情報セキュリティ アドミニストレータ(セキュアド)過去出題問題

 平成17年 午後2 問1

最終更新日 2006/02/25
webmaster@tomnetwork.net

Tomのネットワーク勉強ノート
 過去問(午後)
   情報セキュリティ アドミニストレータ過去問(午後)
     情報セキュリティ アドミニストレータ過去問 平成17年 午後2 問1

問1

電子文書の保存に関する次の記述を読んで,設間1〜5に答えよ。

 J社は,従業員600名の中堅製造業者である。最近の環境保護意識の高まりを背景
に,これまで蓄積してきた技術を生かして,産業分野や環境分野に分析機器を提供し
ている。研究所が隣接している本社は東京にあり,近県に生産拠点をもつが,商品は
すべて販売代理店経由で販売している。

〔文書の保存と管理の概要〕

 J社では,図1に示すように,電子データ交換(EDI)システム,営業システム,購
買システム,経理システム,電子帳票システム及び電子文書管理システムからなる, 
業務系システムを運用しており,在庫照会から会計処理までの一連の業務を電子デー
タで扱えるようにしている。法令で保存が義務付けられている経理帳簿のうち,電子
データになっているものは,電子帳票システムによって記録媒体に書き込み,必要
なときにはいつでも読み出せるように経理部門のオフィスに保存している。また,電
子データになっていない,部材取引の契約書や領収書などは,紙のまま保存している。

   
        図1 業務系システムの構成

一方,設計書や図面などの技術文書はすべて電子データになっており,独自技術の
機密保持,権利保護及び製造物責任法(PL法)への対応を考慮し,長期の参照を想
定した管理を行っている。昨年には, この分野で定評のある,K社の電子文書管理シ
ステムを導入した。このシステムは,文書管理台帳機能(属性情報)と文書保管機能
(本体情報)をもち,登録文書を管理,保存することができる。文書内容の更新や書
式変換は, このシステムの支援対象外である。
表1に文書の分類と保存方法を,表2に文書保存期間を示す。

表1 文書の分類と保存方法

文書 \ 状態・保存 作成又は
入手時の状態
保存方法 備考
経理帳簿 紙で保存 今後,電子データ化を検討
電子データ(1) 記録媒体で保存 必要に応じて印刷
技術文書 電子データ(2) 記録媒体で保存 すべて電子データ化済。必要に応じ
て印刷
その他 紙で保存

電子データ 記録媒体で保存 必要に応じて印刷

注 (1)以下,電子帳簿という。
   (2)以下,電子技術文書という。

表2 文書保存期間

保存期間 文書
経理帳簿 技術文書 その他
永久

設計書,図面,特許関係書類 定款,株主名簿,社報
10年 商業帳簿

重要会議議事録,事業計画
7年 取引帳簿,証憑(領収書,契
約書,請求書など),賃金台帳

5年

健康診断個人票
4年

雇用保険関係書類
・・・ ・・・ ・・・ ・・・

〔経理帳簿の電子データ化〕

 今のところ,取引先から受け取った領収書など,取引の内容を明らかにする証憑の
うち,原本が紙の証憑は,電子帳票システムを使って管理している。PCから所定項
目を入力すると,証憑管理番号が自動付与された証憑添付台紙が出力印字される。こ
の台紙に領収書などの証憑を貼付して,上司の承認を得た後,経理部門に回付する。
経理部門が証憑管理番号を入力して,消込みを行う。

 次は,情報セキュリティアドミエストレータであるY主任と,上司のX部長の,電
子データによる証憑の保存に関する会話である。

X部長 : 今年から,いわゆる【  a  】 (民間業者等が行う書面の保存等における情
       報通信の技術の利用に関する法律,及び民間業者等が行う書面の保存等におけ
       る情報通信の技術の利用に関する法律の施行に伴う関係法律の整備等に関する
       法律)が施行され,また,改正された電子帳簿保存法も施行され,原本が紙の
       国税関係帳簿についても,一定の要件の下で,スキャナを使用して作成したデ
       ータによって保存(以下,スキャナ保存という)が可能になったようだね。

Y主任 : はい。取引先から受け取った,3万円未満の契約書や領収書などの証憑は, 
       スキャナ保存が可能になりました。財務省令によると,事務処理規程に従っ
       た受領後の速やかな入力や,帳簿間の相互関連性が分かるようにしておくこ
       とに加え,システム要件として,8ドット/mm以上の解像度かつ256階調
       以上のカラー画像によるスキャニング,解像度と階調及び文書の大きさに関
       する情報の保存,入力者又は【  b  】の電子署名を行うこと,認定され
       た機関が発行するタイムスタンプの付与,及び@記録事項の訂正・削除を
       行う場合の考慮事項に関する規程があります。そのほか,カラーディスプレ
       イやカラープリンタの備付け,検索機能の確保,システム関係書類の備付け
       など,いわゆる可視性を確保するための要件があります。

X部長 : なるほど。これまでの電子帳簿の保存管理規程(図2)との関係はどうなっ
       ているのか。

Y主任 : スキャナを使用して作成した後は,従来の電子帳簿の保存管理の考え方と同
       じです。

X部長 : 分かった。それでは,いつからスキャナ保存に切り替えるかは,経理部門と
       調整し,費用対効果を見極めて判断することにしよう。

1.保存
   電子帳簿は,月次処理の後,所定の記録媒体に保存すること
2.検索
   別に定める項目をキーとして,電子帳簿を容易に検索できる環境を提供すること
3.表示
   必要に応じて,電子帳簿を速やかに,整然と,かつ明りょうに表示できる環境を提供すること
4.訂正・削除
   訂正・削除の事実と内容を確認できる環境を提供すること
5.帳簿間の関連性の確保
   電子帳簿間の相互関連性を確認できる情報を記録すること
6.電子データ交換
   単価などのマスタ情報を取引情報に含めて出力すること
   暗号化された情報や圧縮された情報は,変換後又は変換前の情報を保存すること
7.システム関連文書の備付け
   (省略) 
(以下,省略) 

図2 電子帳簿の保存管理規程

〔記録媒体による保存の問題点〕

 ある日,記録媒体に書き込んであった電子帳簿の読出しができないという問題が
発生した。何台か別の装置で読出しを試したところ,何とか読み出すことができ,事
なきを得た。Y主任は,X部長にこの状況を報告した後,原因究明に取り組んだ。そ
の結果,直接の原因は,長期保存に適した記録媒体に保存していなかったことにあ
るが,保存場所にも問題があることが分かった。

 X部長は,今回の事故の教訓を生かして,電子帳簿だけでなく電子技術文書なども
含めた電子データの記録媒体について取扱規程を作成するよう,Y主任に検討を指示
した。1週間後,Y主任は,記録媒体の取扱規程に盛り込むべき事項の案(図3)を, 
X部長に提出した。

X部長 : CDなどの記録媒体といえども,製品の選択や保存場所などの環境を考慮
       しないと,今回のような事故が起こるのではないかな。

Y主任 : はい。保存を目的とする場合は,製品の仕様に適合した環境での書込み,保
       存に加え,書込み後の読出しチェックが必要でした。

X部長 : 製品の仕様に適合した環境とは,具体的にどのようなものなんだ。

Y主任 : CDなどの記録媒体の期待寿命は約30年といわれていますが,このときの
       【  c  】は,温度が10〜25℃ ,湿度が40〜60%となっています。湿度
       が60%を超えると,カビが発生して劣化することがあります。

X部長 : オフィス内だと温度はともかく,湿度を常にこの範囲に保つのは難しいな。
       空調設備が整っているサーバ室で保存することにしよう。

Y主任 : 分かりました,関係者に周知します。

(1)書込み,読出し,保存に関して信頼できる記録媒体を使用し,正副1組を作成する。
(2)製品の仕様に適合した環境で,書込み,読出し,保存を行う。
(3)記録媒体に書込み後,直ちに読出しチェックを行う。
(4)保存中の記録媒体は,定期的に読出しチェックを行う。

図3 記録媒体の取扱規程に盛り込むべき事項の案

〔電子技術文書の管理強化〕

 X部長は,セキュリティの観点から,電子技術文書の管理強化の必要性を認識して
いる。その一つは,訴訟対策としての,証拠確保のための適切なタイムスタンプの導
入である。タイムスタンプは,その文書が確かにその時点に存在したという存在証明
と,それ以降改ざんされていないという非改ざん証明を可能にする。

 X部長は,まず,P社のタイムスタンプサービスを利用して,電子文書管理システ
ムで管理している電子技術文書にタイムスタンプを付与したいと考え,Y主任に調査
を命じた。図4は,Y主任が調査したP社のタイムスタンプサービスの概要である。

1,タイムスタンプトークンの発行
 (1)タイムスタンプトークンの要求者は,電子データのハッシュ値をタイムスタンプ機関(以
   下,TSAという)に送付する。
 (2)TSAは,タイムスターンプトークンを生成して,要求者に返す。
 備考 : タイムスタンプトクンとは,タイムスタンプの要求者から受け取った電子デタのハッ
      シュ値に時刻情報を連結し,そのタイムスタンプが確かにTSAが発行したものであること
      を証明するために,電子署名を付与した時刻証明情報のことである。

2.タイムスタンプトークンの検証
 タイムスタンプトークンの検証は,次の手順で行う。

 (1)電子データのハッシュ値と,タイムスタンプトークンに含まれるハッシュ値を比較し,改ざ
   んされていないことを確認する。
 (2)タイムスタンプトークンに含まれている公開かぎ証明書を利用して,タイムスタンプトーク
   ンが改ざんされていないことを確認する。
 (3)タイムスタンプトークンに含まれている公開かぎ証明書の検証を行い,公開かぎ証明書が有
   効であることを確認する。

3.アーカイブ
 (1)TSAは,発行したタイムスタンプトークンのコピーを10年間保存し,要求に応じてタイムス
   タンプトークンの発行を証明する。
 (省略)

4.公開かぎ証明書と秘密かぎの有効期間
 (1)タイムスタンプトークンに含まれている公開かぎ証明書の有効期間は,6年とする。
 (2)タイムスタンプトークン発行時の秘密かぎの有効期間は,公開かぎ証明書の有効期間が満了
   する日の5年前とする。

5.免責事項
 (省略) 

図4 P社のタイムスタンプサービスの概要(抜粋)

 もう一つの管理強化は, 日々作成される電子技術文書の長期保存である。OSやア
プリケーションの度重なるバージョンアップで,互換性が失われてしまう場合がある
ことから,保存している電子技術文書ファイルを将来読み出せるという保証はない。

X部長 : ところで,電子技術文書だが,将来のシステムで電子技術文書ファイルを読
       み出せないと,記録媒体の劣化問題が解決しても,証拠としての効力がない
       のではないか。紙の文書なら,長期保存は我々の管理の問題だが,電子デー
       タによる保存の場合は,我々だけで解決できないからな。

Y主任 : おっしゃるとおりです。将来の互換性については,だれも確約できません。
       リスクを少しでも軽減するには,書式の仕様が公開されていることと,固有
       の機器の特性や機能に依存していないことが重要です。その機器がなくなる
       と再現できないような仕様ではリスクは軽減できません。そうなると,現在, 
       電子化文書の国内標準でも採用されている【  d  】やTIFFなどの書式
       が,候補になると思います。

X部長 : なるほど。我が社の文書も,最初から長期保存が必要だと分かっているもの
       については,電子文書を登録する段階で,それらの書式にしておけば,将来, 
       読めなくなるというリスクは減るわけだ。

Y主任 : はい。これからの電子文書は長期保存可能な書式にすべきだと思います。

X部長 : ところで,現在,社内に保存されている,各種ツールで作成された電子技術
       文書はどうすればいいのだろうか。電子技術文書は年々増加しているし,将
       来読めなくなるかもしれないリスクを負って,何もせずに放っておくわけに
       はいかないが,今更,マイクロフィルムに逆戻りはできないしな。

Y主任 : 電子文書を長期にわたって読出し可能にする方法として,表3に示す方法が
       考えられます。2番目のエミュレータとは,ハードウェア環境を模擬するソ
       フトウェアのことです。実際のハードウェアは,将来その時点で入手できる
       ものを使うことになります。

表3 長期にわたって電子文書の読出しを可能にする方法とその問題点

項番 方法 問題点
1 現在のハードウェア,OS及びアプリケーショ
ン一式を長期保存する。
【  e  】(したがって, 自社でコントロ
―ルできない)。
2 OS及びアプリケーションを,エミュレータ上
で動作させる。
【  f  】(したがって, 自社でコントロ
―ルできない)。
3 文書の書式を変換する。 書式変換前の文書の電子署名は,書式変換後
の文書の電子署名として引き継げない。
4 動作環境に合わせて,アプリケーションを継
続的にバージョンアップする。
同一のアプリケーションが,将来にわたって
提供され続ける保証はない(したがって,自
社でコントロールできない)。

X部長 : ふむ。ところで,我が社にとってはどの方法が適切なのか。

Y主任 : 想定されるリスクを排除するには,文書取扱いのプロセスが,我が社のコン
       トロール下にある必要があります。したがって,我が社では,法令で定めら
       れているものを除き,3番目の“書式を変換する方法"を選択すべきだと思
       います。1,2,4番目の方法はいずれも,我が社ではコントロールできませ
       ん。もちろん,A 電子技術文書の管理プロセスを見直すことが前提です。

X部長 : 分かった。それでは,電子技術文書の管理プロセスを見直して,長期保存に
       備えることにしよう。早速だが,検討してほしい。

1,目的
  本規程は,当社の電子技術文書の取扱手順を定め,管理を確実にすることを目的とする。

2.適用範囲
  本規程は,文書の作成から廃棄までの業務手順(ワークフロエ)及びその管理に適用する。

3.文書の作成及び査閲
  文書の作成及び査閲は,文書の承認者によって指名された者が行う。査閲者は,その内容の適
  切性を査閲する。

4.文書の承認
  文書の承認者は,当該文書の機密区分の適切性,内容の妥当性,及び発行日付を確認し,文書
  の承認を行う。

5.文書の保存
 (1)文書管理担当者は,電子文書管理システム内の文書管理台帳によって文書名,文書番号,版
   数などを管理し,文書にも文書番号,版数を記入する。
 (2)文書管理担当者は,文書のハッシュ値を記録するなどの方法によって真正性を確保する。
 (3)文書管理責任者は,登録内容を確認して,承認を行う。

6.文書の参照
  文書管理責任者は,文書管理規程に従ってアクセス制御を行う。

7.文書の書式変換
 (1)文書管理担当者は,文書管理責任者の指示の下に,まず,【  g  】。次に,長期保存可
   能な書式への変換を行い,文書が正しく変換されたことを確認する。最後に【  h  】。
 (2)文書管理責任者は,処置内容を確認して,承認を行う。

(以下,省略)

注 今回の見直しで,“7.文書の書式変換”を追加した。

図5 電子技術文書取扱規程

その後,Y主任から,電子技術文書管理プロセスの一部見直し案が報告された。そ
の結果,J社の電子技術文書取扱規程は図5のように更新され,長期保存を考慮した
電子技術文書のライフサイクル管理が始まった。同時に,ワークフローの承認操作に
おけるタイムスタンプの付与に向けて,Y主任をリーダとした技術検討テームが発足
した。


設問1

本文中の【  a  】 〜【  d  】に入れる適切な字句を,【  a  】, 
【  c  】,【  d  】はそれぞれ5字以内,【  b  】は8字以内で答えよ。

設問2

本文中の下線@の,記録事項の訂正・削除を行う場合の考慮事項とは何か。2 
項目挙げ,それぞれ25字以内で述べよ。

設問3

保存電子データを長期にわたって利用するためには,図3の記録媒体の取扱規
程案だけでは不十分である。盗難や災害への備えのほかに,更にどのような記録
媒体取扱措置が必要となるか。50字以内で述べよ。

設問4

電子文書の長期保存に関して,(1),(2)に答えよ。

(1)表3中の【  e  】 ,【  d  】に入れる適切な文章を,【  e  】は
  20字以内,【  f  】は30字以内で述べよ。

(2)本文中の下線Aの,電子技術文書の管理プロセスの見直し結果を,図5の
  電子技術文書取扱規程に反映するには, 【  g  】と【  h  】にどのよ
  うな文章を入れればよいか。それぞれ35字以内で述べよ。

設問5

J社の電子帳簿や電子技術文書に,P社のタイムスタンプサービスを利用する
ことを前提として,(1),(2)に答えよ。

(1)公開かぎ証明書の有効期間が過ぎた後でも,領収書の保存期間内であれば, 
  領収書に付与されたタイムスタンプを確認できる。どのような方法で確認すれ
  ばよいか。50字以内で述べよ。

(2)設計書に付与されたタイムスタンプを,必要なときにいつでも検証可能に
  するには,どのような条件で,どのような処置を施すことが必要か。ルート証
  明書はいつでも入手できるものと仮定して,80字以内で述べよ。
   

Tomのネットワーク勉強ノート
 過去問(午後)
   情報セキュリティ アドミニストレータ過去問(午後)
     情報セキュリティ アドミニストレータ過去問 平成17年 午後2 問1