平成17年度情報セキュリティアドミニストレータ午後Ⅱ問題（問1)

SEのための情報セキュリティ対策

情報セキュリティプロフェッショナル試験対策　過去問掲載

平成17年度情報セキュリティアドミニストレータ午後Ⅱ問題（問1)

→詳細な解説を見る

問1　電子文書の保存に関する次の記述を読んで，設問1～5に答えよ。
　
　J社は，従業員600名の中堅製造業者である。最近の環境保護意識の高まりを背景に，これまで蓄積してきた技術を生かして，産業分野や環境分野に分析機器を提供している。研究所が隣接している本社は東京にあり，近県に生産拠点をもつが，商品はすべて販売代理店経由で販売している。
　
〔文書の保存と管理の概要〕
　J社では，図1に示すように，電子データ交換（EDI）システム，営業システム，購買システム，経理システム，電子帳票システム及び電子文書管理システムからなる，業務系システムを運用しており，在庫照会から会計処理までの一連の業務を電子データで扱えるようにしている。法令で保存が義務付けられている経理帳簿のうち，電子データになっているものは，電子帳票システムによって光記録媒体に書き込み，必要なときにはいつでも読み出せるように経理部門のオフィスに保存している。また，電子データになっていない，部材取引の契約書や領収書などは，紙のまま保存している。
　

　一方，設計書や図面などの技術文書はすべて電子データになっており，独自技術の機密保持，権利保護及び製造物責任法（PL法）への対応を考慮し，長期の参照を想定した管理を行っている。昨年には，この分野で定評のある，K社の電子文書管理システムを導入した。このシステムは，文書管理台帳機能（属性情報）と文書保管機能（本体情報）をもち，登録文書を管理，保存することができる。文書内容の更新や書式変換は，このシステムの支援対象外である。
　表1に文書の分類と保存方法を，表2に文書保存期間を示す。
　

〔経理帳簿の電子データ化〕
　今のところ，取引先から受け取った領収書など，取引の内容を明らかにする証憑のうち，原本が紙の証憑は，電子帳票システムを使って管理している。PCから所定項目を入力すると，証憑管理番号が自動付与された証憑添付台紙が出力印字される。この台紙に領収書などの証憑を貼(ちょう)付して，上司の承認を得た後，経理部門に回付する。経理部門が証憑管理番号を入力して，消込みを行う。
　次は，情報セキュリティアドミニストレータであるY主任と，上司のX部長の，電子データによる証憑の保存に関する会話である。
　

X部長：	今年から，いわゆる［　　a　　］（民間業者等が行う書面の保存等における情報通信の技術の利用に関する法律，及び民間業者等が行う書面の保存等における情報通信の技術の利用に関する法律の施行に伴う関係法律の整備等に関する法律）が施行され，また，改正された電子帳簿保存法も施行され　原本が紙の国税関係帳簿についても，一定の要件の下で，スキャナを使用して作成したデータによって保存（以下，スキャナ保存という）が可能になったようだね。
Y主任：	はい。取引先から受け取った，3万円未満の契約書や領収書などの証憑は，スキャナ保存が可能になりました。財務省令によると，事務処理規程に従った受領後の速やかな入力や，帳簿間の相互関連性が分かるようにしておくことに加え，システム要件として，8ドット／mm以上の解像度かつ256階調以上のカラー画像によるスキャニング，解像度と階調及び文書の大きさに関する情報の保存，入力者又は［　　b　　］の電子署名を行うこと，認定された機関が発行するタイムスタンプの付与，及び〔1〕記録事項の訂正・削除を行う場合の考慮事項に関する規程があります。そのほか，カラーディスプレイやカラープリンタの備付け，検索機能の確保，システム関係書類の備付けなど，いわゆる可視性を確保するための要件があります。
X部長：	なるほど。これまでの電子帳簿の保存管理規程（図2）との関係はどうなっているのか。
Y主任：	スキャナを使用して作成した後は，従来の電子帳簿の保存管理の考え方と同じです。
X部長：	分かった。それでは，いつからスキャナ保存に切り替えるかは，経理部門と調整し，費用対効果を見極めて判断することにしよう。

図2　電子帳簿の保存管理規程

1．	保存電子帳簿は，月次処理の後，所定の光記録媒体に保存すること
2．	検索別に定める項目をキーとして，電子帳簿を容易に検索できる環境を提供すること
3．	表示必要に応じて，電子帳簿を速やかに，整然と，かつ明りょうに表示できる環境を提供すること
4．	訂正・削除訂正・削除の事実と内容を確認できる環境を提供すること
5．	帳簿間の関連性の確保電子帳簿間の相互関連性を確認できる情報を記録すること
6．	電子データ交換単価などのマスタ情報を取引情報に含めて出力すること暗号化された情報や圧縮された情報は，変換後又は変換前の情報を保存すること
7．	システム関連文書の備付け（省略）

（以下，省略）

　
〔記録媒体による保存の問題点〕
　ある日，光記録媒体に書き込んであった電子帳簿の読出しができないという問題が発生した。何台か別の装置で読出しを試したところ，何とか読み出すことができ，事なきを得た。Y主任は，X部長にこの状況を報告した後，原因究明に取り組んだ。その結果，直接の原因は，長期保存に適した光記録媒体に保存していなかったことにあるが，保存場所にも問題があることが分かった。
　X部長は，今回の事故の教訓を生かして，電子帳簿だけでなく電子技術文書なども含めた電子データの記録媒体について取扱規程を作成するよう，Y主任に検討を指示した。1週間後，Y主任は，記録媒体の取扱規程に盛り込むべき事項の案（図3）を，X部長に提出した。
　

X部長：	CDなどの光記録媒体といえども，製品の選択や保存場所などの環境を考慮しないと，今回のような事故が起こるのではないかな。
Y主任：	はい。保存を目的とする場合は，製品の仕様に適合した環境での書込み，保存に加え，書込み後の読出しチェックが必要でした。
X部長：	製品の仕様に適合した環境とは，具体的にどのようなものなんだ。
Y主任：	CDなどの光記録媒体の期待寿命は約30年といわれていますが，このときの［　　c　　］は，温度が10～25℃，湿度が40～60％となっています。湿度が60％を超えると，カビが発生して劣化することがあります。
X部長：	オフィス内だと温度はともかく，湿度を常にこの範囲に保つのは難しいな。空調設備が整っているサーバ室で保存することにしよう。
Y主任：	分かりました，関係者に周知します。

図3　記録媒体の取扱規程に盛り込むべき事項の案

(1)	書込み，読出し，保存に関して信頼できる記録媒体を使用し，正副1組を作成する。
(2)	製品の仕様に適合した環境で，書込み，読出し，保存を行う。
(3)	記録媒体に書込み後，直ちに読出しチェックを行う。
(4)	保存中の記録媒体は，定期的に読出しチェックを行う。

　
〔電子技術文書の管理強化〕
　X部長は，セキュリティの観点から，電子技術文書の管理強化の必要性を認識している。その一つは，訴訟対策としての，証拠確保のための適切なタイムスタンプの導入である。タイムスタンプは，その文書が確かにその時点に存在したという存在証明と，それ以降改ざんされていないという非改ざん証明を可能にする。
　X部長は，まず，P社のタイムスタンプサービスを利用して，電子文書管理システムで管理している電子技術文書にタイムスタンプを付与したいと考え，Y主任に調査を命じた。図4は，Y主任が調査したP社のタイムスタンプサービスの概要である。
　

図4　P社のタイムスタンプサービスの概要（抜粋）

1．タイムスタンプトークンの発行

(1)	タイムスタンプトークンの要求者は，電子データのハッシュ値をタイムスタンプ機関（以下，TSAという）に送付する。
(2)	TSAは，タイムスタンプトークンを生成して，要求者に返す。

備考：	タイムスタンプトークンとは，タイムスタンプの要求者から受け取った電子データのハッシュ値に時刻情報を連結し，そのタイムスタンプが確かにTSAが発行したものであることを証明するために，電子署名を付与した時刻証明情報のことである。

　
2．タイムスタンプトークンの検証
　タイムスタンプトークンの検証は，次の手順で行う。

(1)	電子データのハッシュ値と，タイムスタンプトークンに含まれるハッシュ値を比較し，改ざんされていないことを確認する。
(2)	タイムスタンプトークンに含まれている公開かぎ証明書を利用して，タイムスタンプトークンが改ざんされていないことを確認する。
(3)	タイムスタンプトークンに含まれている公開かぎ証明書の検証を行い，公開かぎ証明書が有効であることを確認する。

　
3．アーカイブ

(1)	TSAは，発行したタイムスタンプトークンのコピーを10年間保存し，要求に応じてタイムスタンプトークンの発行を証明する。（省略）

　
4．公開かぎ証明書と秘密かぎの有効期間

(1)	タイムスタンプトークンに含まれている公開かぎ証明書の有効期間は，6年とする。
(2)	タイムスタンプトークン発行時の秘密かぎの有効期間は，公開かぎ証明書の有効期間が満了する日の5年前とする。

　
5．免責事項
（省略）

　
　もう一つの管理強化は，日々作成される電子技術文書の長期保存である。OSやアプリケーションの度重なるバージョンアップで，互換性が失われてしまう場合があることから，保存している電子技術文書ファイルを将来読み出せるという保証はない。
　

X部長：	ところで，電子技術文書だが，将来のシステムで電子技術文書ファイルを読み出せないと，記録媒体の劣化問題が解決しても，証拠としての効力がないのではないか。紙の文書なら，長期保存は我々の管理の問題だが，電子データによる保存の場合は，我々だけで解決できないからな。
Y主任：	おっしゃるとおりです。将来の互換性については，だれも確約できません。リスクを少しでも軽減するには，書式の仕様が公開されていることと，固有の機器の特性や機能に依存していないことが重要です。その機器がなくなると再現できないような仕様ではリスクは軽減できません。そうなると，現在，電子化文書の国内標準でも採用されている［　　d　　］やTIFFなどの書式が，候補になると思います。
X部長：	なるほど。我が社の文書も，最初から長期保存が必要だと分かっているものについては，電子文書を登録する段階で，それらの書式にしておけば，将来，読めなくなるというリスクは減るわけだ。
Y主任：	はい。これからの電子文書は長期保存可能な書式にすべきだと思います。
X部長：	ところで，現在，社内に保存されている，各種ツールで作成された電子技術文書はどうすればいいのだろうか。電子技術文書は年々増加しているし，将来読めなくなるかもしれないリスクを負って，何もせずに放っておくわけにはいかないが，今更，マイクロフィルムに逆戻りはできないしな。
Y主任：	電子文書を長期にわたって読出し可能にする方法として，表3に示す方法が考えられます。2番目のエミュレータとは，ハードウェア環境を模擬するソフトウェアのことです。実際のハードウェアは，将来その時点で入手できるものを使うことになります。

表3　長期にわたって電子文書の読出しを可能にする方法とその問題点
項番	方法	問題点
1	現在のハードウェア，OS及びアプリケーション一式を長期保存する。	［　　e　　］（したがって，自社でコントロールできない）。
2	OS及びアプリケーションを，エミュレータ上で動作させる。	［　　f　　］（したがって，自社でコントロールできない）。
3	文書の書式を変換する。	書式変換前の文書の電子署名は，書式変換後の文書の電子署名として引き継げない。
4	動作環境に合わせて，アプリケーションを継続的にバージョンアップする。	同一のアプリケーションが，将来にわたって提供され続ける保証はない（したがって，自社でコントロールできない）。

X部長：	ふむ。ところで，我が社にとってはどの方法が適切なのか。
Y主任：	想定されるリスクを排除するには，文書取扱いのプロセスが，我が社のコントロール下にある必要があります。したがって，我が社では，法令で定められているものを除き，3番目の“書式を変換する方法”を選択すべきだと思います。1，2，4番目の方法はいずれも，我が社ではコントロールできません。もちろん，〔2〕電子技術文書の管理プロセスを見直すことが前提です。
X部長：	分かった。それでは，電子技術文書の管理プロセスを見直して，長期保存に備えることにしよう。早速だが，検討してほしい。

図5　電子技術文書取扱規程

1．

目的
本規程は，当社の電子技術文書の取扱手順を定め，管理を確実にすることを目的とする。

2．

適用範囲
本規程は，文書の作成から廃棄までの業務手順（ワークフロー）及びその管理に適用する。

3．

文書の作成及び査閲
文書の作成及び査閲は，文書の承認者によって指名された者が行う。査閲者は，その内容の適切性を査閲する。

4．

文書の承認
文書の承認者は，当該文書の機密区分の適切性，内容の妥当性，及び発行日付を確認し，文書の承認を行う。

5．

文書の保存

(1)	文書管理担当者は，電子文書管理システム内の文書管理台帳によって文書名，文書番号，版数などを管理し，文書にも文書番号，版数を記入する。
(2)	文書管理担当者は，文書のハッシュ値を記録するなどの方法によって真正性を確保する。
(3)	文書管理責任者は，登録内容を確認して，承認を行う。

6．

文書の参照
文書管理責任者は，文書管理規程に従ってアクセス制御を行う。

7．

文書の書式変換

(1)	文書管理担当者は，文書管理責任者の指示の下に，まず，［　　g　　］。次に長期保存可能な書式への変換を行い，文書が正しく変換されたことを確認する。最後に［　　h　　］。
(2)	文書管理責任者は，処置内容を確認して，承認を行う。

（以下，省略）

注　今回の見直しで，“7．文書の書式変換”を追加した。

　
　その後，Y主任から，電子技術文書管理プロセスの一部見直し案が報告された。その結果，J社の電子技術文書取扱規程は図5のように更新され，長期保存を考慮した電子技術文書のライフサイクル管理が始まった。同時に，ワークフローの承認操作におけるタイムスタンプの付与に向けて，Y主任をリーダとした技術検討チームが発足した。
　

　
設問1　本文中の［　　a　　］～［　　d　　］に入れる適切な字句を，［　　a　　］，［　　c　　］，［　　d　　］はそれぞれ5字以内，［　　b　　］は8字以内で答えよ。
　

　
設問2　本文中の下線〔1〕の，記録事項の訂正・削除を行う場合の考慮事項とは何か。2項目挙げ，それぞれ25字以内で述べよ。
　

　
設問3　保存電子データを長期にわたって利用するためには，図3の記録媒体の取扱規程案だけでは不十分である。盗難や災害への備えのほかに，更にどのような記録媒体取扱措置が必要となるか。50字以内で述べよ。
　

　
設問4　電子文書の長期保存に関して，(1)，(2)に答えよ。
　

(1)	表3中の［　　e　　］，［　　f　　］に入れる適切な文章を，［　　e　　］は20字以内，［　　f　　］は30字以内で述べよ。
(2)	本文中の下線〔2〕の，電子技術文書の管理プロセスの見直し結果を，図5の電子技術文書取扱規程に反映するには，［　　g　　］と［　　h　　］にどのような文章を入れればよいか。それぞれ35字以内で述べよ。

　
設問5　J社の電子帳簿や電子技術文書に，P社のタイムスタンプサービスを利用することを前提として，(1)，(2)に答えよ。
　

(1)	公開かぎ証明書の有効期間が過ぎた後でも，領収書の保存期間内であれば，領収書に付与されたタイムスタンプを確認できる。どのような方法で確認すればよいか。50字以内で述べよ。
(2)	設計書に付与されたタイムスタンプを，必要なときにいつでも検証可能にするには，どのような条件で，どのような処置を施すことが必要か。ルート証明書はいつでも入手できるものと仮定して，80字以内で述べよ。

　
→詳細な解説を見る

【午前】情報セキュリティアドミニストレータ
【午後】情報セキュリティアドミニストレータ

【午前】テクニカルエンジニア情報セキュリティ
【午後】テクニカルエンジニア情報セキュリティ

【午前】情報セキュリティプロフェッショナル
【午後】情報セキュリティプロフェッショナル

スポンサードリンク

スポンサードリンク

スポンサードリンク

免責事項　／　サイトマップ　／　リンク　／　　問い合わせ

平成17年度情報セキュリティアドミニストレータ午後Ⅱ問題 （問1)