ましいです。
具体的には経営戦略の一環として、システムを停止せざるを得ない事象が
発生した場合の
・体制準備
・停止手順
・ステークホルダーへの対応手順
の計画になります。
まとめですが、IPAが求めているのは単なるコンピュータへのオペレーションでは
ありません。
経営戦略を支える上でのシステムと、以下のようなステークホルダーに対して
・経営陣
・ST(ITストラテジスト)
・PM(プロジェクトマネージャ)
・エンドユーザー
ステークホルダーハブとなれる能力があるかを求めていると考えられます。
以下3つの分野はFEの試験から一貫して出題されています。
・テクノロジ
・マネジメント
・ストラテジ
IPAの高度試験では問題を理解する上で、この3分野の知識が求められている
ことを意識してください。
よく、APの文系問題で解答が定まらないという方がいます。
それはマネジメント&ストラテジとステークホルダーの関係を意識して
いないためでしょう。
一言でいえば、IPAは超上流工程の知識があるエンジニアの育成を
目的としているということになります。
この点が個別の製品の知識を求める一般のベンダー試験とは大きく異なる点です。
2024.10.29 07:11
sc-keepさん
(No.4)
回答に後付けでネットで調べた知識ひっぱってきても、公式回答は変わらないでヤンス...
2024.10.29 14:39
たろうさん
(No.5)
「すべての通信を遮断する」
と言いたいですが、実際には無理だろうなぁ。周りからの反発を抑えられない。
と言いたいですが、実際には無理だろうなぁ。周りからの反発を抑えられない。
2024.10.29 18:31
システムリスク担当さん
(No.6)
ユーザー企業のシステムリスク部門の責任者です。
pixさんの意見と同様ですが。
最終的な判断は経営、もしくはそれを委任されたシステム管理責任者(CIO/CTOなど)になります。
その為にも事前に可能な限り対象のシステム(業務)のリスクを洗い出し、ステークホルダー含めてインシデントが発生したときの対応フローを決めて、訓練を行なっておくことが肝要です。
(もちろん抽出しきれないリスクもあるので、その場合も含めて判断基準や連絡体制を作って対応フロー化します。)
余談ですが、R6年度の経済産業省の「サイバーセキュリティ人材の育成促進に向けた検討会」の資料を見てみると、RISS人材はセキュリティベンダに集中しており、特定講習の内容は、実務者・技術者層向けを想定した講座が多いといった記載があります。
その一方で、ユーザー企業のニーズは、業務そのものやコンプライアンスも含めたリスクマネジメント、BCP対策、委託先管理、監査対応、インシデントコマンダーといったゼネラリストかつ実務指揮を取れる人材が要求されていることから、ミスマッチが発生しているようです。
私は元はインフラエンジニアですが、今の立ち位置で実際に会社から要求されていることは前述の内容がほとんどです。
(もちろんエンジニアのバックボーンは実際の現場と会話する際に役に立っています。)
これは実装や監視や解析は外注することが可能ですが、それらのマネジメントを行うのは社内の人間である必要があるからです。
このことから経営戦略目線での視点はより重要になっていくと考えています。
pixさんの意見と同様ですが。
最終的な判断は経営、もしくはそれを委任されたシステム管理責任者(CIO/CTOなど)になります。
その為にも事前に可能な限り対象のシステム(業務)のリスクを洗い出し、ステークホルダー含めてインシデントが発生したときの対応フローを決めて、訓練を行なっておくことが肝要です。
(もちろん抽出しきれないリスクもあるので、その場合も含めて判断基準や連絡体制を作って対応フロー化します。)
余談ですが、R6年度の経済産業省の「サイバーセキュリティ人材の育成促進に向けた検討会」の資料を見てみると、RISS人材はセキュリティベンダに集中しており、特定講習の内容は、実務者・技術者層向けを想定した講座が多いといった記載があります。
その一方で、ユーザー企業のニーズは、業務そのものやコンプライアンスも含めたリスクマネジメント、BCP対策、委託先管理、監査対応、インシデントコマンダーといったゼネラリストかつ実務指揮を取れる人材が要求されていることから、ミスマッチが発生しているようです。
私は元はインフラエンジニアですが、今の立ち位置で実際に会社から要求されていることは前述の内容がほとんどです。
(もちろんエンジニアのバックボーンは実際の現場と会話する際に役に立っています。)
これは実装や監視や解析は外注することが可能ですが、それらのマネジメントを行うのは社内の人間である必要があるからです。
このことから経営戦略目線での視点はより重要になっていくと考えています。
2024.10.29 18:53
橙色文書さん
(No.7)
この投稿は投稿者により削除されました。(2024.10.29 22:29)
2024.10.29 22:29
束の間の休息さん
(No.8)
ご回答ありがとうございます。見事に見透かされてしまいましたが経営陣に判断を仰ぐ、という正しい作法を排除すべく敢えて「自分が判断し責任を取る立場であるとした場合」とさせていただきました。いただい内容を拝見し、行き当たりばったりとせずリスク想定を構築するという業務の重要性を実感しました。恥ずかしながらこのような事前のリスク評価というのが当方の組織では実施しておらず、あるとないとではやはり違うなと思いました。参考になりました。ありがとうございます。
2024.10.29 22:46
たけださん
(No.9)
題材の会社のネットワークが全遮断されたところで、ステークホルダに悪影響はあるのか?
2024.10.30 00:34
広告
返信投稿用フォーム
投稿記事削除用フォーム
広告