情報セキュリティ アドミニストレータ(セキュアド)過去出題問題平成17年 午後1 問1最終更新日 2006/05/02
|
Tomのネットワーク勉強ノート |
過去問(午後) |
情報セキュリティ アドミニストレータ過去問(午後) |
情報セキュリティ アドミニストレータ過去問 平成17年 午後1 問1 |
問1
情報漏えい防止システムの導入に関する次の記述を読んで,設問1〜 4に答えよ。
W社は,社員数40名の食料品の通信販売会社である。カタログ冊子には,常時
1,000点以上の商品を掲載し,とじ込みの注文書をファックス又は郵送によって受け
付け,商品を発送している。注文書には,注文商品番号,個数,注文者氏名,商品配
送先,クレジットカード番号が記入される。一度注文を受けた顧客に対しては,ダイ
レクトメールを郵送しており,その効果もあって,最近では毎日平均1,000件を受注
し,月間売上高は1億円を超え,業績を伸ばしている。
また,業務量が時期によって変動するので,アルバイトを活用している。アルバイ
トの採用,教育,管理は,各課の裁量に任せている。
オフィスは,雑居ビルの4階フロア全面を借りているが,エレベータホールや廊下
はオープンスペースになっている。各課間で注文書を受渡しする際には,オープンス
ペースを経由するので,注文書の受渡しを確実に管理するために,授受簿に受渡しを
記録している。各課の業務概要と情報システムの構成は,図1のとおりである。
受注課 (1)受注課の受注係は,随時,ファックス及び郵便受けから注文書をピックアップする。 (2)受注係は,採番表を用いてユニークな通し番号からなる受注番号を付与し,注文書に記 (3)受注係は,随時,注文書を束ね,授受簿に受渡しを記録して,受注課事務室を出てオー 注文課 (1)注文課の受付係は,受注課の受注係から注文書の束を受け取り,内容を確認して授受簿 (2)受付係は,注文係に注文書を割り振る。 (3)注文係は,注文書ごとに在庫引当て及び請求処理を行う。この操作では,在庫確認シス (4)在庫引当てが完了した後は,注文書の確認欄に商品手配済のチェック記号を記入し,受 (5)受付係は,注文書を点検し,授受簿に受渡しを記録して,注文課事務室を出て,オープ 配送課 (1)配送課の受付係は,注文課の受付係から注文書を受け取り,内容を確認して授受簿に受 (省略) 総務課 (1)総務課の文書係は,配送課の受付係から注文書を受け取り,内容を確認して授受簿に記 (省略) 営業課 (1)外出時には,社外秘情報をすべて消去した上でNPCを持ち出す。 (以下,省略) |
図1 各課の業務概要と情報システムの構成
W社は,情報管理が適切に行われているかどうかについて,第三者の点検を受け
ることにし,セキュリティ評価で定評のあるB社に依頼した。B社のセキュリティコ
ンサルタントであるZ氏は,依頼に基づいて,各課の実態を調査し,図2に示す点検
報告書をW社に提出した。
授受簿による運用が適切に行われているか,そのほかに情報管理上の課題がないかどうかに ついて調査を行い,課題を次の(1)〜(3)にまとめた。運用ルールの徹底を図るとともに,シス テム面での対策を検討すべきである。 (1)授受簿の記録の不整合 文書の棚卸しを行ったところ,授受簿に受渡しの記録があるにもかかわらず原本が見当 (2)PC管理の不備 @休憩時間などに,事務室を不在にしているにもかかわらず,PC,CPC,NPCがログイ (3)アルバイトの情報セキュリティ意識の高低差 アルバイトの情報セキュリティ意識をアンケート調査したところ,各課間の高低差が大 |
図2 点検報告書(要旨)
〔情報漏えい防止対策の検討と実施〕
報告を受けた社長は,情報管理の徹底を訓示するとともに,具体的な対策を検討す
るよう,情報セキュリティアドミエストレータのK君に指示した。K君は,対策の素
案を次のようにまとめた。
(1)物理的セキュリティ
すべての事務室の扉に電子錠を設置し,暗証番号を入力しないと入室できないようにする。
(2)注文書の電子化
新たにイメージスキャナを導入し,受注課で注文書を受け付けた時点で,直ちに
イメージスキャナで画像情報として電子化する。注文書の原本は,すぐに総務課で
厳重に保管する。
(3)ワークフローシステムの導入
ワークフローシステムを既存システムに追加導入し,受注課から注文課,配送課
及び総務課への注文書の手渡しと,各課間の受渡しを記録する授受簿は廃止し,ワ
ークフローによって授受記録を管理する。
(4)ICカードの導入
ICカードを導入し,社員及びアルバイトに1枚ずつ配付する。すべてのPC,
CPC,NPCにICカードリーダを接続し,ICカードを装てんした状態のときだけ使
用できるようにする。
(5)ログイン情報管理サーバによる認証の一元化
ログイン情報管理サーバを新設し,社内LANに接続するPC,NPCは,このサー
バと通信できる状態のときだけログインできるようにする。
(6)操作制限,出力制限の実現
W社内のすべてのPC,CPC,NPCに対して,離席時の操作制限と外部記録装置
やプリンタヘの出力制限を行う。
(7)情報漏えい防止システムの導入
上記(4)〜(6)を実現するために,次の表に示すC社製情報漏えい防止システムを導入する。
(8)情報管理面での施策の強化
A 図2の点検報告書の課題(3)に対応するための施策を実施する。
表 C社製情報漏えい防止システムの仕様
機能 | 仕様内容 |
ユーザ認証 | ログイン時のユーザ認証は,ICカードの情報とディレクトリサーバの情報を 照合するディレクトリサーバ認証方式と,パソコン内にあらかじめ導入された 情報とICカードの情報を照合するスタンドアロン認証方式のいずれかを選ベ る。ディレクトリサーバ認証方式は,ディレクトリサーバと通信できる環境の 場合だけパソコンを起動できる。 |
ファイル暗号化 | ファイルは自動的に暗号化され,ICカードを装てんしないと復号できない。 これによって,パソコンが盗難に遭っても,情報漏えいのリスクを低減でき る。 |
出力制限 | フロッピー装置,CD-R装置,USBメモリなどの記録装置への書込み,及びプ リンタによる印刷を禁止できる。ただし, これらの禁止は,管理者の許可があ れば,一時的に解除できる。 |
操作制限 | ICカードをパソコンから外すと,パソコンの画面が暗転してロック状態にな り,操作を禁止できる。 |
注 IC カードは, 多機能型が利用でき, 入退室かぎ, クレジットカード, 電子マネーなどと一体化
して利用できる。
この素案に基づいて検討を行ったところ, 〔情報漏えい防止対策の検討と実施〕の
(4)に関して,B ある課では業務効率が著しく低下することから,導入が困難である
ことが分かり,特例的な運用によって解決することにした。
また,NPCとCPCのユーザ認証方式には【 a 】方式を適用できないことが分
かったので,【 b 】方式を採用することにした。
W社では, これらを踏まえて,情報漏えい防止システムの運用を開始した。
設問1
本文中の【 a 】,【 b 】に入れる適切な字句を,表中の仕様内容の
字句を用いて答えよ。
設問2
本文中の下線A に該当する施策を,W社のアルバイトの教育状況を踏まえ,
35字以内で具体的に述べよ。
設問3
本文中の下線B について,(1),(2)に答えよ。
(1)導入が困難な課名を挙げ,該当する業務内容について,20字以内で述べよ。
(2)特例的な運用について,その内容を40字以内で述べよ。
設問4
図2中の下線@ の事態を抑止したい。そのための,C社製情報漏えい防止シス
テムのICカードを活用した施策を,60字以内で述べよ。
Tomのネットワーク勉強ノート |
過去問(午後) |
情報セキュリティ アドミニストレータ過去問(午後) |
情報セキュリティ アドミニストレータ過去問 平成17年 午後1 問1 |