情報セキュリティ アドミニストレータ(セキュアド)過去出題問題

 平成14年 午後1 問1

最終更新日 2006/02/26
webmaster@tomnetwork.net

Tomのネットワーク勉強ノート
 過去問(午後)
   情報セキュリティ アドミニストレータ過去問(午後)
     情報セキュリティ アドミニストレータ過去問 平成14年 午後1 問1

問1

アウトソーシングにおける情報セキュリティに関する次の記述を読んで、設問1〜
4に答えよ。


A社は、全国に営業拠点をもつ従業員数約5,000名の企業で、自社ブランドの住宅
設備製品を販売しており、顧客情報管理、販売情報管理、修理情報管理など40を超
える業務システムを運用している。住宅設備製品は、安全管理上の理由から、販売し
た製品情報と顧客情報の関連付けが必要で、顧客情報管理システムがほとんどの業務
システムと連携している。これらの業務システムの運用は、10年前からA社が100%
出資する情報システム子会社のK社によって行われていた。
K社の社員約200名の半数以上が、A社からの出向者であった。このため、A社と
K社の間では、よい意味でも悪い意味でも"身内感覚"で仕事を進めてきており、シ
ステムの運用に関して、サービス内容とその品質が規定されていなかった。情報セキ
ュリティに関しては、A社の情報セキュリティポリシの中で顧客情報を適切に取り扱
うよう明確に定められ、A社及びK社の全社員に対して周知徹底されていたので、A
社とK社内には顧客情報保護の意識が浸透していた。

2年前、A社は、情報セキュリティを重視した企業であることを社会的にアピール
するために、【 a 】を取得する方針を打ち出した。これは、"個人情報保護法に関
するコンプライアンス・プログラムの要求事項”(JISQ15001)に適合し、電子計算
機処理にかかわる個人情報を保護するための体制を整備している事業者に対して認定
される制準である。K社との委託契約には、"個人情報に関する【 b 】義務契
約"、"再委託に関する事項"、"事故時の責任分担"及び"契約【 c 】時の個人
情報の返却及び消去"の四つの内容が盛り込まれていた。

〔資本参加型アウトソーシングの契約〕

昨年、A社は、自社のコアコンピタンスを強化するため、情報サービス事業者のE
社に対して、K社への資本参加を要請し、10年間のアウトソーシング契約を締結す
ることで合意した。E社のK社への出資比率は51%であった。A社とK社の契約金
額については、K社から提出された10年間の見積額を基に、前年度実積を踏まえて、
毎年見直すという取決めであった(図1)。
K社はE社の子会社になったので、E社から多くの社員が出向してきた。K社の情
報セキュリティポリシは、E社の情報セキュリティポリシに基づいて、新たに制定さ
れ、K社内に周知徹底された。A社でも組織の見直しが行われ、100名在籍していた
情報システム部員の半数以上は、K社に転籍した。A社の情報システム関連業務は、
システム企画、予算管理及びK社への委託業務管理だけで、ほかの業務に関してはK
社にアウトソーシングし、業務システムの実務経験がない経営企画部システム管理課
の10名が担当することになった。



図1 E社資本参加型アウトソーシング契約後のK社の位置付け

A社のシステム管理課のX課長は、この体制で情報セキュリティを確保することは
難しいのではないかと考えていた。ソフトウェアの情報セキュリティ上の不具合に関
する情報は、インターネットから簡単に入手できるものの、その量は膨大であり、対
策を講じなかった場合、A社にどのような影響があるのかについて、システム管理課
では見極めることができなかった。また、K社との関係及びK社内の体制が変更され
たことから、、顧客情報を従来どおり守れるかどうかといった不安があった。

〔サービスレベルの定義〕

A社とK社は、アウトソーシング契約締結時にシステムの運用委託に関するサービ
スレベルの目標値と提供されるサービス内容について合意した。昨年度のウイルス対
策に関するサービスレベルの目標値は図2のとおりであり、サービス内容は表のとお
りである。

年間延ベウイルス感染率:サーバ台数とクライアント台数のそれぞれ5%以内
ウイルス被害からの復旧期間:3営業日以内

図2ウイルス対策に関するサービスレベルの目標値

表 ウイルス対策に関するサービス内容

・最新のウイルス定義ファイルの更新サービス(以下、更新サービスという)
  社内ネットワークに接続されたサーバ及びクライアントにウイルス対策ソフトを導入し、ウ
  イルス定義ファイルを最新のものに更新するサービス(ライセンス費用も含む)
   年間サービス回数:24回
    作業工数/回:1人日/10サーバ、1人目/300クライアント
・情報セキュリティ修正プログラムの適用サービス(以下、バッチ適用サービスという)
  ソフトウェアの情報セキュリティ上の不具合を修正するプログラムを適用するサービス
   年間サービス回数:全サーバ及び全クライアント1回
    作業工数/回:1人日/サーバ、1人日/30クライアント
・ウイルス感染時の事故対応サービス(以下、事故対応サービスという)
  ウイルス感染による被害の拡大防止、応急及び復旧措置を行うサービス
   年間サーピス回数:5回
    作業工数/回:100人日
(契約条件)工数単価:40,000円/人日
   規模:サーバ台数200台、クライアント台数6,000台

K社の事故対応サービスにおいて、サービス利用回数の実績が年間4回以下であっ
ても、契約金額は同じである。また、ウイルス被害からの復旧期間の目標値は、営業
日単位で設定され、その目標値を短くすると緊急に人員を手配する必要がある。その
ため、事故対応サービスの契約金額は、復旧期間を3営業日以内とする場合と比較し
て、2営業日以内の場合で1.25倍、1営業日以内の場合で3倍になる。

〔事故の発生と対応〕

インターネット上のホームページを閲覧するだけで感染するウイルスがA社内に侵
入し、顧客情報管理システムが停止するという事態に至った。最新の情報セキュリテ
ィ修正プログラムを適用していなかったサーバに感染し、そこから社内にまんえんし
た(感染サーバ3台、感染クライアント250台)。停止時間は、金曜日の営業開始直
後から休日2日間を挟んで火曜日の営業終了直前までに及んだ。その間、手作業で対
応せざるを得ない業務が発生し、対応費用としで1営業日当たり200万円を要した。
A社内では、K社の今回の対応に不満を漏らす声が多く出た。X課長は、K社の担
当者であるD氏に今回の事故の説明を求めた。D氏は、年1回のバッチ適用サービス
を実施していたこと、及びウイルス感染による被害時の復旧目標値である3営業日以
内で復旧したことから、K社側に落ち度がない旨を主張した。さらに、情報セキュリ
ティ修正プログラムは昨今数多く発表されており、それらをすべて適用すると、業務
システムの安定稼働を維持するために、ばく大な作業工数を要すると発言した。X課
長は、D氏の説明に納得し、バッチ適用サービスの回数が極力少なくて済むための新
サービスの提案を依頼した。

〔サービスレベルの見直し〕

X課長は、今年度のウイルス対策に関するサービスレベルの目標値を昨年度と同じ
にすべきであると考えた。K社は、提案中の新サービスを追加すれば、ウイルスの脅
威が増大している状況下であっても、昨年度のサービス内容の工数を変更しないで済
むと説明した。X課長は、K社の提案が妥当かどうか判断できなかったので、第三者
の専門業者にコンサルティングを依頼した。依頼を受けた業者は、K社の提案を妥当
であると評価した。また、復旧期間の目標値に関しては、費用を最小化するという観
点から、復旧までの営業日を短縮すべきであると提案した。


設問1

本文中の【 a 】〜【 c 】に入れる適切な字句を答えよ。【 a 】
については10字以内、【 b 】については4字以内、【 c 】について
は2字以内で答えよ。

設問2

X課長は、アウトソーシングによって、顧客情報の機密性を保持することに不
安があると考えている。K社に実施させるべき具体的対策を、30字以内で述べよ。

設問3

顧客情報管理システムが停止した事故に関する次の問いに答えよ。

(1)D氏は、情報セキュリティ修正プログラムをすべて適用すると、ばく大な作業
  工数を要すると発言しているが、その作業項目とは何か。15字以内で述べよ。

(2)X課長が、情報セキュリティ修正プログラムの適用回数を少なくするため、
  K社に依頼した新サービスとは何か。40字以内で述べよ。

設問4

ウイルス対策のサービスレベルに関する次の問いに答えよ。

(1)昨年度の更新サービスと事故対応サービスの契約金額を、それぞれ求めよ。

(2)復旧期間の目標値の見直しに関して、コンサルティングを依頼した専門業者
  が提案した内容を具体的に10字以内で述べよ。また、その理由について45字
  以内で述べよ。

Tomのネットワーク勉強ノート
 過去問(午後)
   情報セキュリティ アドミニストレータ過去問(午後)
     情報セキュリティ アドミニストレータ過去問 平成14年 午後1 問1