情報セキュリティアドミニストレータ(セキュアド)過去出題問題

平成17年　午後1　問3

最終更新日　2006/02/17
webmaster@tomnetwork.net

Tomのネットワーク勉強ノート

　過去問（午後）

情報セキュリティアドミニストレータ過去問（午後）

情報セキュリティアドミニストレータ過去問平成17年　午後1　問3

問3

Webの私的利用に関する次の記述を読んで,設問1～3に答えよ。

　Q社は,従業員数500名の部品メーカである。早くからインターネットを利用して,
業務に必要な情報の交換,収集を行っている。従業員が利用できるインターネットサ
ービスは,電子メールとWebに制限している。本社では,従業員1人に1台ずつパソ
コンを配付しているが,工場では,複数人に1台配付し,共用させている。アカウン
トは,本社,工場とも1人一つずつ割り当てている。パソコンを利用する際には,ID
とパスワードを入力し,ログインする。ログインのログは採取していない。Webを利
用する際には,必ずプロキシサーバを経由する。プロキシサーバでは,通信のログは
採取していない。

　なお,パソコンには固定のIPアドレスが割り当てられている。

　Q社のネットワーク構成を,図1に示す。

　　　　　　　図1 Q社のネットワーク構成

〔私的利用の制限〕

　Q社は,2年前に,情報システム部を中心とした情報セキュリティ委員会を設立し,
情報セキュリティポリシ(以下,ポリシという)の策定を行った。情報セキュリティ
委員会では,ポリシの制定や改正,情報セキュリティに関する施策実施の審議などを
行う。ポリシに基づいた施策と現場の業務上の要求が相いれない場合は,情報セキュ
リティ委員会で,調整のための最終判断を行うこととなっている。

　Q社のポリシでは,業務目的以外のパソコンの利用を禁止しているが,Webに関し
ては,インターネットオークションや株取引など,一部で私的に利用されている。情
報システム部のS部長は, このような私的利用は就業規則に抵触すると判断し,早
急に対処することにした。その対策として,Webについて,フィルタリングソフトを
導入してアクセス制限を行うこととし,情報セキュリティ委員会での審議を経て,経
営陣の承認を得た。その際,S部長は,必要ならば関連する社内規程も併せて修正す
るよう,情報セキュリティ委員会から指示され,情報システム部のT君に検討を命じ
た。

　T君は,法律や公表されているガイドラインなどを点検し,既存のインターネット
利用規程に,“利用の制限"と“管理者による利用状況の調査"の2項目を追加した
(図2)。これらの項目は,情報セキュリティ委員会での審議及び経営陣の承認を得た
上で,従業員に周知された。

利用の制限
・フィルタリングソフトなどによるアクセス制限を行うことがある。
管理者による利用状況の調査
・管理者が,従業員のインターネット利用状況を調査する場合がある。
・管理者は,従業員のインターネット利用状況に関して,プライバシ保護の趣旨
　に反した調査を行ってはならない。

図2 インターネット利用規程に追加した項目

〔フィルタリングソフトの導入〕

　S部長は,Q社の業務にとって支障の少ないフィルタリングソフトを導入するよう,
T君に命じた。T君による業務状況調査の結果,客先情報や業界の最新動向,技術情
報など,不特定多数のWebサイトを通じて情報収集が行われているので,利用可能
としておかなければならないWebサイトの特定は困難であることが分かった。この
ような状況を踏まえ,幾つかの製品を比較した上で,R社フィルタリングソフトを導
入し,稼働させた。R社フィルタリングソフトの概要は,図3のとおりである。
なお,R社フィルタリングソフト導入に際して,フィルタリング方式には,Q社の
業務状況から判断して,【　　a　　】方式を選択した。また,カテゴリの設定につい
ては,関覧してよいかどうか判断しにくいものがあるので,各部署の意見を収集し,
情報システム部で判断したカテゴリを設定することにした。その過程で,営業部から,
“旅行"のカテゴリについては業務上必要であるとの要求があった。ポリシによれば,
私的な旅行のための開覧は制限すべきであり,情報システム部はこの要求を却下した
が,営業部も譲らなかった。結局,情報システム部は,営業部の要求を認め,閲覧可
能とした。

1.フィルタリング機能
　　次の(1)～(4)の項目の設定(フィルタリングルール)に基づいて,フィルタリングを行う。

　(1)フィルタリング方式(必須)
　　　　次の二つの方式から選択する。
　　　① ホワイトリスト方式:あらかじめ指定されたURL以外のアクセスを拒否する。
　　　② ブラックリスト方式:あらかじめ指定されたURLだけアクセスを拒否する。
　(2)フィルタリングを行うURLのカテゴリ指定(必須)
　　　あらかじめ指定されたLIRLのリストをカテゴリ単位で指定する。(1)
　(3)送信元眼定条件(任意)
　　　特定の送信元からの通信をフィルタリングする。IPアドレス(群)又は利用者(群)を指
　　　定できる。指定しない場合,すべての送信元に適用される。(2)
　(4)時間帯限定条件(任意)
　　　特定の時間帯の通信をフィルタリングする。指定しない場合,すべての時間帯で適用され
　　　る。
2.ログ(任意)
　　ログを採取する場合,採取条件と採取項目を指定する。採取条件は,アクセス拒否された通
　　信,アクセス許可された通信のいずれか,又は両方から指定できる。採取項目は,IPアドレス
　　(送信元),あて先URL,適用理由(適用したフィルタリングルール及びカテゴリ),時間,利
　　用者IDから任意に指定できる。ただし,利用者IDは,送信元限定条件として,利用者(群)を
　　指定された場合にだけ指定できる。
3.管理方法
　　ブラウザによる設定の変更,稼働状況の確認などができる。
4.運用形式
　　プロキシサーバ上で稼働する。

注( 1 )
・URLのリストは,幾つかの分野(カテゴリ)ごとに分類されている。
・カテゴリとカテゴリ内のURLのリストは,ソフトウェア開発元の専門チームによって選定さ
　れ,定期的に最新版に自動更新される。
・利用者は,独自にカテゴリの作成,URLのリストの追加ができる。

注( 2 )
・利用者を指定した場合,フィルタリングソフトは,利用者を識別するために,ブラウザからの
　アクセスに認証済の利用者情報が含まれているかどうかを確認する。
・利用者情報が含まれていない(ブラウザ起動後の最初のアクセスなど)場合,利用者認証要求
　を返す。
・ブラウザから利用者D,パスワードを受け取り,利用者を認証し,フィルタリングルールに従
　ってフィルタリングを行う。
・利用者ID,パスワードについては,本フィルタリングソフトで管理できる。

　　　　　　　　　　　　　図3 R社フィルタリングソフトの概要

〔フィルタリングソフトの運用〕

　S部長は,業務目的以外のアクセス状況を把握するため,必要なログを採取するよ
う,T君に指示した。T君は,アクセス拒否された通信のログについて,IPアドレス
と適用理由の項目を採取することにし,S部長に相談した。S部長は,その設定では,
①利用者まで特定できない場合があるので,② 設定変更するように指示した。
運用開始から数日後,営業部で業務目的以外に“旅行"のカテゴリに属するWeb
サイトを閲覧しているとの情報が寄せられた。情報システム部は営業部に対して調査
を行い,寄せられた情報の事実確認を行った。この過程で,③ 閲覧の事実を確認する
ためのログが不十分であることと,“旅行"のカテゴリを閲覧可能とした④手続に問
題があることを認識した。

　これらの問題に対処するため,情報システム部が中心となって,運用を改善するこ
とになった。

設問1

本文中の【　　a　　】に入れる適切な字句を,図3のフィルタリング方式から
選び,10字以内で答えよ。

設問2

下線④ の問題とは何か。Q社の業務状況に基づいて,35字以内で具体的に述べよ。

設問3

フィルタリングソフトの設定について,(1)～(4)に答えよ。

(1)営業部からの要求に応じて営業部だけ設定を緩和した。R社フィルタリング
　　ソフトの機能を踏まえ,その設定方法を35字以内で述べよ。

(2)S部長が下線① のように考えた理由は何か。Q社の業務状況に基づいて,45
　　字以内で述べよ。

(3)下線② の設定変更の内容を,30字以内で具体的に述べよ。

(4)下線③ の問題に対し,どのように改善すべきか。R社フィルタリングソフ
　　トの機能を踏まえ,30字以内で述べよ。