情報漏洩対策
今回扱う問題は、クラウドサービスを利用したファイルの受渡しです。
ファイルを取引先などに送付する際、メールに添付する方法では誤送信やハッカーによる盗聴により漏洩する危険があります。
その対策としてファイルはクラウドサービスへ保存し、そのURLをメールで共有しアクセス権も適切に付与することで安全に受渡しをすることができます。
とはいえ、完全に問題が発生しないわけではありません。
メールを誤送信し、アクセス権も適切に付与できなければ漏洩することもあり得ます。
その場合どうするか?という対策を考えるのが、今回の問題です。
今回のサンプル
こちらの公開問題を使い、解説をします。
※出典:情報セキュリティマネジメント試験(SG)公開問題(令和7年度 科目B)
科目B
この問題を使います。
設問の確認
選択肢は多いですが、空欄を1つずつ埋めて該当する選択肢を選べば良いのです。
空欄は3つありますが、空欄ごとでは2択です。
- a1:(一)か(五)
- a2:(二)か(四)
- a3:(三)か(六)
解き方
問われているのは、漏洩が疑われる事象が発生した場合の対処です。
自分が事象を起こしてしまった本人になりきると、答えが導きやすくなると思います。
空欄:a1(メール誤送信)
意図しない宛先にメールを送信してしまった!!
その場合、クラウドサービスを使って『何を』『すぐに』行うことができるのか?
下記の2択ですが、どちらが適切でしょうか?
- (一)アクセス権の取消し:アクセスさえできなければ、ファイルは不正に取得されない!
- (五)メールで通知:通知している間にファイルが不正に取得されるかもしれない!
通知は、例えば誤送信した宛先に「今送ったメールは間違いです!」や、本来の宛先に「別の宛先に送ってしまいました!」という連絡が考えられます。
しかし、情報漏洩させないためにはファイルにアクセスさせないことが最優先です。
よって、正解は(一)アクセス権の取消し です。
空欄:a2(ファイルの扱い)
次は、上記までの流れが理解できていると簡単に解けます。
下記の2択ですが、クラウドサービスの仕様を考えましょう。
送信者が『アップロード』し、受信者が『ダウンロード』する。
※受信者が送付先です。
ファイルが『ダウンロード』されていれば、漏洩したかもしれないのです。
よって、正解は(四)ダウンロード です。
空欄:a3(ログの確認)
文脈から、上記のa2が正解していないと判断できないように思えますが、実はそうでもありません。
下記の2択ですが、どちらが適切でしょうか?
では、ログで何が確認できるのか?
クラウドサービスの仕様で、ログに関する箇所を確認します。
ダウンロードした際にログに書き込みが発生することが分かります。
一方、アクセスしただけではログに書き込みはされないとも読み取れます。
意図しない宛先の受信者が、クラウドサービスからファイルをダウンロードすることで情報漏洩となる。
辻褄が合います。
よって、正解は(三)情報漏洩 です。
正解
ここまでの正解をまとめると、選択肢は『ウ』となります。
- 空欄:a1(一)アクセス権の取消し
- 空欄:a2(四)ダウンロード
- 空欄:a3(三)情報漏洩
さいごに
今回は、情報漏洩対策について学ぶ問題でした。
人の手が介在する業務では、ミスの発生を完全に防ぐことは困難です。
利用するサービスの特徴と被害を最小限に食い止めるための方法を理解し、有事に迅速に対応できるようにしたいものです。
ここまでお付き合い頂き、ありがとうございました。
Discussion