基本情報技術者試験のサンプル問題(科目B)を解いてみよう。
今回のテーマは、「ファイアウォール(FW)ルールの誤った変更を防ぐための改善策」である。
問20
A 社は栄養補助食品を扱う従業員500 名の企業である。A社のサーバ及びファイアウォール(以下,FW という)を含む情報システムの運用は情報システム部が担当している。
ある日,内部監査部の監査があり,FW の運用状況について情報システム部の B 部長が図1のとおり説明したところ,表1に示す指摘を受けた。
設問
表1中の指摘1について,FWルールの誤った変更を防ぐための改善策はどれか。
解答群のうち,最も適切なものを選べ。
解答群
ア Endpoint Detection and Response(EDR)をコンソールに導入し,監視を強化する。
イ FW での運用担当者のログインにはパスワード認証の代わりに多要素認証を導入する。
ウ FW のアクセス制御機能を使って,運用担当者をコンソールからログインできる者,リモートからログインできる者に分ける。
エ FWの運用担当者を1人に限定する。
オ 運用担当者の一部を操作ログの確認だけをする者とし,それらの者には操作ログの確認権限だけを付与する。
カ 運用担当者を,FW ルールの編集を行う者,操作ログを確認し,操作承認をする者に分け,それぞれに必要最小限の権限を付与する。
キ 作業を行う運用担当者を,曜日ごとに割り当てる。
正解:カ
問題の概要
A社では、ファイアウォール(FW)の運用を情報システム部の6名が担当する。
FWの運用には以下3つの業務がある。
- FWルールの編集(操作指示書に基づく)
- 操作ログの確認
- 編集後のルール確認及び操作の承認
現状では、6名全員がすべての権限を持っており、ルール編集 → 自分でチェック → 自分で承認、という流れになっている。
内部監査部から「同じ人が編集と承認をできてしまうのは職務分離の観点で問題」という指摘(指摘1)があった。
指摘1を踏まえたFWルールの誤った変更を防ぐための改善策は?
選択肢は以下の通りである。(要約)
- ア~イ:多要素認証やEDR導入など
- ウ~オ:ログイン制限や担当者限定など
- カ:「運用担当者を、編集担当と操作ログ確認+承認担当に分け、それぞれに最小限権限を付与する」
- キ:曜日で担当を分ける
正解は 「カ」 となる。
正解の理由:「職務分離」の原則を徹底している
- 職務分離とは、一人が複数の業務(編集・承認など)を同時にできないようにし、不正やミスを防ぐための内部統制である。
- 現状では、一人で編集から承認までを完結できる防御の薄い運用になっている。
- 選択肢「カ」では、
- FWルールを編集する人
- 操作ログを確認し承認する人
が別の担当者になり、
「一人でやってしまう」ことで起きるリスクを仕組みとして排除できる。
他の選択肢が不適切な理由
- ア(EDRの導入)
セキュリティ対策にはなるが、FWルールの誤った変更を防ぐための改善策にはならない。 - イ(多要素認証(MFAの)導入)
ログイン強化にはなるが、FWルールの誤った変更を防ぐための改善策にはならない。 - ウ(ログインの入口制限)
アクセス方法を分けても、FWルールの誤った変更を防ぐための改善策にはならない。 - エ(運用担当者を1人に限定)
かえって、権限が濃縮されて、内部不正リスクが高まるだけ。FWルールの誤った変更を防ぐための改善策にはならない。 - オ(操作ログの確認担当を作る)
確認担当以外で全権限を有している人が一人でもいれば、FWルールの誤った変更を防ぐための改善策にはならない。 - キ(曜日担当)
スケジュールを分けても、編集と承認が同じ人であれば、FWルールの誤った変更を防ぐための改善策にはならない。
まとめ
- 問題のねらいは「同一人物による編集・承認を防ぐための職務分離強化」である。
- 選択肢「カ」のように権限と役割を分けることが、最も適切かつ効果的な改善策となる。
コメント