過去問(午後)情報セキュリティ
アドミニストレータ過去問(午後)情報セキュリティ アドミニストレータ過去問 平成13年 午後1 問3
情報セキュリティ アドミニストレータ(セキュアド)過去出題問題平成13年 午後1 問3最終更新日 2004/01/25
|
| Tomのネットワーク勉強ノート |
| 過去問(午後) |
| 情報セキュリティ
アドミニストレータ過去問(午後) |
| 情報セキュリティ アドミニストレータ過去問 平成13年 午後1 問3
|
問3
電子商取引の情報セキュリティ対策に関する次の記述を読んで、設問1〜4に答え
よ。
A社は、中堅規模の製造業者である。自社商品の生産に必要な主要原料を、限られ
た取引相手先から年間契約に基づき購入している。購買調達部門の要望によって、こ
の業務は、"発注システム"としてシステム化されている。システムを通して、A社
から取引相手先への見積依頼、取引相手先から見積りや納期納品条件の提示、A社か
ら正式な発注書、取引先から発注請け書の送受信が行われている。その後、取引先か
ら実際の商品及び請求書が送られてくる。この"発注システム"は、A社の情報シス
テムの一部としでA社に設置してあり、取引先各社は、各社に設置した"発注システ
ム"専用端末と公衆電話網で接続している。
なお、A社及び取引先各社は、この"発注システム"への接続のために発信者番号
の確認機能が付いたモデムを設置し、特定の相手先以外からの着信を拒否している。
この"発注システム"は、製造部門からの要求があり、受発注に伴う製品情報や製
品設計図の送受信を行うことができるよう機能を追加した。しかし、A社の製品情報
が漏れたり、取引先と共同で作成し修正した製品設計図が、取引先経由で他社に流用
されたりする事態が発生した。A社は、取引に先立ち、製品情報や製品設計図に関す
る【 a 】条項及び設計図面の【 b 】権を、あらかじめ契約書として取り
決めておく必要に迫られ、対応した。
その後、"発注システム"が軌道に乗ると、購買調達部門から事務機器や梱包材、
用紙類などの間接材取引もシステム化したいという追加要望が挙がった。A社の情報
システム部のB主任は、この要望を実現する"新調達システム"の基本検討を担当す
ることになった。
検討が進むと、該当する間接材を電子的に調達できる仕組み(以下、マーケットプ
レイスという)による購買調達サービスが他社から開始されることが判明した。B主
任は、A社が単独で、"発注システム"と同様のシステムを個別に取引先相手ごとに
構築するより、このマーケットプレイスに参加した方が容易にシステム化が図れると
考えた。さらに、有利な条件で調達できる可能性があるのではないかと考え、このサ
ービスヘの参加を前提に"新調達システム"の検討を進めることにした。
〔B主任と購買調達部門のG課長との会話〕
B主任:いま、"マーケットプレイス"という購買調達サービスの提供が始まろうと
していますが、ご存知ですか。ご要望の"新調達システム"にこのサービス
を利用すると、システム化を取引先相手ごとに調整する手間が省けますし、
より有利な条件で調達できる可能性があるので、この際是非検討したいので
すが。
G課長:話には聞いたことがある。インターネット上に構築された仮想市場のことだ
ろう。でも、見ず知らずの会社を相手にコンピュータ上で取引して問題ない
のだろうか。このごろインターネット上でのオークションや取引で、トラブ
ルも多いと聞いているが。
B主任:確かにインターネットのもつ匿名性を悪用されたり、IDを盗用されたりす
るために発生する【 c 】による詐取のリスクはあります。そのため、
マーケットプレイスでは参加する企業に対し、暗号技術を利用した
【 d 】の仕組みを使って、相手企業の確認を行うそうです。
G課長:どの程度のチェックができるのかね。
B主任:幾つかレベルがあるようです。発行団体の【 d 】が付いた【 e 】
書を取得するには、その発行団体に会社登記簿謄本などの提出が義務付けら
れています。また、仮に参加企業の中に異変があった場合、参加企業全体に
速やかに報告されるそうです。
G課長:【 d 】による確認が行われるなら、間接材の"新調達システム"とし
ても悪くないね。
この後、A社で検討が行われ"新調達システム"においては、このマーケットプ
レイスのサービスに参加することになった。 ′
"新調達システム"が稼働してしばらく過ぎたころ、それまで順調に取引していた
相手先からA社の発注した品物が納期を過ぎても入荷してこないというトラブル(下線)が発
生した。調べてみると、発注した相手企業の【 e 】書が一部悪用され、
【 c 】によって取引が混乱したので、その企業の【 e 】書の利用が既に
停止されていたことが分かった。
今回のトラブルを受けて、A社では様々な検討を進めた。その一つとして、取引に
先立う相手企業に対する信用調査を強化して取引先を厳選する対策を実施した。
"新調達システム"稼動前に制定されていたA社の情報セキュリティ対策基準の抜
粋を次に示す。
| 情報セキュリティ対策基準(抜粋) 1.目的 (省略) 2.対象者 本情報セキュリティ対策基準(以下、本基準という)は、当社経営者及びすべての従業 員に適用し、経営者及びすべての従業員は、これを遵守しなければならない。本基準を遵 守しなかった場合、就業規則に基づき罰則を適用する。 3.適用範囲 本基準は、当社が業務で使用する当社管理下の情報及び情報システムを含む情報資産す べてを対象とする。 4.情報セキュリティ文書体系 (省略) 5.情報セキュリティ組織 @ 情報セキュリディ主管 経営会議において担当役員を任命し、情報セキュリティ室を設置する。 情報セキュリティ室は、情報セキュリティに関する諸規定の策定、改定、遵守状況の 監視、チェック、トラブルの把握及び緊急事態への対処の指揮指導を行う。 A 情報セキュリティ対策組織 情報セキュリティに関するトラブルが発生した場合、情報セキュリティ室は、必要に 応じて業務担当部署から要員を選出し、対策プロジェクトを設置する。 6.情報セキュリティの範囲と責任 @ 対象とする情報の範囲と分類 当社業務で利用するすべての情報を対象とする。情報を入れる媒体としては、紙、伝 票類などの紙媒体及びWebページ、 また、極秘、関係者外秘、部外秘、社外秘、公開の5種類に分類し、分類に応じた取 扱方法をとる。 A 対象情報システム範囲 当社の業務に供し当社管理下にあるすべての情報システムを対象とする。その構成要 素としては、システム構成機器、ソフトウェア、ネットワーク及びネットワーク機器と 稼働に必要な電源、空調、施設設備を含めた範囲とする。 B 情報資産の管理責任 すべての情報資産に対して管理部署を決定し、管理部署は、社員の中から管理責任者 を任命する。管理責任者は、情報資産へのアクセス、取扱方法を定め、効果的に守られ ていることを恒常的に監視監督する。ただし、この監視監督業務は、外部委託を認め る。また、情報セキュリティ室はこれらのアクセス、取扱方法及び監視監督の有効性に ついて、定期的又は必要に応じて検証を行う。検証に関しては、第三者機関への委託を 認める。 7.ネットワーク接続及び運用 @ ネットワーク接続 当社情報システムに対する情報機器の接続は、その管理のため、会社施設内での接続 に限定する。会社施設外からのアクセスは、緊急対応時、定期的診断及び保守作業に必 要な場合に限り一時的に認める。 Aネットワークの運用 当社情報ネットワークに関しては、情報システム部が管理責任を負う。ただし、運用 に関しては外部委託を認める。 8.アクセス制御 @ アクセス制御方針 情報及び情報システムに関するアクセスの許認可及び管理は、"6.情報セキュリテ ィの範囲と責任の"B情報資産の管理責任"に従う。管理者は、情報システム運用者 に対し、アクセスに対する措置の申請・解除などの手続をとる。情報システムの運用に 関しては、外部委託を認める。 A ユーザアクセス管理 ユーザのアクセスに関して"6.情報セキュリティの範囲と責任"の"B情報資産の 管理責任"に従い、状況を監視監督する。 (以下省略) |
設問1
【 a 】〜【 e 】に入れる適切な字句を、それぞれ8字以内で答えよ。
設問2
情報セキュリティ対策基準に関する次の問いに答えよ。
(1)現在の基準では、"発注システム"の考慮がなされていなかった。"発注シス
テム"の特徴から、基準で最も不適合を起こしている箇所の項目番号を挙げ、
その理由を20字以内で述べよ。
(2)"新調達システム"を導入する上で、上記の(1)以外でA社の基準に変更が
必要な箇所の項目番号を挙げ、変更に盛り込むべき内容を35字以内で述べよ。
設問3
"新調達システム"で発生した本文中の下線のトラブルの対策として、ITU-T
X.509に定められた、あるデータを確認する方法が考えられる。対策として、A
社が確認すべきものは何か。6字以内で答えよ。また、このトラブルを防止する
ために、その運用上注意すべきことは何か。15字以内で述べよ。
設問4
設問3の対策だけでは、納期を過ぎても入荷されないというトラブルを完全に
防ぐことはできない。それはなぜか。40字以内で具体的に述べよ。ただし、情
報システムでは正常に発注処理が行われたものとし、事故や犯罪によって引き起
こされたトラブルは対象外とする。
| Tomのネットワーク勉強ノート |
| 過去問(午後) |
| 情報セキュリティ
アドミニストレータ過去問(午後) |
| 情報セキュリティ アドミニストレータ過去問 平成13年 午後1 問3
|