情報セキュリティスペシャリスト試験の過去問から、セキュリティ監査の主な監査項目をまとめてみました。
最近はあまりされていないため、過去問題集で対策をしていた場合は見落としている可能性があります。
セキュリティ監査
セキュリティ監査とは、企業内の情報資源全般に対してセキュリティ構築の構築と維持が正しく行われているかどうかを監査します。
監査は、システム管理基準をもと監査証跡に対して行われます。(監査証跡 = 監査を行うための証拠)
主な監査証跡は、下記のように3種類8項目に分けられます。
出題例
(平成23年度春季試験 午後2/問2)
提示された状況
- 社内に設定している無線LANアクセスポイントにWPA-PSK事前共有鍵の不備があった
- 現在設定されているパスワードが8文字では短か過ぎる
- 事前共有鍵を使う性質上、オフラインでの辞書攻撃による解読が可能
- この設定を改善し、改善後に監査人がそれを確認する
質問
- この状況の改善を監査人が確認することのできる証跡には何があるか30文字以内で答えよ
解法
- 設定の変更を確認することのできる証跡を解答します
- この場合は「作業記録」がそれに当たります
解答例
- HTと無線APの事前共有鍵の設定を変更した時の作業記録。(28文字)
備考
この設問では、WPA-PSK事前共有鍵の脆弱性を修復する方法として、「21文字以上のパスワードを設定する」「WEBフォームによる認証を行う」とされていました。
他には、802.1XのEAP-TLSを使ってHT/無線APの相互認証を行う方法もあります。
これまでの経験から、情報セキュリティスペシャリスト試験の対策には、技術評論社のポケット攻略本を強くお勧めします。
技術要素についてだけであれば、これ一冊で対応できます。
要点早わかり 情報セキュリティスペシャリスト ポケット攻略本 (情報処理技術者試験)
- 作者: 岡嶋裕史
- 出版社/メーカー: 技術評論社
- 発売日: 2013/02/16
- メディア: 単行本(ソフトカバー)
- クリック: 2回
- この商品を含むブログ (1件) を見る