情報セキュリティ アドミニストレータ(セキュアド)過去出題問題平成14年 午後2 問2最終更新日 2006/02/26
|
Tomのネットワーク勉強ノート |
過去問(午後) |
情報セキュリティ アドミニストレータ過去問(午後) |
情報セキュリティ アドミニストレータ過去問 平成14年 午後2 問2 |
問2
情報システムセキュリティの監査に関する次の記述を読んで、設問1〜4に答えよ。
X社は、中規模の部品製造会社である。X社のもつ部品製造技術には定評があり、
全世界の装置ベンダから部品の製造注文がある。X社は、2001年に米国の大手装置
ベンダであるY社と次世代の情報通信用装置の部品開発に関して提携を結んだ。総勢
30名の特別プロジェクトチーム(以下、PTという)を組織編成し、開発を進めてい
る。Y社側もPTを組織編成している(図1)。X社PTでは、設計システムを利用し
て部品のプロトタイプを製作している。両PTは、設計のために、電子媒体を含むお
互いの文書類を参照している。X社PTのLANは、VPNでY社PTのLANと接続さ
れている(図2)。PTのメンバと特別に許可された者だけが、特別プロジェクト棟に
入棟できる。
図1 PT関連組織
図2 X社とY社のネットワーク構成
この開発は、全世界の競争相手から注目されているので、両社とも開発に関する情
報セキュリティの確保には細心の注意を払っている。
ところが、開発の内容の一部が、X社側から漏えいしたのではないかとの疑いが持
ち上がった。そこで、両社は、PTの情報セキュリティを見直すことにした。早速、
情報セキュリティを高めるために、X社PTの情報システムのセキュリティに関する
システム監査(以下、監査という)を実施することが、Y社から提案された。
X社の社長は、監査が将来的な情報セキュリティの向上に役立つと考え、提案を受
諾した。監査チームが、Y社監査部のJ部長をリーダとし、X社監査部のT課長及び
Y社監査部のL専門担当者で構成された。監査チームは、X社PTに対する監査基本
方針(図3)を作成し、X社側被監査部門の責任者である情報システム部のD課長に
必要書類の提供を求めた。
1.監査は、X社PTにかかわる情報セキュリティの管理状況を点検、評価し、併せて関係 者の情報セキュリティ意識を高めることを目的にする。 2.監査の対象は、X社PTの設計業務及び入退室管理とする。また、文書管理も監査の対 象とする。 3.監査は、X社の情報セキュリティ基本方針を基に、対策基準が適切かどうか、対策基準 に対応する実施規定が作成されているかどうか、実施規定がX社PTで適切に実施されて いるかどうかについて行う。 4.監査は、チェックリストを基に、現場立入調査、各種ログ分析及びヒアリングによって行 うものとする。 |
図3 X社PTに対する監査基本方針
〔監査に向けた準備〕
D課長は、監査チームに、X社のネットワーク構成図、組織図、"情報セキュリテ
ィ基本方針、対策基準"(図4)及びX社PTに関する実施規定(図5)を提出した。
D課長は、"情報セキュリティ基本方針、対策基準"の制定経緯について、次のよう
に説明した。
"情報セキュリティ基本方針、対策基準"は、X社の情報セキュリティ委員会で策
定され、1998年に経営会議で承認されて、社員(出向者、外注者、派遣者を含む)
に通知された。また、X社PTに関する実施規定は、X社の技術開発部長と情報シス
テム部長によってY社のCSOの助言を受けて作成されPT発足時に関係者に通知さ
れた。
情報セキュリティ基本方針、対策基準
X社社長 T.基本方針 2.情報資産管理 3.利用手続 4.入退室管理 5.運用保守 6.インターネットの利用 7.パソコン管理 8.記憶媒体管理 9.例外管理、セキュリティ事故への対応 10.教育訓練 11.監査 12.罰則 以上 |
図4 情報セキュリティ基本方針、対策基準
X社PTに関する閑する実施規定 X社技術開発部、情報システム部 1.X社PTのメンバは、パソコンからX社及びY社PTにかかわる文書管理サーバ、デー 以上 |
図5 X社PTに関する実施規定
〔監査の実施〕
監査チームは、情報セキュリティ対策基準などの書類をチェックし、現行の運用状
況についてヒアリングを行った。続いて、表1に示す監査チェックリストを作成し、
現場立入調査を実施した。
表1 監査チェックリスト
管理区分 | コントロールの内容 | 確認する内容、方法の一例 |
情報資産管理 | ・情報資産のランク分け | ・X社PTの管理する情報資産は、文書、記 憶媒体を問わず、ランクA〜Dに適正にラ ンク分けされ、記録されていることを確認 |
入退室管理 | ・身分証を兼用するICカードに よる入退室のコントロール |
・X社PTのメンバとそれ以外の社員のICカード で入退室を行い、メンバ以外の社 員の入退室拒否を確認 ・上記の結果をログで確認 |
ネットワーク機器管理 | ・ネットワーク構成のコントロー ル |
・実際の機器(メールサーバ、VPNルータ など)の設置、配線状態の確認 |
・ネットワーク運用体制のコント ロール |
・アクセスログと作業記録が【 a 】す ることを確認 |
|
パソコン管理 | ・業務終了時のファイルのコント ロール |
・ランダムに選択したパソコンに 【 b 】が残っていないことを確認 |
・ウイルス対策 | ・ランダムに選択したパソコンにウイルス対 策ソフトがインストールされていること を確認 |
|
・ライフサイクルのコントロール | ・パソコンの管理番号から購入記録、構成 の変更記録及び【 c 】を確認 |
|
記憶媒体管理 | ライフサイクルのコントロール | ・記憶喋体の購入記録や【 c 】を確認 |
・文書管理サーバヘのアクセス管理 | ・文書(VPNを介してのY社文 書書を含む)へのアクセスコント ーロール |
・X社PTのメンバからランダムに選択し て、【 d 】を確認 ・X社PTのメンバ以外の社員のアクセス 拒否を確認 ・上記の結果のアクセスログを確認 |
ネットワーク利用に関する アカウント、パスワード管理 |
・X社PTのメンバのアカウン トパスワードのコントロール |
X社PTのメンバからランダムに選択して、 ・当該者のアカウントとログインの成功、 失敗がアクセスログに記録されているこ とを確認 ・当該者がX社PTに異動してきたときの 【 e 】を確認 |
・パソコンからのアクセスコント ロール |
・パソコンからパスワードなしにネットワ ークにログインできないことを確認 |
監査チームは、表1を基にした現場立入調査で、入退室管理以外の項目について
コントロールが適切であることを確認した。
入退室管理については、D課長に次のような説明を受けた。X社では、入退室管理
にICカードを用いている。このICカードは、身分証及び社員食堂での支払手段を兼
ねており、写真、氏名、生年月日、会社名及び所属が印刷されている。表2は、D
課長が、入退室管理について監査チームに説明したときの資料である。
表2 入退室管理の概要
項目 | 内容 |
入退室管理規則 | 就業規則を適用 |
運用管理体制 | ICカードでの無人管理とログによるチェック |
入退室方法 | ICカード をリーダに読ませ、社員番号を基に入室権限をチ ェックし、ドアを開閉 |
ICカードの記録項目 | 氏名、生年月日、社員番号、会社名、所属 |
ICカードのデータ書込手順 | 所属部長が承認 ネットワーク管理者による情報セキュリティ管理者の立会 いの下でのICカードヘのデータ書込み |
〔ヒアリングと意見交換〕
監査チームは、X社PTのネットワーク管理者と情報セキュリティ管理者に対して、
日常の業務内容と報告のフローについてヒアリングを行った。
監査チームは、その結果を基に、ネットワーク管理業務に関する仕事の引継ぎの容
易さからネットワーク管理者の間でアカウントが共通に用いられていること、ネット
ワーク監視業務などでは情報セキュリティ管理者が立ち会わないときがあることにつ
いて、説明を求めた。D課長は、後者について、操作結果がすべて該当サーバのログ
に記録され、定期的に情報セキュリティ管理者がチェックを行っているので問題はな
いと主張した。監査チームは、該当サーバのログをチェックするだけでも不正な行動
を間接的に防止できることから、現状の管理体制でも十分であると結論づけた。
〔監査の結果報告〕
監査チームは、図6に示す監査報告書をまとめ、X社の情報セキュリティ委員会で
社長に報告し、監査を終えた。
監査報告書 監査チーム 1.総合評価 (途中省略) 3.指摘事項 以上 |
図6 監査報告書(抜粋)
〔監査のフォローアップ〕
X社の社長は、情報セキュリティポリシの重要性を再認識した。そこで、監査報告
書の指摘事項に基づいてX社の情報セキュリティ対策を強化したいと考え、情報セキ
ュリティ委員会に対して、"情報セキュリティ基本方針、対策基準"の見直しを指示
した。
設問1
表1中の【 a 】〜【 e 】に入れる適切な字句を答えよ。
(1)【 a 】については、5字以内で述べよ。
(2)【 b 】、【 c 】については、それぞれ9字以内で述べよ。
(3)【 d 】、【 e 】については、それぞれ25字以内で述べよ。
設問2
図5のX社PTに対する実施規定に関する次の問いに答えよ。
(1)下線@の記録簿には、どのような項目を記録すればよいか。5項目以上挙げ、
45字以内で述べよ。
(2)図5中の【 ア 】に入れる適切な字句を、2牢字以内で述べよ。
(3)下線Aで、"特別プロジェクト棟におけるインターネットの利用を禁ずる"
理由を、"情報セキュリティ基本方針、対策基準"との関係から、50字以内で
述べよ。
設問3
図6中の指摘事項に関する次の問いに答えよ。
(1)監査チームが指摘事項の(1)で想定しているICカードに関するリスクを、65
字以内で述べよ。また、指摘している追加手段を、25字以内で述べよ。
(2)監査チームが指摘事項の(2)で指摘しているように、複数のネットワーク管
理者が同じアカウントを用いてネットワーク管理業務を行う場合、どのような
問題が発生するか。50字以内で述べよ。
設問4
図6中の指摘事項の(3)で指摘されていることが、X社の情報の漏えいにつな
がったと考えられる。情報の漏えいに関連するリスクをもたらす規定上の不備は
何か。30字以内で述べよ。また、図4中の対策基準に追加すべき防止策を、65
字以内で述べよ。
Tomのネットワーク勉強ノート |
過去問(午後) |
情報セキュリティ アドミニストレータ過去問(午後) |
情報セキュリティ アドミニストレータ過去問 平成14年 午後2 問2 |