情報セキュリティアドミニストレータ(セキュアド)過去出題問題

平成16年　午後1　問1

最終更新日　2006/05/02
webmaster@tomnetwork.net

Tomのネットワーク勉強ノート

　過去問（午後）

情報セキュリティアドミニストレータ過去問（午後）

情報セキュリティアドミニストレータ過去問平成16年　午後1　問1

問1

情報セキュリティポリシの教育に関する次の記述を読んで,設問1～4に答えよ。

A社は,従業員数2,000名の不動産会社で,戸建て住宅,マンションの販売及びオ
フィス賃貸事業を全国に展開している。A社では,社内業務の効率向上のために,5
年前から全従業員に対して,ネットワークに接続されたパソコンが配備されている。
3年前からは,インターネットによる空き室情報の提供や申込受付などのサービスを
開始し,順調に売上を伸ばしている。また,インターネットによるサービスの開始と
同時に,外部からの不正侵入を阻止するために,ファイアウォールを設置した。
A社の組織構成を図に示す。インターネットを利用した事業を推進する上で,情報
セキュリティポリシが必要不可欠であると判断し,社長を委員長とする情報セキュリ
ティ委員会を社内に新設した。委員には各部の部長が選任され,情報システム部のN
部長と若手のT主任の2名が事務局となった。

図　A社の組織構成

この委員会は,3か月間で情報セキュリティポリシを策定した。A社は,インター
ネットによる情報の活用促進を重要視する一方で,会社の秘密情報が外部に流出する
ことを防止するために,会社の情報資産を重要度に応じて分類し,その分類ごとに適
切に取り扱うように情報セキュリティポリシの中で規定している。
T主任は,情報セキュリティポリシを社内に周知徹底させるに当たつて,数年前に
情報システム部が"電子メール利用上の注意"を社内に浸透させようとしたときの方
法について調べた。このときは,情報システム部の担当者が各部に直接出向いて説明
会を開き,全従業員に受講させていた。それにもかかわらず,"電子メール利用上の
注意"が従業員に浸透しているとはいえなかった。T主任は,"電子メール利用上の
注意"を浸透させようとした際に実施したアンケートの調査結果を読み直してみた。
その結果,"情報システム部の説明が理解しにくい","注意事項はもっともだが,そ
れでは仕事の実態からずれている"などの問題点が指摘されていることに気付いた。

T主任は,アンケートの調査結果を踏まえ,社内への周知方法についてN部長と話
し合った。その結果,説明の時間や回数を増やすのではなく,方法を変えてみること
にした。それは,情報システム部による一斉集合教育から,段階的なトップダウン教
育に変更するというものであった。具体的には,まず,情報システム部が各部の総務
担当の課長に対して指導者養成のための教育を行い,次に,各課長が所属する部の従
業員に対して教育を行うというものであった。教育用マニュアルは,専門用語を避け,
一般従業員でも理解しやすい表現にした。
次は,各課長に対する教育での質疑応答である。

①B課長：情報セキュリティポリシの教育といっても,情報システム部がファイアウ
　　　　ォールを設置したし,システムに利用者IDとパスワードを設定している
　　　　から,当社の情報セキュリティは十分だと思うが。
②T主任：まだまだ不十分です。まず,どの情報が会社の秘密情報なのか分かりにく
　　　　い状況です。次に,秘密情報と思われるものが机の上に無造作に置かれて
　　　　いて,業務上必要のない従業員が簡単に見ることができます。
③B課長：確かにそうだ。
④N部長：基本的なことだが,部外者が許可なく室内に出入りできなくするための入
　　　　退管理も大切なことではないか。
⑤B課長：休日出勤したときや最後に退社する際に,かぎの管理が甘いのではないか
　　　　と感じることがある。しかし,それと情報セキュリティとは,どう関係す
　　　　るのだろうか。
⑥N部長：情報セキュリティを確保するためには,様々な脅威に対して,物理的,人
　　　　的,技術的対策などを網羅的に実施する必要がある。
⑦C課長：人的対策を実施するとは,具体的にどうすればいいのでしょう。
⑧N部長：例えば,従業員の雇用契約の中に守秘義務にかかわる条項を入れることな
　　　　どがある。
⑨C課長：当社の雇用契約には,守秘義務にかかわる条項が含まれている。その一方
　　　　で,外部への業務委託が増えているので,各社との契約の中に守秘義務に
　　　　関する条項があるかどうかを確認する必要がありそうだ。改めて聞くが,
　　　　なぜ今,情報セキュリティを強化しなくてはならないのかね。
⑩T主任：激化する競争に勝ち抜くために,当社のような企業では,情報の活用が不
　　　　可欠です。その一方,企業内や企業間のネットワーク化によって情報が共
　　　　有され,活用が推進されて,情報が外部に流出するリスクが増大している
　　　　ことを当社の大部分の従業員は気付いていないのです。情報セキュリティ
　　　　を確保するためには,情報セキュリティヘの従業員の無関心を何とか解決
　　　　しなくてはなりません。
⑪D課長：コンピュータに詳しくなくても,他人のネットワークに不正侵入を試みる
　　　　ことができるソフトウェアも出回っているようだね。
⑫N部長：そのような行為を防止するために,【 a 】が2000年に施行されたわ
　　　　けだ。
⑬D課長：最近,新聞などに個人情報とプライバシの問題が採り上げられているね。
　　　　確かに今,情報を利用するときのモラルについて教育することも不可欠だ
　　　　と思うね。
⑭T主任：情報セキュリティに対する意識や知識が不足していると,自分では気付か
　　　　ずに法に触れてしまうこともあります。第三者のホームベージの記事を許
　　　　可なく転載すると,【 b 】権を侵害する場合があります。また,ソ
　　　　フトウェアを無断でコピーし利用すると,【 b 】権だけでなく,進
　　　　歩性のあるアイデアを保護する【 c 】権も侵害する場合があります。
⑮B課長：情報漏えいは,内部の人間によるものが多いという新聞記事を見た。
⑯N部長：過去の情報漏えいの事例を見ると,やはり内部の人間が持ち出すケースが
　　　　ほとんどだね。従業員の管理を徹底させることが重要だ。
⑰C課長：内部の人間による不正を防ぐためには,教育と併せて,社内のチェック体
　　　　制を確立することも大事だ。外部への業務委託のチェック体制としては,
　　　　委託先に管理者を置き,その管理者に任せるようにしよう。ところで,万
　　　　が一,秘密情報が漏えいした場合,その使用と開示を差し止めることはで
　　　　きるのか。
⑱T主任：差し止めることができる法律としては,不正競争防止法があります。ただ
　　　　し,差止め権を行使することができるのは,【 d 】情報のうち,顧
　　　　客情報や製造方法など事業活動に【 e 】技術上又は営業上の情報で
　　　　あり,客観的に秘密情報として管理されていることが必要条件になります。
⑲B課長：訴訟になった場合,企業における情報管理が問われるわけか。
⑳T主任：そこで,被害を最小限にとどめるために,会社の秘密情報をどのように管
　　　　理すべきかを情報セキュリティポリシの中でうたってあります。
(21)D課長：今までの説明で,情報セキュリティポリシの教育の背景やねらいなどを理
　　　　　解することはできたが,うまく説明できるかどうかが心配だ。
(22)N部長：教育用のマニュアルやツールについては,分かりやすいものを用意したの
　　　　　で,ぜひともよろしくお願いしたい。

設問1

本文中の【 a 】～【 e 】入れる適切な字句を答えよ。

(1)【 a 】については,当てはまる法律名を20字以内で述べよ。

(2)【 b 】,【 c 】については,それぞれ2字以内で答えよ。

(3)【 d 】,【 e 】については,解答群の中から選び,記号で答えよ。

　　解答群
　　　ア希少な　イ貴重な　ウ自社の　エ非公知の　オ有用な

設問2

本文中の質疑応答の中で,人的対策の観点から不十分な発言がある。該当する
発言番号を①～(22)の中から一つ選び,その理由を30字以内で述べよ。

設問3

本文中の質疑応答のT主任の発言内容から,A社の秘密情報の管理は不十分で
あるといえる。万が一,秘密情報が漏えいした場合,法的に不正使用を差し止め
るには,A社の情報管理をどのように変更すべきか。T主任の発言内容を踏まえ
て要件を二つ挙げ,それぞれ25字以内で述べよ。

設問4

情報セキュリティポリシの教育に関する次の問いに答えよ。

(1)A社に情報セキュリテ才ポリシを周知徹底させる上で,T主任が考えている
　　最大の障害は何か。25字以内で述べよ。

(2)情報セキュリティポリシを周知徹底させるために,T主任は従業員に対する
　　教育を各部の総務担当の課長にお願いした。各部の総務担当の課長が実施する
　　メリットは何か。45字以内で述べよ。