情報セキュリティアドミニストレータ(セキュアド)過去出題問題

平成15年　午後1　問4

最終更新日　2006/02/26
webmaster@tomnetwork.net

Tomのネットワーク勉強ノート

　過去問（午後）

情報セキュリティアドミニストレータ過去問（午後）

情報セキュリティアドミニストレータ過去問平成15年　午後1　問4

問4

営業支援システムの機能追加に関する次の記述を読んで，設問1～4に答えよ。

　W社は，社員300名の中堅の電子部品メーカであり，機器メーカに部品を供給して
いる。都心の本社ビルに総務部，情報システム部，営業部などがあり，郊外の工場に
設計部，製造部などがある。W社のシステムは，全社統一的な視点で情報セキュリテ
ィポリシを遵守することが重要なので，情報システム部が企画段階から所管して，各
部と共同のプロジェクトで検討を進めることにしている。
　図1に，W社の電子化情報に関する情報セキュリティポリシを示す。

〔電子化情報の区分〕

　電子化情報の区分は，文書区分に準じて，次のとおりとする。
（1）極秘：経営上の最高機密に属するもの。経営戦略情報など。
（2）秘　：業務上必要な社内関係者に使用を限定すべきもの。顧客情報など。
（3）社外秘：社内だけでの使用を認めるもの。クレーム情報など。
（4）公開：社外に公開するもの。商品情報など。
（省略）

〔送信及び持ち出し〕

　電子化情報のインターネット経由での送信及び記録媒体による社外への持ち出しを行
う際の要領は，電子化情報の区分によって，次のとおりとする。

（1）“極秘”情報：インターネット経由での送信及び記録媒体による社外への持ち出
　　　　　　　　　　　しを禁止する。
（2）“秘”情報　：秘匿化や改ざん防止措置などを講じる。原則として，インターネ
　　　　　　　　　ット経由での送信及び記録媒体による社外への持ち出しを禁止す
　　　　　　　　　　る。業務上必要がある場合には，情報セキュリティ責任者の了承を
　　　　　　　　　　　得る。
（3）“社外秘”情報：秘匿化や改ざん防止措置などを講じる。

〔廃棄〕

　記録媒体を廃棄する場合には，電子化情報の漏えいを完全に防ぐ措置を講じる。

（以下省略）

図1　W社の電子化情報に関する情報セキュリティポリシ

　営業部では，データベース（以下；DBという）閲覧システム及び電子メールシス
テムからなる営業支援システムを運用してきた。DB閲覧システムは，商品情報DB，
クレーム情報DB及び顧客情報DBにアクセスするクライアントサーバ方式のシステ
ムである。商品情報DBは商品仕様情報など，クレーム情報DBはクレームや対応策
など，顧客情報DBは顧客情報や購買履歴などからなる。これらは，営業部が管理す
るサーバで運用され，営業部員が随時，登録，更新及び閲覧を行うことができる。商
品情報は，印刷して持参したり，電子メールに添付し送付したりすることによって顧
客に提示していたが，社内に戻らないと利用できないので不便であった。そのため，
社外から営業支援システムを利用できるようにしてほしいとの要望が寄せられていた。
　このたび，営業部では，営業部員が外出先から営業支援システムへのアクセスをイ
ンターネット経由で行うリモートアクセス機能と，Webサーバを通じて商品情報を一
般ユーザに提供することができる商品情報Web機能を実現させることを企画し，情報
システム部と営業部で構成される改善プロジェクトを発足させた。改善プロジェクト
では，情報システム部長を責任者として，情報システム部のSEであるR君と営業部
のT主任が要件定義を行い，情報セキュリティアドミニストレータのS君が情報セキ
ュリティの確保を担当することになった。

〔改善案の検討〕

　R君とT主任は，図2に示す機器構成による改善案を提案した。

図2　改善案の機器構成

（1）ノートPCを新規に導入し，あらかじめVPNソフトウェアを組み込んで，所定の
　　インターネットサービスプロバイダへのログインアカウントを設定した上で営業部
　　員に配付する。外出先からノートPCを使って社内にアクセスする際は，VPNソフ
　　トウェアを起動した後,LAN1に新規に導入したVPNゲートウェイに接続し，利用
　　者IDとパスワードで認証を受けた後，暗号化通信を行う。VPNゲートウェイは，
　　プロキシサーバとして動作させ，LAN3の各DBサーバ及びメールサーバ2に代理
　　アクセスする。
　　　これによって営業部員は，社内と同様に外出先からも営業支援システムを利用で
　　き，いつでも顧客情報などをノートPCにダウンロードして，営業活動に利用する
　　ことができる。
（2）外出時以外はLAN3にノートPCを接続して使用することにし，下取り業者に従
　　来から使用していたデスクトップPCを売却する。
（3）WebサーバにCGIプロセスを使ったソフトウェアを組み込み，営業部に設置され
　　ている商品情報DBサーバから商品情報を検索できるようにして，インターネット
　　に接続している一般ユーザに対して，W社の商品情報を公開する。従来どおり，営
　　業部員が商品情報の登録及び更新を随時行う。
（4）メールサーバ1にウイルスチェックソフトウェアを導入する。これまでも，外部
　　からの電子メールは，いったんメールサーバ1で受信された後，ファイアウォール
　　2を通ってメールサーバ2に転送されている。また，社外へ送信される電子メール
　　は，メールサーバ2からメールサーバ1に転送された後，社外に送信されている。
　　社員は，メールサーバ2にアクセスして電子メールを送受信している。ウイルスチ
　　ェックソフトウェアを導入した後は，メールサーバ1において，社外と送受信する
　　すべての電子メールのウイルスチェックを行う。さらに，ノートPCにもウイルス
　　チェックソフトウェアを導入する。メールサーバ1とノートPCに導入したウイル
　　スチェックソフトウェアのウイルス定義ファイルは，毎週定期的に更新する。

〔セキュリティ確保のための検討〕

　S君は，改善案の提示を受け，デスクトップPCの下取り業者への売却に関して，
①情報セキュリテイボリシに基づく指示を行った。また，R君とともに検討を進め，
運用面に関して次のような対策を提案した。

（1）ファイアウォールにおける通信制御

　　S君は，ファイアウォール2に図3に示すような通信許可を追加した。

（1）【ア】と商品情報DBサーバ，クレーム情報DBサーバ及び顧客情報DBサーバ
　間のDB閲覧に関する通信
（2）Webサーバと【イ】間のCGIプロセスによる通信
（3)【ウ】

図3　ファイアウォール2に追加した通信許可

（2）VPNゲートウェイの利用者認証

　　VPNゲートウェイの認証機能を用いて，正規のアカウント以外のユーザが社内に
　　侵入することは阻止できる。しかし，【 a 】された場合には
　　【 c 】を許すことになるので，同じ【 a 】を長期間使い続けないように
　　するなど，ノートPCの運用に関する実施手順を策定し，営業部員に徹底させるこ
　　とにした。

（3）ウイルス対策

　ウイルス定義ファイルを②定期的に更新する運用には問題があったので，見直し
　を行った。
　これらの対策の実施を条件に，改善案は，改善プロジェクトに承認された。

設問1　

本文中の【 a 】～【 c 】に入れる適切な字句を解答群の中から遠
び，記号で答えよ。

　　　解答群
　　　　ア　DoS攻撃　　　イ　利用者ID　　ウ　ウイルス感染　工　改ざん
　　　　オ　侵入　　　　　力　認証　　　　　キ　盗み出　　　　ク　パスワード

設問2

本文中の下線①に示したデスクトップPCの売却に関して，S君が指示した具
体的な内容を，35字以内で述べよ。

設問3

運用面の改善に関する次の問いに答えよ。

（1）図3中の【ア】～【ウ】に入れる適切な字句を答えよ。
　　【ア】，【イ】については，それぞれ10字以内で答えよ。
　　【ウ】については，35字以内で答えよ。

（2）本文中の下線②の問題を，35字以内で具体的に述べよ。

設問4

社外でのノートPCの利用に関する次の問いに答えよ。

（1）〔改善案の検討〕の（1）に従って営業部員が運用を行う上で，遵守すべきこと
　　は何か。情報セキュリティポリシを踏まえて，50字以内で述べよ。

（2）上記（1）を遵守しても社外でのノートPCの利用には，ノートPCの盗難以外
　　に幾つかのリスクが残る。特に留意すべきリスクを，30字以内で述べよ。また，
　　その技術的対策を，30字以内で述べよ。