基本情報技術者試験「情報漏えい対策」の問題
A社では、社員がマイナンバーやクレジットカード番号を含むファイルを誤って外部メールやクラウドへ送る漏えいが散発している。ファイル名や拡張子は様々で、送信経路も複数にまたがる。送信されるデータの中身に着目して機密情報の社外流出を自動的に検知・制御する仕組みとして、最も適切なものはどれか。
ア外部あての宛先をホワイトリスト化し、登録済みドメインへの送信だけを通過させて経路を絞り込む。
イ送出される本文や添付の中を走査し、定義した機密パターンに一致した通信を止める。
ウ利用者アカウントに多要素認証を課し、なりすましによる不正な送信操作そのものを成立させないようにする。
エ取扱規程を全社へ周知し、送信の前に添付内容を本人が点検して確認する手順を定着させる。
正解
イ.送出される本文や添付の中を走査し、定義した機密パターンに一致した通信を止める。
課題は『中身が機密のデータが経路や名前を問わず流出する』ことである。DLP(Data Loss Prevention)はメール・Web・クラウド等の通信や保存データの内容を解析し、カード番号やマイナンバーなど定義した機密パターンを含む場合に検知・ブロック・暗号化などを自動適用するため、ファイル名や経路に左右されず中身基準で流出を制御できる。
?選択肢ごとの解説
ア ×宛先のホワイトリスト化は経路(宛先)に着目した制御で、許可済みドメインへ機密が紛れ込めば中身を見ないため漏えいを止められない。
イ ○課題は『中身が機密のデータが経路や名前を問わず流出する』ことである。DLP(Data Loss Prevention)はメール・Web・クラウド等の通信や保存データの内容を解析し、カード番号やマイナンバーなど定義した機密パターンを含む場合に検知・ブロック・暗号化などを自動適用するため、ファイル名や経路に左右されず中身基準で流出を制御できる。
ウ ×多要素認証は本人なりすましを防ぐ認証強化策であり、正規社員自身が機密を含むファイルを送る漏えいは認証が通る以上防止できない。
エ ×本人による点検は人の確認に依存する運用策で、誤送信などのヒューマンエラーを技術的に検知・遮断する自動制御にはならない。
✎くわしく
情報漏えい対策は『誰が(認証)』『どの経路で(境界制御)』『何を(内容)』のどれに着目するかで手段が変わる。本問の鍵は『データの中身』であり、内容検査に基づき機密の流出だけを選択的に止めるDLPが適合する。経路遮断や認証はそれぞれ別の論点に対応する。
✓本番での押さえどころ
試験のコツ
『データの中身(パターン)で機密を判定して流出を止める』と書かれていればDLPが正解。経路一律禁止や認証強化は別論点。
覚え方
DLPは『中身検査の門番』。名前ではなく荷物の中を見て機密だけ止めると覚える。
よくある誤り
認証強化(ウ)や注意喚起(エ)を反射的に選ぶ。論点が『内容に基づく自動検知・制御』である点を読み落とすと外れる。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0157