情報セキュリティアドミニストレータ(セキュアド)過去出題問題

平成17年　午後1　問1

最終更新日　2006/05/02
webmaster@tomnetwork.net

Tomのネットワーク勉強ノート

　過去問（午後）

情報セキュリティアドミニストレータ過去問（午後）

情報セキュリティアドミニストレータ過去問平成17年　午後1　問1

問1

情報漏えい防止システムの導入に関する次の記述を読んで,設問1～ 4に答えよ。

　W社は,社員数40名の食料品の通信販売会社である。カタログ冊子には,常時
1,000点以上の商品を掲載し,とじ込みの注文書をファックス又は郵送によって受け
付け,商品を発送している。注文書には,注文商品番号,個数,注文者氏名,商品配
送先,クレジットカード番号が記入される。一度注文を受けた顧客に対しては,ダイ
レクトメールを郵送しており,その効果もあって,最近では毎日平均1,000件を受注
し,月間売上高は1億円を超え,業績を伸ばしている。

　また,業務量が時期によって変動するので,アルバイトを活用している。アルバイ
トの採用,教育,管理は,各課の裁量に任せている。

　オフィスは,雑居ビルの4階フロア全面を借りているが,エレベータホールや廊下
はオープンスペースになっている。各課間で注文書を受渡しする際には,オープンス
ペースを経由するので,注文書の受渡しを確実に管理するために,授受簿に受渡しを
記録している。各課の業務概要と情報システムの構成は,図1のとおりである。

受注課

(1)受注課の受注係は,随時,ファックス及び郵便受けから注文書をピックアップする。

(2)受注係は,採番表を用いてユニークな通し番号からなる受注番号を付与し,注文書に記
　　入する。

(3)受注係は,随時,注文書を束ね,授受簿に受渡しを記録して,受注課事務室を出てオー
　　プンスペースを通って注文課の事務室に行き,注文課の受付係に手渡しする。

注文課

(1)注文課の受付係は,受注課の受注係から注文書の束を受け取り,内容を確認して授受簿
　　に受渡しを記録する。

(2)受付係は,注文係に注文書を割り振る。

(3)注文係は,注文書ごとに在庫引当て及び請求処理を行う。この操作では,在庫確認シス
　　テムにアクセスするPCと,社外のクレジットカード与信ネットワークにアクセスするCPC
　　を同時に使用する。クレジットカード与信ネットワークは,社内LANと接続できない契約
　　になっているので,注文係はPCとCPCを起動し,それぞれの画面を見ながら必要な情報を
　　転記入力する。

(4)在庫引当てが完了した後は,注文書の確認欄に商品手配済のチェック記号を記入し,受
　　付係に手渡しする。

(5)受付係は,注文書を点検し,授受簿に受渡しを記録して,注文課事務室を出て,オープ
　　ンスペースを通って配送課事務室に行き,配送課の受付係に手渡しする。

配送課

(1)配送課の受付係は,注文課の受付係から注文書を受け取り,内容を確認して授受簿に受
　　渡しを記録する。

(省略)

総務課

(1)総務課の文書係は,配送課の受付係から注文書を受け取り,内容を確認して授受簿に記
　　録し,保管庫に入れて保管する。

(省略)

営業課

(1)外出時には,社外秘情報をすべて消去した上でNPCを持ち出す。

(以下,省略)

図1 各課の業務概要と情報システムの構成

　W社は,情報管理が適切に行われているかどうかについて,第三者の点検を受け
ることにし,セキュリティ評価で定評のあるB社に依頼した。B社のセキュリティコ
ンサルタントであるZ氏は,依頼に基づいて,各課の実態を調査し,図2に示す点検
報告書をW社に提出した。

　授受簿による運用が適切に行われているか,そのほかに情報管理上の課題がないかどうかに
ついて調査を行い,課題を次の(1)～(3)にまとめた。運用ルールの徹底を図るとともに,シス
テム面での対策を検討すべきである。

(1)授受簿の記録の不整合

　　　文書の棚卸しを行ったところ,授受簿に受渡しの記録があるにもかかわらず原本が見当
　　たらない“原本紛失"と,原本があるにもかかわらず授受簿に受渡しの記録がない“記録漏
　　れ"が,それぞれ数件見つかった。ヒアリングによれば,繁忙期に業務が混乱したことが原
　　因と推測される。

(2)PC管理の不備

　　　　①休憩時間などに,事務室を不在にしているにもかかわらず,PC,CPC,NPCがログイ
　　　ンしたまま放置されていることがある。このような管理では,ほかの社員やアルバイト,来
　　　客などによるなりすまし及びのぞき見のリスクがある。

(3)アルバイトの情報セキュリティ意識の高低差

　　　　アルバイトの情報セキュリティ意識をアンケート調査したところ,各課間の高低差が大
　　　　きいことが判明した。意識の低い課では,情報漏えいなどのリスクが大きい。

図2 点検報告書(要旨)

〔情報漏えい防止対策の検討と実施〕

　報告を受けた社長は,情報管理の徹底を訓示するとともに,具体的な対策を検討す
るよう,情報セキュリティアドミエストレータのK君に指示した。K君は,対策の素
案を次のようにまとめた。

(1)物理的セキュリティ

　　すべての事務室の扉に電子錠を設置し,暗証番号を入力しないと入室できないようにする。

(2)注文書の電子化

　　新たにイメージスキャナを導入し,受注課で注文書を受け付けた時点で,直ちに
　イメージスキャナで画像情報として電子化する。注文書の原本は,すぐに総務課で
　厳重に保管する。

(3)ワークフローシステムの導入

　　ワークフローシステムを既存システムに追加導入し,受注課から注文課,配送課
　及び総務課への注文書の手渡しと,各課間の受渡しを記録する授受簿は廃止し,ワ
　ークフローによって授受記録を管理する。

(4)ICカードの導入

　　ICカードを導入し,社員及びアルバイトに1枚ずつ配付する。すべてのPC,
　CPC,NPCにICカードリーダを接続し,ICカードを装てんした状態のときだけ使
　用できるようにする。

(5)ログイン情報管理サーバによる認証の一元化

　　ログイン情報管理サーバを新設し,社内LANに接続するPC,NPCは,このサー
　バと通信できる状態のときだけログインできるようにする。

(6)操作制限,出力制限の実現

　　W社内のすべてのPC,CPC,NPCに対して,離席時の操作制限と外部記録装置
　やプリンタヘの出力制限を行う。

(7)情報漏えい防止システムの導入

　　上記(4)～(6)を実現するために,次の表に示すC社製情報漏えい防止システムを導入する。

(8)情報管理面での施策の強化

　　② 図2の点検報告書の課題(3)に対応するための施策を実施する。

表 C社製情報漏えい防止システムの仕様

機能	仕様内容
ユーザ認証	ログイン時のユーザ認証は,ICカードの情報とディレクトリサーバの情報を照合するディレクトリサーバ認証方式と,パソコン内にあらかじめ導入された情報とICカードの情報を照合するスタンドアロン認証方式のいずれかを選ベる。ディレクトリサーバ認証方式は,ディレクトリサーバと通信できる環境の場合だけパソコンを起動できる。
ファイル暗号化	ファイルは自動的に暗号化され,ICカードを装てんしないと復号できない。これによって,パソコンが盗難に遭っても,情報漏えいのリスクを低減できる。
出力制限	フロッピー装置,CD-R装置,USBメモリなどの記録装置への書込み,及びプリンタによる印刷を禁止できる。ただし, これらの禁止は,管理者の許可があれば,一時的に解除できる。
操作制限	ICカードをパソコンから外すと,パソコンの画面が暗転してロック状態になり,操作を禁止できる。

注 IC カードは, 多機能型が利用でき, 入退室かぎ, クレジットカード, 電子マネーなどと一体化
して利用できる。

　この素案に基づいて検討を行ったところ, 〔情報漏えい防止対策の検討と実施〕の
(4)に関して,③ ある課では業務効率が著しく低下することから,導入が困難である
ことが分かり,特例的な運用によって解決することにした。

　また,NPCとCPCのユーザ認証方式には【　　a　　】方式を適用できないことが分
かったので,【　　b　　】方式を採用することにした。

　W社では, これらを踏まえて,情報漏えい防止システムの運用を開始した。

設問1

　　　本文中の【　　a　　】,【　　b　　】に入れる適切な字句を,表中の仕様内容の
　　字句を用いて答えよ。

設問2

　　　本文中の下線② に該当する施策を,W社のアルバイトの教育状況を踏まえ,
　　35字以内で具体的に述べよ。

設問3

　　　本文中の下線③ について,(1),(2)に答えよ。

　(1)導入が困難な課名を挙げ,該当する業務内容について,20字以内で述べよ。

　(2)特例的な運用について,その内容を40字以内で述べよ。

設問4

　　　図2中の下線① の事態を抑止したい。そのための,C社製情報漏えい防止シス
　　テムのICカードを活用した施策を,60字以内で述べよ。