設問1
本文中の【 a 】 〜 【 f 】に入れる適切な字句を答えよ。
【 a 】 〜 【 e 】
各ネットワークのセキュリティ要件表の穴埋めです。
対象;
W主任は会話の中で、
"それでしたら、プラント制御系ネットワークを2つに分けるのはどうでしょ
うか。汎用性の高い方は、情報セキュリティポリシの対象とし、もう一方は
対象から外します。"
と言っています。では、汎用性の高い方はどっちでしょう?
---02/9/24 CHANGE
>(2)制御系ネットワークは、プラントの制御及び監視を行う。ネットワークプロトコ
> ルやOSなどは、専用的な技術基盤を利用する。
>(3)制御情報系ネットワークは、プロセスコンピュータ(以下、プロコンという)を
> 用いて、計測情報や各種構成情報など、重要で最も機密性の高い情報を管理する。
> ネットワークプロトコルやOSなどは、汎用的な技術基盤を利用する。
>(4)制御情報系ネットワークは、内部ファイアウォールを経由して事務処理系ネット
> ワーク、ゲートウェイを介して制御系ネットワークと接続する。制御情報系ネット
> ワーク上のパソコンから社内共用ネットワークヘの接続、電子メールやWeb検索
> の利用が可能である。
(2)の制御系ネットワークと(3)、(4)の制御情報系ネットワークの説明をを比較すると、
制御情報系ネットワークの方が汎用性が高いですね。
【 a 】制御系ネットワークが"対象外"、【 b 】制御情報系ネットワークが"対象"でいいでしょう。
所管;
B課長は会話の中で、
"了解した。当面、ネットワークの所管については、従来どおりでいこう。"
と言っています。従来どおりの所管について調べてみましょう。
>これらの事務処理業務のシステム化は、情報システム部が担当している。
>これらについては、生産部門が構築し、維持管理を行っている。
ですので、【 c 】社内共用ネットワークは"情報システム部"、【 d 】制御情報系ネットワークは
"生産部門"でいいでしょう。
可用性レベル
最後に制御系ネットワークの可用性レベルはどうでしょう?
情報セキュリティ基本方針の骨子に
>特に、プラント関係のシステムについては、可用性の確保に努めなければならない。
と書いてますね。"高"でいいでしょう。
【 f 】
>これを導入するに当たって、【 f 】の問題・・・
社外に送信する電子メールであて先に上司が含まれていない場合、送信を保留し
て本人へ返送する仕組みを導入するに当たって発生する問題です。
社外に送信するメールは全て上司に見られるわけです。
プライバシーの問題が出てきますよね? |
(Tomの解答例)
a対象外
b対象
c情報システム部
d生産部門
e高
fプライバシー
設問2
情報セキュリティ対策に関する次の問いに答えよ。
(1)B課長は、W主任の提示したスケジュールでは、"作業が完了しない項目が
でるおそれがある"と考えた。そのような作業項目を15字以内で述べよ。
何を問われているかにチェック!
作業項目を問われています。
B課長は、経営会議の指示に対して、作業が完了しない項目がでるおそれがあると考えて
います。
経営会議では、
(a)本社部門の移転までの10か月間で情報セキュリティボリシの導入を完了
(b)移転後に運用を開始すること
(c)ウィルス対策を強化すること
の3つがが指示されています。
それに対して、W主任が提示したスケジュールは、
(a)情報セキュリティポリシを策定
(b)その後、本社部門の移転までに教育を完了
でした。(c)のウイルス対策の強化が完了していませんね。
問題文を抜けている部分を抜き出すと、そうなるんですが、導入後にウイルス対策と、
利用者教育、管理者訓練を同時に行ったとして、どっちの時間の方が要するでしょう?
後者だと思います。 |
(Tomの解答例)
利用者教育、管理者訓練(11)
別解;
ウイルス対策の強化(9)
(2)W主任は、情報セキュリティポリシの策定に当たって、B課長の期待どおり
に活躍しているが、それはどのような点か。二つ挙げ、それぞれ30字以内で
述べよ。
何を問われているかにチェック!
期待どおりに活躍している点を問われています。
B課長はW主任に対して、どういう期待をしていたでしょうか?
それは、まず人選の理由で述べられています。
>会社全体の実情に詳しく、また、他の部門のメンバと調整した経験のある情報システム部のW主任
(a)全体の実情を考慮した対策を実施して欲しい
(b)他の部門のメンバとうまく調整して対策を実施して欲しい
また、立案したスケジュールに対して、指示しています。
>情報セキュリティポリシの策定スケジュールを早めるようにW主任へ指示した。
(c)情報セキュリティポリシの策定スケジュールを早めて欲しい。
それに対して、W主任はどう応えたでしょうか?
(a)に対しては、プラント制御系の状況をよく理解して話を進めています。
(b)に対しては、情報セキュリティ委員会でF課長とB課長の間で調整役を果たしています。
(c)に対しては、経営会議で移転までに情報セキュリティボリシの導入を完了を指示されていたものを、
本社部門の移転の5か月前に、情報セキュリティポリシが策定しました。これは迅速です。
ですから、(a)〜(c)の3項目のうち、2項目について書いてあげればいいでしょう。 |
(Tomの解答例)
セキュリティ委員会で調整役を果たしている点。(22)
会社の事情に詳しくプラント制御系の状況を把握している点。(28)
別解:意思決定を早くしている点(12)
(3)B課長は、経営会議の質疑応答で、"自分たちが中心となって作成したい"
と答えている。B課長のねらいは何であるか。50字以内で述べよ。
何を問われているかにチェック!
B課長のねらいを問われています。
>情報セキュリティ基本方針の骨子で述べたような情報セキュリティポリシを策
>定するには、自分たちが中心となって作成したいと考えています。
なぜそんなことを言ったんでしょうか?
私たちとは?
(a)情報システム部が中心となってという意味でしょうか?
(b)同業他社で作成した情報セキュリティポリシを流用せずに独自でという意味でしょうか?
(c)外部の専門会社の支援を仰がず独自でという意味でしょうか?
ボクは(b)だと読み取りました。C役員の発言に対する回答ですからね。
では、なぜ流用するとまずいんでしょうか?
セキュリティポリシーは、それぞれの会社固有の脆弱性があって、それに対する対策が書かれています。
流用すると、ついついまねてしまい、流用したポリシーでは不要で、自分の会社には必要な記載事項を
見落としてしまう恐れがあります。
ですから、会社によって脆弱性は異なり、参考にすると見落とす恐れがあるため。
これが理由の一つでしょう。
あと、(a)と、(c)について考えてみましょう。
(a)セキュリティ委員会でのB課長とF課長の会話を読んでいると、本社部門と生産部門は意見が食い違い
多いのがよく分かります。これでは、情報システム部主導で行わないとポリシ導入が早く行えないでしょう。
(c)セキュリティポリシ策定を外部の専門会社に委託します。ということは、リスク分析の結果を
外部に渡すわけです。リスク分析自体を外部に委託するのかもしれません。
となれば、外部に”自分の会社は、ここに脆弱性がありますよ”と露呈することになりますね。
これはまずいでしょう。 |
(Tomの解答例)
会社によって脆弱性は異なり、参考にすると見落とす恐れがあるため。(32)
別解:本社部門と生産部門は意見が食い違い多く情報システム
部主導で進めないとポリシ導入が早く行えないと考えたため。(50)
別解:外部に委託すると脆弱性が露呈するため。(18)
設問3
電子メールの情報セキュリティ対策に関する次の問いに答えよ。
(1)情報セキュリテンポリシの導入によって、従来からのウイルス対策の効果が
一部低下するおそれがある。それは現在の運用方法から考えてどのような点か。
30字以内で述べよ。
何を問われているかにチェック!
どのような点かを問われています。
ポリシーの導入によって、と書いていますので、図3を見てみましょう。
大きな変更点は、VのBの
>電子メールの利用は、ネットワークを経由した配布に該当する。また、社外へ電
>子メールを送付する場合は、上司に控え(ブラインドカーボンコピー)を送付しなければ
>ならない。
ですね。
もし、送信者にウイルスが感染していて、(もしくは、ウイルスを感染したファイルを添付して)
外部にメールを送信したとしましょう。従来でしたら、外部しか行かないメールも、
ポリシー導入後は必ずBCCが上司に行くわけです。上司がチェックのためにファイルを開いたら?
上司にもウイルスが感染しますね。これがウイルス対策効果の低下要因でしょう。
しかし、経営会議では"ウイルス対策の強化"が挙げられていました。ということは、
最低でもメールサーバには検出ソフトは導入されているはずです。
それでも、上司に検出せずに感染してしまうでしょうか?
感染要因は2つあります。
(a)新種ウイルス
(b)メールを暗号化(ポリシV-(1)-A)している場合
この2点のどちらかを書いてあげればいいでしょう。 |
(Tomの解答例)
(1)新種のウィルスなど,上司に二次感染の恐れがあるため。
(別解)暗号化メールはウイルスを検出できないため。
(2)電子メールの適正な利用を推進するための対策について、運用上の課題を二
つ挙げ、それぞれ30字以内で述べよ。
何を問われているかにチェック!
運用上の課題を問われています。
運用といえば?
利用者教育
管理者訓練
ログ監視
管理簿
マニュアル作成、見直し
ポリシの見直し、必要に応じて変更
です。この中で、適正な利用を推進するための対策の課題といえば、、、 |
(Tomの解答例)
・送信したメールや返信されたメールの記録簿の保管ルール(26)
・全社員への教育・マニュアル作成(15)
設問4
不正侵入に関する次の問いに答えよ。
(1)W主任は、ほかのネットワークと比較して制御系ネットワークのリスクが小
さいと分析した。その理由を二つ挙げ、それぞれ15字以内で述べよ。
何を問われているかにチェック!
理由を問われています。
制御系ネットワークをキーワードに調べてみましょう。
(a)
まず、図2を見てみましょう。
他のネットワークには何らかの外部接点がありますが、制御系ネットワークだけは、
直接外部と結ばれていませんね。
(b)
さらに、他のネットワークとは、ゲートウエイ接続されています。
ゲートウエイは、プロトコルが異なるネットワーク同士の接続に使用します。
プロトコルが異なれば、盗聴もされにくいですよね?
あと(2)にも書いていますが、
>ネットワークプロトコルやOSなどは、専用的な技術基盤を利用する。
これも同じ意味ですね。
(c)
あと、制御ネットワーク系が今回セキュリティ要件の適用対象外になった理由に
"汎用性が高くない"っていうのがありました。これも理由の一つと考えていいですね。 |
(Tomの解答例)
プロトコルなどが専門的
外部との接続点がない点
別解:ゲートウェイ接続である点
別解:汎用性の低い構成
(2)プロコンに対する対策は、不正侵入防止という点から不十分である。とるべ
き対策を20字以内で述べよ。
(Tomの解答例)
パスワードの暗号化とIDカードとの併用(19)
別解;(逃げの別解)
ゲートウエイを発覚されにくいアドレスに変更(25)
設問5
B課長は、今回の事故を通じて、A社の情報セキュリティを向上するために改
善すべき内容とその解決策は何であると考えているか。改善すべき内容を30字
以内で述べよ。また、その解決策を70字以内で述べよ。
何を問われているかにチェック!
改善すべき内容と解決策を問われています。
この事故では、大きく2つの改善点が出てきています。
一つ目は、不正アクセスによるデータの漏えい,改ざん,消去などへの対策が全く無かったこと。
もうひとつは、設問4(2)で挙げたように、利用者のセキュリティに対する意識が全く無かったこと。
どちらでもいいので、解決策を書いてあげればいいと思います。 |
(Tomの解答例)
内容:不正アクセスによるデータの漏えい,改ざん,消去などへの対策(29)
解決策:盗難・紛失時の報告方法や該当するユーザIDの消去の手順の明確
化,通信データ・保存データの暗号化など。(50)
内容:利用者教育、管理者訓練により、セキュリティ意識を向上させる(29)
解決策:定期的に管理者への訓練、利用者への教育を
実施し、マニュアルも整備することにより
全利用者のセキュリティ意識向上に努める。(60)
|