平成17年度情報セキュリティアドミニストレータ午後T問題 (問3)
→詳細な解説を見る
問3 Webの私的利用に関する次の記述を読んで,設問1〜3に答えよ。
Q社は,従業員数500名の部品メーカである。早くからインターネットを利用して,業務に必要な情報の交換,収集を行っている。従業員が利用できるインターネットサービスは,電子メールとWebに制限している。本社では,従業員1人に1台ずつパソコンを配付しているが,工場では,複数人に1台配付し,共用させている。アカウントは,本社,工場とも1人一つずつ割り当てている。パソコンを利用する際には,IDとパスワードを入力し,ログインする。ログインのログは採取していない。Webを利用する際には,必ずプロキシサーバを経由する。プロキシサーバでは,通信のログは採取していない。
なお,パソコンには固定のIPアドレスが割り当てられている。
Q社のネットワーク構成を,図1に示す。
〔私的利用の制限〕
Q社は,2年前に,情報システム部を中心とした情報セキュリティ委員会を設立し,情報セキュリティポリシ(以下,ポリシという)の策定を行った。情報セキュリティ委員会では,ポリシの制定や改正,情報セキュリティに関する施策実施の審議などを行う。ポリシに基づいた施策と現場の業務上の要求が相いれない場合は,情報セキュリティ委員会で,調整のための最終判断を行うこととなっている。
Q社のポリシでは,業務目的以外のパソコンの利用を禁止しているが,Webに関しては,インターネットオークションや株取引など,一部で私的に利用されている。情報システム部のS部長は,このような私的利用は就業規則に抵触すると判断し,早急に対処することにした。その対策として,Webについて,フィルタリングソフトを導入してアクセス制限を行うこととし,情報セキュリティ委員会での審議を経て,経営陣の承認を得た。その際,S部長は,必要ならば関連する社内規程も併せて修正するよう,情報セキュリティ委員会から指示され,情報システム部のT君に検討を命じた。
T君は,法律や公表されているガイドラインなどを点検し,既存のインターネット利用規程に,“利用の制限”と“管理者による利用状況の調査”の2項目を追加した(図2)。これらの項目は,情報セキュリティ委員会での審議及び経営陣の承認を得た上で,従業員に周知された。
図2 インターネット利用規程に追加した項目
利用の制限
| ・ |
フィルタリングソフトなどによるアクセス制限を行うことがある。
|
管理者による利用状況の調査
| ・ |
管理者が,従業員のインターネット利用状況を調査する場合がある。
|
| ・ |
管理者は,従業員のインターネット利用状況に関して,プライバシ保護の趣旨に反した調査を行ってはならない。
|
|
〔フィルタリングソフトの導入〕
S部長は,Q社の業務にとって支障の少ないフィルタリングソフトを導入するよう,T君に命じた。T君による業務状況調査の結果,客先情報や業界の最新動向,技術情報など,不特定多数のWebサイトを通じて情報収集が行われているので,利用可能としておかなければならないWebサイトの特定は困難であることが分かった。このような状況を踏まえ,幾つかの製品を比較した上で,R社フィルタリングソフトを導入し,稼働させた。R社フィルタリングソフトの概要は,図3のとおりである。
なお,R社フィルタリングソフト導入に際して,フィルタリング方式には,Q社の業務状況から判断して,[ a ]方式を選択した。また,カテゴリの設定については,閲覧してよいかどうか判断しにくいものがあるので,各部署の意見を収集し,情報システム部で判断したカテゴリを設定することにした。その過程で,営業部から,“旅行”のカテゴリについては業務上必要であるとの要求があった。ポリシによれば,私的な旅行のための閲覧は制限すべきであり,情報システム部はこの要求を却下したが,営業部も譲らなかった。結局,情報システム部は,営業部の要求を認め,閲覧可能とした。
図3 R社フィルタリングソフトの概要
1.フィルタリング機能
次の(1)〜(4)の項目の設定(フィルタリングルール)に基づいて,フィルタリングを行う。
| (1) |
フィルタリング方式(必須)
次の二つの方式から選択する。
| 〔1〕 |
ホワイトリスト方式:あらかじめ指定されたURL以外のアクセスを拒否する。
|
| 〔2〕 |
ブラックリスト方式:あらかじめ指定されたURLだけアクセスを拒否する。
|
|
| (2) |
フィルタリングを行うURLのカテゴリ指定(必須)
あらかじめ指定されたURLのリストをカテゴリ単位で指定する。(1)
|
| (3) |
送信元限定条件(任意)
特定の送信元からの通信をフィルタリングする。IPアドレス(群)又は利用者(群)を指定できる。指定しない場合,すべての送信元に適用される。(2)
|
| (4) |
時間帯限定条件(任意)
特定の時間帯の通信をフィルタリングする。指定しない場合,すべての時間帯で適用される。
|
2.ログ(任意)
ログを採取する場合,採取条件と採取項目を指定する。採取条件は,アクセス拒否された通信,アクセス許可された通信のいずれか,又は両方から指定できる。採取項目は,IPアドレス(送信元),あて先URL,適用理由(適用したフィルタリングルール及びカテゴリ),時間,利用者IDから任意に指定できる。ただし,利用者IDは,送信元限定条件として,利用者(群)を指定された場合にだけ指定できる。
3.管理方法
ブラウザによる設定の変更,稼働状況の確認などができる。
4.運用形式
プロキシサーバ上で稼働する。
注(1)
| ・ |
URLのリストは,幾つかの分野(カテゴリ)ごとに分類されている。
|
| ・ |
カテゴリとカテゴリ内のURLのリストは,ソフトウェア開発元の専門チームによって選定され,定期的に最新版に自動更新される。
|
| ・ |
利用者は,独自にカテゴリの作成,URLのリストの追加ができる。
|
注(2)
| ・ |
利用者を指定した場合,フィルタリングソフトは,利用者を識別するために,ブラウザからのアクセスに認証済の利用者情報が含まれているかどうかを確認する。
|
| ・ |
利用者情報が含まれていない(ブラウザ起動後の最初のアクセスなど)場合,利用者認証要求を返す。
|
| ・ |
ブラウザから利用者ID,パスワードを受け取り,利用者を認証し,フィルタリングルールに従ってフィルタリングを行う。
|
| ・ |
利用者ID,パスワードについては,本フィルタリングソフトで管理できる。
|
|
〔フィルタリングソフトの運用〕
S部長は,業務目的以外のアクセス状況を把握するため,必要なログを採取するよう,T君に指示した。T君は,アクセス拒否された通信のログについて,IPアドレスと適用理由の項目を採取することにし,S部長に相談した。S部長は,その設定では,〔1〕利用者まで特定できない場合があるので,〔2〕設定変更するように指示した。
運用開始から数日後,営業部で業務目的以外に“旅行”のカテゴリに属するWebサイトを閲覧しているとの情報が寄せられた。情報システム部は営業部に対して調査を行い,寄せられた情報の事実確認を行った。この過程で,〔3〕閲覧の事実を確認するためのログが不十分であることと,“旅行”のカテゴリを閲覧可能とした〔4〕手続に問題があることを認識した。
これらの問題に対処するため,情報システム部が中心となって,運用を改善することになった。
設問1 本文中の[ a ]に入れる適切な字句を,図3のフィルタリング方式から選び,10字以内で答えよ。
設問2 下線〔4〕の問題とは何か。Q社の業務状況に基づいて,35字以内で具体的に述べよ。
設問3 フィルタリングソフトの設定について,(1)〜(4)に答えよ。
| (1) |
営業部からの要求に応じて営業部だけ設定を緩和した。R社フィルタリングソフトの機能を踏まえ,その設定方法を35字以内で述べよ。
|
| (2) |
S部長が下線〔1〕のように考えた理由は何か。Q社の業務状況に基づいて,45字以内で述べよ。
|
| (3) |
下線〔2〕の設定変更の内容を,30字以内で具体的に述べよ。
|
| (4) |
下線〔3〕の問題に対し,どのように改善すべきか。R社フィルタリングソフトの機能を踏まえ,30字以内で述べよ。
|
→詳細な解説を見る
|
|
スポンサードリンク
スポンサードリンク
|