平成17年度情報セキュリティアドミニストレータ午後T問題 (問2)
→詳細な解説を見る
問2 情報セキュリティ監査と改善に関する次の記述を読んで,設問1〜4に答えよ。
L社は,10年前に設立された,社員数200名の書籍販売会社である。3年ほど前からインターネットを利用した書籍販売を始めたところ,順調に売上げを伸ばし,現在では10,000人を超える顧客が会員登録をしており,1日に平均して500件程度の注文がある。L社の書籍販売システム(以下,Eシステムという)の構成は,図1のとおりである。
〔Eシステムの概要〕
| (1) |
EシステムのMAIL-2以外のサーバは,システム開発を委託したM社IDCのハウジングサービスによって運用されており,FW以外はL社所有の機器である。
|
| (2) |
顧客は,インターネットを経由してWEB-1にアクセスする。WEB-1は,検索機能,書籍紹介情報の提示機能,発注機能及び決済機能を提供している。顧客データ,書籍紹介情報や在庫データは,すべてDS上に蓄積されており,WEB-1から随時,参照,更新される。
|
| (3) |
WEB-2は,営業部と仕入部の社員向けに販売管理機能を提供している。この販売管理機能は,受注管理機能,顧客管理機能及び在庫管理機能からなる。担当の社員は,社内LANから,R-1,R-2で接続されている専用線を経由してWEB-2にアクセスし,販売管理機能を用いて,DS上に蓄積されたデータの取得や更新を1件ずつ行う。ただし,これらのデータの取得や更新が多い場合には,システム部にデータの一括取得や一括更新を依頼する。システム部の担当者は,FTPを使ってDSにアクセスし,データの一括取得や一括更新を行う。
|
| (4) |
販売管理機能を利用する社員は,所属部長の承認を得た上で,販売管理機能の利用権限が設定された個別のID(以下,SIDという)をシステム部に申請し,取得する。また,取得したSIDが不要となった場合には,同様にシステム部に削除を申請する。WEB-2は,認証機能を備えており,SIDとパスワードを用いてログインできる。営業部の社員は受注管理機能と顧客管理機能を,仕入部の社員は在庫管理機能をそれぞれ利用できる。
なお,ログイン時に使用するパスワードは,SIDを取得した社員が管理する。
|
| (5) |
社内LANには,社員用の全PCが接続されており,社内のメールはMAIL-2を経由してやり取りされる。
|
〔情報セキュリティ監査の実施と対応策の検討〕
昨今の個人情報保護に対する社会的要請の高まりを受けて,L社ではEシステムの情報セキュリティ対策について,外部監査を実施することにした。次は,システム部の担当者であるV主任と上司のF課長が外部監査について検討した際の会話である。
| F課長: |
今回の監査だが,どのようにすればよいか。
|
| V主任: |
個人情報の保護対策の確認が主眼になりますが,それ以外にも,当社の実情に見合った,情報セキュリティに必要な対策を明らかにしてほしいと考えています。そのために,今回は,情報セキュリティ監査制度に即した外部監査が望ましいと思います。
|
| F課長: |
その制度はどういうものか。
|
| V主任: |
情報セキュリティ監査制度は,情報セキュリティのマネジメント状況を監査するもので,監査の目的によって,[ a ]と[ b ]の監査を定めています。[ b ]は,主として改善を目的とした監査で,情報セキュリティマネジメント上の問題点を検出し,改善提言を行う監査です。
|
| F課長: |
その場合の監査項目はどのように決定されるのか。
|
| V主任: |
情報セキュリティ監査制度には,JIS X[ c ]の管理策から導出された約[ d ]項目のサブコントロールからなる情報セキュリティ[ e ]基準があります。この[ e ]基準の抜粋,変更,又はEシステムのセキュリティ運用に関する規程類からの必要な項目の追加によって,Eシステムの管理項目を定め,それらを基に監査項目を決めることになります。
|
| F課長: |
分かった。これから検討を進めよう。
|
その後,V主任とF課長で検討を重ね,社外の監査サービス提供会社に監査を委託することにした。M社でも監査サービスを提供しているが,Eシステムは,M社が開発し,運用していることを考えると,[ f ]の観点から,M社に監査を依頼することは問題があると判断し,実績も豊富なN社に依頼することにした。
V主任は,N社の監査人と協議して監査項目を定め,ヒアリング対象として,L社のシステム部,営業部とM社のハウジングサービス担当部署を選定した。監査を効率良く実施するために,営業部とM社に対して,〔1〕監査依頼書に依頼事項をまとめて通知した。
1か月後,この依頼の効果もあって,M社IDC内での運用状況などをスムーズに監査できた。図2は,N社による情報セキュリティ監査報告書である。
図2 N社による情報セキュリティ監査報告書
| 情報セキュリティ監査報告書 |
1.検出事項
| (1) |
既に別の部署に異動して担当をはずれた元営業部所属の社員のSIDが,利用可能な状態で残っており,その社員が顧客情報も閲覧可能な状態になっている。 |
| (2) |
システム部,営業部,仕入部を含め,社員の異動が頻繁であるが,異動の情報は,人事部と該当部門だけがもっており,SIDを管理するシステム部と情報が共有されていない。 |
| (3) |
社内LANからのEシステム上の各サーバへのアクセスログは,OSレベルでのログインログ,メールサーバでのメール転送ログ,WebサーバへのHTTPアクセスログ,販売管理機能のログインログの取得にとどまっている。また,保管期間は1週間だけなので,情報源えいなどの事故発生時に事実関係を十分に把握できない。
(省略) |
2.改善提言
| (1) |
現時点で不要なSIDを,早急に削除すべきである。 |
| (2) |
SIDが不要になった際に,当該SIDの削除をより確実にするための施策を導入すべきである。
(省略) |
(以下,省略) |
|
図2の情報セキュリティ監査報告書を基に,V主任とF課長は対応策を検討し,システム部のH部長に説明した。次は,その際の会話である。
| V主任: |
監査での検出事項に対応するための方針をまとめてみました。まず,不要なSIDを洗い出し,そのSIDの削除をシステム部へ依頼するよう,営業部に指示します。また,アクセスログの保管期間については,今後は半年間にしたいと思います。
|
| F課長: |
もっと長期の保管についても考える必要があると思いますが,それはEシステムの次の更新時に考えたいと思います。また,〔2〕少なくとも,大量の個人情報の流出事故に備えて,事実関係を把握するために,取得するログの種類も増やす必要があります。
|
| V主任: |
そうだな。情報セキュリティ監査報告書の改善提言(1)への対応としては,営業部へ不要なSIDを削除するよう指示することでよいだろう。ただし,改善提言(2)への対応を考える必要があるな。〔3〕具体的な管理策を考えてくれ。
|
| F課長: |
はい,分かりました。
|
設問1 本文中の[ a ]〜[ f ]に入れる適切な字句を答えよ。
| (1) |
[ a ],[ b ]については,それぞれ3字で答えよ。
|
| (2) |
[ c ]〜[ f ]については,次の解答群の中から選び,記号で答えよ。
|
解答群
| ア 130 |
イ 960 |
ウ 5070 |
エ 5080 |
オ 7799 |
| カ ISMS |
キ 安全性 |
ク 運用性 |
ケ 監査 |
コ 管理 |
| サ 実施 |
シ 対策 |
ス 独立性 |
|
|
設問2 下線〔1〕の監査依頼書では,M社に対してどのような事項を依頼したと考えられるか。二つ挙げ,それぞれ15字以内で述べよ。
設問3 下線〔2〕にあるように,現状の取得ログだけでは,情報セキュリティ対策としては不十分である。IDCに設置されているL社所有の機器の範囲内では,どの機器でどのようなログを追加取得すべきか,25字以内で述べよ。
設問4 下線〔3〕に関して,SIDの取得と削除の申請を行う営業部などのユーザ部門が実施すべき対策と,さらにその対策を補完するためにシステム部が実施すべき対策を,それぞれ40字以内で述べよ。
→詳細な解説を見る
|
|
スポンサードリンク
スポンサードリンク
|