一般記事

「情報セキュリティマネジメント試験」の問題から学ぶ情報セキュリティ

この記事を読むのに必要な時間:およそ 3 分

試験問題を解いてみよう 事例2「ビジネスメール詐欺」

情報セキュリティはマルウェアや不正アクセス対策に限った話ではありません。ビジネスメール詐欺(Business E-mail Compromise:BEC)という,組織を狙ったオレオレ詐欺のような脅威も存在します。

ビジネスメール詐欺は,取引先や経営者などになりすまし,メールで入金を誘導する詐欺の手口です。攻撃者は,標的の組織や従業員の情報をなんらかの方法により入手し,通常のビジネスメールと見分けがつかない文面やメールアドレスのメールによって,標的をだまそうとします。ビジネスメール詐欺は組織を標的にするため,金銭被害が高額になりやすく,組織にとっては被害発生時のインパクトが大きくなります。

2018年7月には,ビジネスメール詐欺にて米国の農業関連会社が約7,800万円の詐欺被害にあったことが報じられました。本件では日本国内の会社役員ら男女4名が逮捕されました(※)

ビジネスメール詐欺に関連しては,下記のような問題が出題されています(問題文と選択肢は一部簡略化しています⁠⁠。

[問題]

ビジネスメール詐欺の対策について,下記会話の[a],[b]に入れる字句はどれか。選択肢から最も適切なものを選べ。

経理課長:
今後,我が社が偽メールにだまされないための対策はありますか。

経営企画課主任:
第三者によるメールの不正な閲覧への対策にもなるので,できれば取引先にS/MIMEによるディジタル署名付き暗号メールを使ってもらいたいと思いますが,同意を得て準備する手間も掛かります。偽メールにだまされないための対策のうち確実であり,かつ,すぐできるものとして,振込に関わるメールのやり取りの際は,[a]のがよいと考えます。そのためには,[b]ことも必要です。

(選択肢)

[a]の選択肢

【ア】受信メールの差出人メールアドレスと文面を慎重にチェックする
【イ】メールの内容について電話をかけて確認する
【ウ】メールをサーバに保存しておく

[b]の選択肢

【カ】振込に関する詐欺事例と振込時の注意事項を経理担当者に教育する
【キ】メールには必ず差出人の電話番号を記載してもらう
【ク】保存用のメールアドレスにもメールを同報する

(平成30年度秋期 情報セキュリティマネジメント試験 午後問題 問1 設問5(4)を一部改変)

[解説]

この問題の正しい解答は[a]【イ⁠⁠,⁠b]【カ】です。

偽メールに騙されないためのすぐに効果がある対策は,電話などの,メールではない手段で取引先に事実確認することです。ただし,メール内に記述されている電話番号は,攻撃者が用意した電話番号である可能性もあります。そのまま信用しないことが重要です。

また,電話で確認する対策を行うとすると,経理担当者の業務が増えてしまいます。どんな業務内容なのか,なぜ対策を行う必要があるかなど,教育をする必要があります。

試験問題を解いてみよう 事例3「内部不正」

「情報セキュリティ」と聞いて,どういったものを想像されるでしょうか。サイバー攻撃から情報システムを守ること,マルウェア感染を防ぐこと,多くの方はそのような印象を持つのではないでしょうか。たしかに,それも情報セキュリティの一要素です。しかし,脅威は組織の内部にも潜んでいます。組織の関係者による内部不正です。

近年,企業の従業員や公的機関の職員が機密情報を不正利用したり,売却したりという報道を目にする機会が多くなりました。たとえば,2018年には,岩手県八幡平市の職員が一時的に付与された管理者用パスワードを業務外目的で使用して,業務用パソコンから人事に関する情報を不正に閲覧し,懲戒処分を受けたという報道がありました(※)

内部不正による被害は外部からの攻撃による被害よりも大きくなることがあり,情報セキュリティを確保する上で無視することはできません。SG試験でも,内部不正の事例がたびたび取り上げられており,その対策について問われています。下記がその一例です。

[問題]

不正が発生する際には“不正のトライアングル”の3要素全てが存在すると考えられている。“不正のトライアングル”の構成要素の説明として,適切なものはどれか。

【ア】⁠機会⁠とは,情報システムなどの技術や物理的な環境,組織のルールなど,内部者による不正行為の実行を可能又は容易にする環境の存在である。
【イ】⁠情報と伝達⁠とは,必要な情報が識別,把握及び処理され,組織内外及び関係者相互に正しく伝えられるようにすることである。
【ウ】⁠正当化⁠とは,ノルマによるプレッシャなどのことである。
【エ】⁠動機⁠とは,良心のかしゃくを乗り越える都合の良い解釈や他人への責任転嫁など,内部者が不正行為を自ら納得させるための自分勝手な理由付けである。

(平成29年度春期 情報セキュリティマネジメント試験 午前問題 問27)

[解説]

不正のトライアングルは,⁠動機・プレッシャ⁠⁠,⁠機会⁠⁠,⁠正当化」の3要素を指します。この3要素がすべて存在したときに不正が発生するとされています。

不正のトライアングル

不正のトライアングル

各要素は以下を指します。

動機・プレッシャ
他人に言えない経済的理由の心理的な要因,業務のプレッシャなど。
機会
不正行為を秘密裏に行える環境。
正当化
不正行為をしてもよいと自らを納得させる理由付け。

以上より,不正のトライアングルの構成要素を正しく説明しているのは【ア】になります。

終わりに

ほんの一部ではありましたが,SG試験の問題を見てみました。試験と現場には,どうしても乖離(ギャップ)があります。しかし,自分の業務に直接的に関係ないと感じることであっても,全体像を知る,一般論を知るというスタンスであれば,試験は良い機会になるでしょう。

最後に,SG試験を実際に受験するとしたら,どのような対策をとるのがよいのでしょうか。

現場では調べれば済むことであっても,試験対策としては,ある程度の用語を覚えておく必要があります。試験という特性上,傾向に慣れておかないと実力を発揮できない,という可能性もあるでしょう。

受験者にとって幸いなことに,SG試験では過去問と正しい解答が公開されており,ポイントとなる用語や傾向を分析することができます。過去問に取り組むことは,効率のよい試験対策として王道ですが,SG試験でも同様です。

ただし,IPAが公開している解答は,どの選択肢が正しいかはわかっても,何故正しいかまでは詳細に解説してくれません。この度刊行した『令和元年【秋期】情報セキュリティマネジメント パーフェクトラーニング過去問題集』では,各選択肢の正解・不正解の理由まで解説しています。この過去問題集が,試験対策として有効に働くだけでなく,現場の業務にも有益となることを願っています。

※参考および引用
情報セキュリティ10大脅威 2019:IPA 独立行政法人 情報処理推進機構情報セキュリティ10大脅威 -情報処理推進機構

著者プロフィール

庄司勝哉(しょうじかつや)

株式会社ラック
2012年に株式会社ラックに入社。金融機関のシステム基盤構築を担当しており,セキュリティ製品の導入支援なども行っている。アプリケーション開発にも精通しており,退社後や休日にはWebアプリケーションやスマートフォンアプリの開発を行っている。保持する資格は情報セキュリティスペシャリスト,データベーススペシャリスト,ネットワークスペシャリスト,情報セキュリティマネジメント他。


星代介(ほしだいすけ)

株式会社ラック
情報セキュリティコンサルタントを経て,現在は,ラックセキュリティアカデミーにて,インシデントレスポンス研修や演習型講習等の企画及び講師を担当。また,執筆活動や情報処理安全確保支援士の集合講習講師としての活動等を行っている。保有資格は,情報処理安全確保支援士,ネットワークスペシャリスト,CISSP,CompTIASecurity+他。

バックナンバー

2019

  • 「情報セキュリティマネジメント試験」の問題から学ぶ情報セキュリティ