平成17年度情報セキュリティアドミニストレータ午後Ⅰ問題（問1）

SEのための情報セキュリティ対策

情報セキュリティプロフェッショナル試験対策　過去問掲載

平成17年度情報セキュリティアドミニストレータ午後Ⅰ問題（問1）

スポンサードリンク

→詳細な解説を見る

問1　情報漏えい防止システムの導入に関する次の記述を読んで，設問1～4に答えよ。
　
　W社は，社員数40名の食料品の通信販売会社である。カタログ冊子には，常時1,000点以上の商品を掲載し，とじ込みの注文書をファックス又は郵送によって受け付け，商品を発送している。注文書には，注文商品番号，個数，注文者氏名，商品配送先，クレジットカード番号が記入される。一度注文を受けた顧客に対しては，ダイレクトメールを郵送しており，その効果もあって，最近では毎日平均1,000件を受注し，月間売上高は1億円を超え，業績を伸ばしている。
　また，業務量が時期によって変動するので，アルバイトを活用している。アルバイトの採用，教育，管理は，各課の裁量に任せている。
　オフィスは，雑居ビルの4階フロア全面を借りているが，エレベータホールや廊下はオープンスペースになっている。各課間で注文書を受渡しする際には，オープンスペースを経由するので，注文書の受渡しを確実に管理するために，授受簿に受渡しを記録している。各課の業務概要と情報システムの構成は，図1のとおりである。
　

図1　各課の業務概要と情報システムの構成

受注課

(1)	受注課の受注係は，随時，ファックス及び郵便受けから注文書をピックアップする。
(2)	受注係は，採番表を用いてユニークな通し番号からなる受注番号を付与し，注文書に記入する。
(3)	受注係は，随時，注文書を束ね，授受簿に受渡しを記録して，受注課事務室を出てオープンスペースを通って注文課の事務室に行き，注文課の受付係に手渡しする。

　
注文課

(1)	注文課の受付係は，受注課の受注係から注文書の束を受け取り，内容を確認して授受簿に受渡しを記録する。
(2)	受付係は，注文係に注文書を割り振る。
(3)	注文係は，注文書ごとに在庫引当て及び請求処理を行う。この操作では，在庫確認システムにアクセスするPCと，社外のクレジットカード与信ネットワークにアクセスするCPCを同時に使用する。クレジットカード与信ネットワークは，社内LANと接続できない契約になっているので，注文係はPCとCPCを起動し，それぞれの画面を見ながら必要な情報を転記入力する。
(4)	在庫引当てが完了した後は，注文書の確認欄に商品手配済のチェック記号を記入し，受付係に手渡しする。
(5)	受付係は，注文書を点検し，授受簿に受渡しを記録して，注文課事務室を出て，オープンスペースを通って配送課事務室に行き，配送課の受付係に手渡しする。

　
配送課

(1)	配送課の受付係は，注文課の受付係から注文書を受け取り，内容を確認して授受簿に受渡しを記録する。　（省略）

　
総務課

(1)	総務課の文書係は，配送課の受付係から注文書を受け取り，内容を確認して授受簿に記録し，保管庫に入れて保管する。　（省略）

　
営業課

(1)	外出時には，社外秘情報をすべて消去した上でNPCを持ち出す。

（以下，省略）

　
　W社は，情報管理が適切に行われているかどうかについて，第三者の点検を受けることにし，セキュリティ評価で定評のあるB社に依頼した。B社のセキュリティコンサルタントであるZ氏は，依頼に基づいて，各課の実態を調査し，図2に示す点検報告書をW社に提出した。
　

図2　点検報告書（要旨）

　授受簿による運用が適切に行われているか，そのほかに情報管理上の課題がないかどうかについて調査を行い，課題を次の(1)～(3)にまとめた。運用ルールの徹底を図るとともに，システム面での対策を検討すべきである。

(1)	授受簿の記録の不整合　文書の棚卸しを行ったところ，授受簿に受渡しの記録があるにもかかわらず原本が見当たらない“原本紛失”と，原本があるにもかかわらず授受簿に受渡しの記録がない“記録漏れ”が，それぞれ数件見つかった。ヒアリングによれば，繁忙期に業務が混乱したことが原因と推測される。
(2)	PC管理の不備　〔1〕休憩時間などに，事務室を不在にしているにもかかわらず，PC，CPC，NPCがログインしたまま放置されていることがある。このような管理では，ほかの社員やアルバイト，来客などによるなりすまし及びのぞき見のリスクがある。
(3)	アルバイトの情報セキュリティ意識の高低差　アルバイトの情報セキュリティ意識をアンケート調査したところ，各課間の高低差が大きいことが判明した。意識の低い課では，情報漏えいなどのリスクが大きい。

　
〔情報漏えい防止対策の検討と実施〕
　報告を受けた社長は，情報管理の徹底を訓示するとともに，具体的な対策を検討するよう，情報セキュリティアドミニストレータのK君に指示した。K君は，対策の素案を次のようにまとめた。

(1)	物理的セキュリティ　すべての事務室の扉に電子錠を設置し，暗証番号を入力しないと入室できないようにする。
(2)	注文書の電子化　新たにイメージスキャナを導入し，受注課で注文書を受け付けた時点で，直ちにイメージスキャナで画像情報として電子化する。注文書の原本は，すぐに総務課で厳重に保管する。
(3)	ワークフローシステムの導入　ワークフローシステムを既存システムに追加導入し，受注課から注文課，配送課及び総務課への注文書の手渡しと，各課間の受渡しを記録する授受簿は廃止し，ワークフローによって授受記録を管理する。
(4)	ICカードの導入　ICカードを導入し，社員及びアルバイトに1枚ずつ配付する。すべてのPC，CPC，NPCにICカードリーダを接続し，ICカードを装てんした状態のときだけ使用できるようにする。
(5)	ログイン情報管理サーバによる認証の一元化　ログイン情報管理サーバを新設し，社内LANに接続するPC，NPCは，このサーバと通信できる状態のときだけログインできるようにする。
(6)	操作制限，出力制限の実現　W社内のすべてのPC，CPC，NPCに対して，離席時の操作制限と外部記録装置やプリンタへの出力制限を行う。
(7)	情報漏えい防止システムの導入　上記(4)～(6)を実現するために，次の表に示すC社製情報漏えい防止システムを導入する。
(8)	情報管理面での施策の強化　〔2〕図2の点検報告書の課題(3)に対応するための施策を実施する。

表　C社製情報漏えい防止システムの仕様
機能	仕様内容
ユーザ認証	ログイン時のユーザ認証は，ICカードの情報とディレクトリサーバの情報を照合するディレクトリサーバ認証方式と，パソコン内にあらかじめ導入された情報とICカードの情報を照合するスタンドアロン認証方式のいずれかを選べる。ディレクトリサーバ認証方式は，ディレクトリサーバと通信できる環境の場合だけパソコンを起動できる。
ファイル暗号化	ファイルは自動的に暗号化され，ICカードを装てんしないと復号できない。これによって，パソコンが盗難に遭っても，情報漏えいのリスクを低減できる。
出力制限	フロッピー装置，CD-R装置，USBメモリなどの記録装置への書込み，及びプリンタによる印刷を禁止できる。ただし，これらの禁止は，管理者の許可があれば，一時的に解除できる。
操作制限	ICカードをパソコンから外すと，パソコンの画面が暗転してロック状態になり，操作を禁止できる。

注	ICカードは，多機能型が利用でき，入退室かぎ，クレジットカード，電子マネーなどと一体化して利用できる。

　
　この素案に基づいて検討を行ったところ，〔情報漏えい防止対策の検討と実施〕の(4)に関して，〔3〕ある課では業務効率が著しく低下することから，導入が困難であることが分かり，特例的な運用によって解決することにした。
　また，NPCとCPCのユーザ認証方式には［　　a　　］方式を適用できないことが分かったので，［　　b　　］方式を採用することにした。
　W社では，これらを踏まえて，情報漏えい防止システムの運用を開始した。
　

　
設問1　本文中の［　　a　　］，［　　b　　］に入れる適切な字句を，表中の仕様内容の字句を用いて答えよ。
　

　
設問2　本文中の下線〔2〕に該当する施策を，W社のアルバイトの教育状況を踏まえ，35字以内で具体的に述べよ。
　

　
設問3　本文中の下線〔3〕について，(1)，(2)に答えよ。

(1)	導入が困難な課名を挙げ，該当する業務内容について，20字以内で述べよ。
(2)	特例的な運用について，その内容を40字以内で述べよ。

　
設問4　図2中の下線〔1〕の事態を抑止したい。そのための，C社製情報漏えい防止システムのICカードを活用した施策を，60字以内で述べよ。
　

→詳細な解説を見る

【午前】情報セキュリティアドミニストレータ
【午後】情報セキュリティアドミニストレータ

【午前】テクニカルエンジニア情報セキュリティ
【午後】テクニカルエンジニア情報セキュリティ

【午前】情報セキュリティプロフェッショナル
【午後】情報セキュリティプロフェッショナル

スポンサードリンク

スポンサードリンク

スポンサードリンク

免責事項　／　サイトマップ　／　リンク　／　　問い合わせ

平成17年度情報セキュリティアドミニストレータ午後Ⅰ問題 （問1）