情報セキュリティ アドミニストレータ(セキュアド)過去出題問題平成14年 午後1 問4最終更新日 2006/02/27
|
Tomのネットワーク勉強ノート |
![]() |
![]() |
![]() |
問4
リモートアクセスシステムに関する次の記述を読んで、設問1〜4に答えよ。
H社は、中堅の製造業者である。本社は、営業拠点も兼ねて東京にあり、近郊に研
究所と工場がある。市場は主に国内であり、全国主要都市に営業所がある。数年前か
ら社内業務の電子化を進めており、昨年までに1人1台のパソコンの設置が完了した。
最近では、社長をはじめ全社員が電子メールを使って連絡、指示及び報告を行うよう
になった。昨年から、社外向けホームページを開設して、積極的な情報発信も行って
いる。また、Webサーバを利用した社内の情報共有化も進んでおり、24時間いつで
も必要な情報にアクセスできる。これは、情報共有Webサーバヘの事例登録件数を
社内電子化推進への貢献に対する指標として評価するという社長の方針が大きく影響
しており、部門業績の評価項目にもなっている。さらに、営業部門に対しては、1人
1台の携帯竜話を貸与しこ販売活動の円滑化を因っている。
これまでH社は、先端技術を使用していることこもあって、セキュリティ確保を最優
先にし、社外から社内のサーバヘのアクセスを原則禁止にしてきた。ところが、先ご
ろの役員会で営業活動の更なる効率化が議題に挙がり、営業や技術サポート部隊が客
先や出張先から社内のサーバに直接アクセスすることができれば、営業活動を効率的
かつ効果的に行うことができるとの判断から、リモートアクセスを解禁することが決
定された。
情報システム部のG部長は、この決定を受けて、現行システムの構築に最初から携
わっている入社6年目のR主任に直ちに検討に入るように指示した。
1か月後、R主任は、次のような内容を骨子とする計画案を作成し、G部長に提出
した。
(1)情報セキュリティポリシを見直し、社内システムヘのアクセスに関する対策基準
と実施手順を追加規定する。
(2)社外からアクセス可能な社内サーバは、メールサーバ(SMTP及びPOP)と特定
の情報共有Webサーバに限定する。
(3)情報セキュリティ対策及びライセンス管理上、社外から社内システムにアクセス
するためのPCカード付きノート型パソコンは、会社から貸与する。
G部長:早期【 ★ 】を★毎ぅための、本人あてのアクセス記録の送付頻度はどう
なっているのかね。
R主任:とりあえず、翌日の朝に前日分をまとめて送付するというやり方でスタート
してみようかと思います。 ̄
G部長:ところで、★@会社から貸与するノート型パソコンだが、ウイルスの感染防止
及び機密情報の漏えい防止の観点からの禁止規定が抜けているな。アタック
の踏み台にされて、我が社だけでなくほかの企業にも迷惑をかける可能性も
あるからな。
R主任:分かりました。★Aウイルスの感染防止及び機密情報の漏えい防止の観点から
は、個人所有のパソコンに言及した禁止規定も必要ですね。
G部長:そうだな。それはそうと、ファイルの暗号化は守られるだろうか。社内でも
暗号メールは、なかなか浸透しないようなので少し心配だが。
(4)ノート型パソコンには、紛失を考慮してファイル暗号化ソフトを組み込む。また、
本人以外が起動できないように起動パスワードを設定する。
(5)社外から社内システムヘのアクセスは、当面、リモートアクセスサーバ(以下、
RASという)経由だけにする。
RASへのアクセス記録は、本人あてに
電子メール
で送付する。
図 H社のネットワーク構成(業務サーバを除く)
次は、この計画案に対するG部長とR主任の会話である。
G部長:我が社のシステムも本格的にリモートアクセスが可能になるわけだが、セキ
ュリティの観点からのポイントを説明してもらいたい。
R主任:はい。不正侵入の【 a 】、不正侵入の早期【 b 】、侵入された
場合の対応体制の整備やウイルスチェックなど、システム側としての対策は
無論ですが、ノート型パソコンの紛失や無許可使用などのリスクに対しても
十分な手を打つことを心掛けました。
G部長.:不正侵入の【 a 】対策として、具体的にどのような手が打たれている
のか、図のH社のネットワーク構成を用いて簡単に説明してもらいたい。
R主任:はい。リモートアクセスユーザを確認するため、発信者番号通知に基づく発
信元確認を行うとともに、図中の(ア)に【 c 】サーバを設置して
RASへの接続時にパスワードのチェックを行います。また、
RASと社内ネ
ットワークとの間には、ファイアウォールを設置しています。
G部長:早朝【 b 】を行うための、本人あてのアクセス記録の送付頻度はどう
なっているのかね。
R主任:とりあえず、翌日の朝に前日分をまとめて送付するというやり方でスタート
してみようかと思います。
G部長:ところで、@会社から貸与するノート型パソコンだが、ウイルスの感染防止
及び機密情報の漏えい防止の観点からの禁止規定が抜けているな。アタック
の踏み台にされて、我が社だけでなくほかの企業にも迷惑を掛ける可能性も
あるからな。
R主任:分かりました。Aウイルスの感染防止及び機密情報の漏えい防止の観点から
は個人所有のパソコンに言及した禁止規定も必要ですね。
G部長:そうだな。それはそうと、ファイルの暗号化は守られているのだろうか。社内でも
暗号メールはなかなか浸透しないようなもので少し心配だが。
R主任:貸与するノート型パソコンに組み込むファイル暗号化ソフトは、あらかじめ
対象ファイルを定義しておけば、自動的にファイルの暗号化を行いますので、
利用者はいちいち意識する必要はありません。
G部長:なるほど。最近、他社では、携帯電話機から社内のwebサーバにアクセス
している所もあるようだが。
R主任:はい。今回は入っていませんが、その場合は、インターネット経由のアクセ
スになりますので、情報セキュリティ対策上ゲートウェイサーバを追加設置
します。【 c 】サーバは、リモーアクセスと共有できます。
G部長:Bインターネットを経由するとなると、なりすましに対する対策が必要だな。
新システム稼働後のある日の午後1時過ぎ、営業部のN担当から電話が入った。
N担当:営業部のNですが、PCカ−ド付きノート型パソコンを紛失したのですが。
R主任:(N担当に関する情報を検索しつつ)紛失した場所と時刻、最後にアクセス
した時刻を教えてください。
N担当:昼に立ち寄った店に置き忘れたのですが、気が付いて戻ったときにはもうあ
りませんでした。最後にアクセスしたのは、午前11時ごろです。
R主任は、直ちにN担当のアカウント停止措置をとった後、【 d 】を見て不
審なアクセスがなかったかどうかを調べた。幸い、その問に不審なアクセスはなかっ
た。
その後、しばらくは平穏な日々が続いたが、ある日の朝一番に営業部のP部長から
電話が入った。
P部長:営業部長のPだが、携帯電話から社内ネットワークにつなぐときのパスワー
ドを忘れた。何とかしてくれ。
R主任:P部長とおっしやいましたね。念のため内線電話番号と電子メールアドレス
を教えて頂けますか。電子メールで新しいパスワードをお送りしますので、
それを使ってください。
(R主任は、電話で応対しながらP部長のアドレス情報を検索し、内線番号と
電子メールアドレスが一応正しいことを確認した。)
P部長:今、ホテルからなんだ。電子メールが読めないので、今ここでパスワードを
教えてくれないか。
R主任:申し訳ありません。それはできかねます。
P部長:肝心なときに役に立たんな。今朝、重要顧客のL社の専務から電話があり、
電子メールを送ったので至急見てほしいと連絡があったんだ。何とかならん
か。
R主任:L社ですか。C分かりました。それでは、"hysk74pt"を使ってください。
P部長:分かった。ありがとう。′
設問1
本文中の【 a 】〜【 d 】に入れる適切な字句を答えよ。
設問2
本文中の下線Bについての対策事項を、15字以内で述べよ。
設問3
本文中の下線CのR主任の行動には、情報セキュリティ対策上問題がある。そ
れは何か。25字以内で述べよ。また、どのように行動すべきだったかを、40字
以内で述べよ。
設問4
本文中の下線@及びAで、G部長とR主任が必要であると思った追加規定を、
それぞれ45字以内で述べよ。
Tomのネットワーク勉強ノート |
![]() |
![]() |
![]() |