情報セキュリティ

基本情報技術者試験情報漏えい対策」の問題

情報セキュリティ情報セキュリティ難易度:normal
A社では、社員がマイナンバーやクレジットカード番号を含むファイルを誤って外部メールやクラウドへ送る漏えいが散発している。ファイル名や拡張子は様々で、送信経路も複数にまたがる。送信されるデータの中身に着目して機密情報の社外流出を自動的に検知・制御する仕組みとして、最も適切なものはどれか。
外部あての宛先をホワイトリスト化し、登録済みドメインへの送信だけを通過させて経路を絞り込む。
送出される本文や添付の中を走査し、定義した機密パターンに一致した通信を止める。
利用者アカウントに多要素認証を課し、なりすましによる不正な送信操作そのものを成立させないようにする。
取扱規程を全社へ周知し、送信の前に添付内容を本人が点検して確認する手順を定着させる。
正解
送出される本文や添付の中を走査し、定義した機密パターンに一致した通信を止める。

課題は『中身が機密のデータが経路や名前を問わず流出する』ことである。DLP(Data Loss Prevention)はメール・Web・クラウド等の通信や保存データの内容を解析し、カード番号やマイナンバーなど定義した機密パターンを含む場合に検知・ブロック・暗号化などを自動適用するため、ファイル名や経路に左右されず中身基準で流出を制御できる。

?選択肢ごとの解説

ア ×宛先のホワイトリスト化は経路(宛先)に着目した制御で、許可済みドメインへ機密が紛れ込めば中身を見ないため漏えいを止められない。
イ ○課題は『中身が機密のデータが経路や名前を問わず流出する』ことである。DLP(Data Loss Prevention)はメール・Web・クラウド等の通信や保存データの内容を解析し、カード番号やマイナンバーなど定義した機密パターンを含む場合に検知・ブロック・暗号化などを自動適用するため、ファイル名や経路に左右されず中身基準で流出を制御できる。
ウ ×多要素認証は本人なりすましを防ぐ認証強化策であり、正規社員自身が機密を含むファイルを送る漏えいは認証が通る以上防止できない。
エ ×本人による点検は人の確認に依存する運用策で、誤送信などのヒューマンエラーを技術的に検知・遮断する自動制御にはならない。

くわしく

情報漏えい対策は『誰が(認証)』『どの経路で(境界制御)』『何を(内容)』のどれに着目するかで手段が変わる。本問の鍵は『データの中身』であり、内容検査に基づき機密の流出だけを選択的に止めるDLPが適合する。経路遮断や認証はそれぞれ別の論点に対応する。

本番での押さえどころ

試験のコツ

『データの中身(パターン)で機密を判定して流出を止める』と書かれていればDLPが正解。経路一律禁止や認証強化は別論点。

覚え方

DLPは『中身検査の門番』。名前ではなく荷物の中を見て機密だけ止めると覚える。

よくある誤り

認証強化(ウ)や注意喚起(エ)を反射的に選ぶ。論点が『内容に基づく自動検知・制御』である点を読み落とすと外れる。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0157

【基本情報技術者試験】情報漏えい対策の問題 — 解答・解説|ukamiru 過去問