情報セキュリティスペシャリスト試験情報平成13年度試験メニュー >問題と解説
  

情報セキュアド 平成13年度試験 問題(午後1 問2)

 
問2 営業支援システムの導入に伴うリスク分析に関する次の記述を読んで,設問1〜4に答えよ。
 
 M社は,都市部に10店舗をもつインテリア用品の販売会社である。2年前に始めた自社企画品の販売が成功し,売上を大きく伸ばしている。社長は,自社企画品の売上を更に拡大するとともに,今後3年間で店舗数を30に増やす計画である。
 昨年,M社は,全店舗にPOSシステムを新規導入し,本社営業部員及び商品企画部員に一人1台のノートパソコンを配布した。一方,全社の売上管理や仕入管理などの業務システムについては,P社が提供するアウトソーシングサービスの利用に切り替えた。また,インターネット接続についても,P社のレンタルサーバサービスを利用し,社外との電子メールの送受信を可能にした。これまで業務システムが稼働していたサーバは,本社営業部のファイルサーバとして使用することにした。
 その後,企業向け販売担当の本社営業部から,“ノートパソコンを使用している者のほとんどは,社外に持ち出して使用している。顧客対応の迅速化を図るために,ファイルサーバにある営業情報を社外からもアクセスできるようにしてほしい”という要望が出された。そこで,M社は,営業支援システムを構築することにした。
 営業支援システムの要件が具体的になった段階で,社長は,経営企画室長(以下,室長という)に対し,営業支援システム導入に伴うリスク分析を実施するように指示した。
 
〔M社の情報システム〕
 M社の業務システムの概要と営業支援システムの要件は,次のとおりである。
(1)  業務システムの概要
【1】  本社及び各店舗の機器は,業務システムとVPNで接続されている。インターネット経由で業務システムにアクセスすることはできない。
【2】  店舗のPOS端末で入力した売上データや仕入データは,ストアコントローラを経由し,一定時間ごとに業務システムに送信されている。
【3】  本社営業部の売上データは,リアルタイムで業務システムに登録されている。
(2)  営業支援システムの要件
【1】  過去及び受注前の見積情報や提案情報をデータベースに登録し,検索を行う。
【2】  売上データを業務システムから受け取り,データベースを構築する。
【3】  本社にリモートアクセスサーバ(以下,RASという)を設置し,社外から各データベースヘのアクセスを可能にする。RASへのアクセスは,IDとパスワードによる認証によって制御する。
 
 営業支援システム稼働後のM社情報システムの構成は,図のとおりである。
 
平成13年度 午後1問2 図
 
〔営業支援システム導入に伴う情報セキュリティの調査〕
 室長は,情報システム部出身のL君に,営業支援システム導入に伴うリスク分析を実施するように指示した。また,3年後の店舗数を前提に影響度を定量化し,報告するように加えて指示した。
 室長から指示を受けたL君は,ぜい弱性を洗い出すために,まず,情報セキュリティの調査方法を検討した。この結果,L君は,次の方法で調査することにした。
 
(1)  社内の情報セキュリティ調査
【1】  ノートパソコンを使用している部門については,チェックリストを作成し,全員に記入を依頼することにした。
【2】  上記の【1】以外の部門については,機器の使用状況や設置場所など[ a ]調査を実施することにした。
【3】  情報システムについては,システム化要求仕様書の[ b ]を行うとともに,システムの要件を取りまとめた担当者に[ c ]を実施することにした。
(2)  社外の情報セキュリティ調査
自社企画品の生産を委託している複数の工場については,商品企画部と電子メールを利用してサンプル商品の生産依頼や生産進捗の確認を行っているので,調査を実施する。しかし,これらの工場については,情報化のレベルが不明なので,各工場の情報システム担当者に対して[ c ]を行うとともに,機器の使用状況や設置場所などについて[ a ]調査を実施することにした。
 なお,各工場に,調査への協力を依頼する文書を社長名で事前に送付した。
 
〔リスク分析の定量化〕
 調査を終了したL君は,調査結果を基にしてぜい弱性の洗い出しを行うとともに,影響度を考慮してリスクの定量化を行った。L君は,リスク分析の結果を表にまとめ,予想される1年当たりの損失額を[ d ]万円,費用を[ e ]万円と算出した。
 
表 L君が作成したリスク分析のリスト
 情報
 \資源
脅威  
  営業支援システム及びパソコン
 業務システム
受注前情報 販売実績情報 商品企画情報 売上情報,
仕入情報など
漏えい  受注前情報が漏れ,失注
・ノートパソコンの紛失,盗難
・RASから営業支援システムヘの侵入
〔損害額〕
・過去の営業案件提案額
 平均1,000万円/回
・想定発生件数 年3回 		 販売実績情報が外部に漏れ,得意先からのクレームに対する対応
・店舗設置パソコンからの漏えい
〔費用〕
・対応費 5万円/回
・想定発生件数
年1店舗1回×10店舗
  商品企画情報が外部に漏れ,対抗品の発売による売上減
・生産委託工場のパソコンからの漏えい
〔損失額〕
・過去の企画品売上額
平均1億円/回
・売上減率 20%
・想定発生件数 年2回
 なし
改ざん  受注前情報が改ざんされた場合の復旧処理
・RASから営業支援システムヘの侵入
〔費用〕
・復旧作業費
20万円/回
・想定発生件数 年1回
 なし なし なし
破壊  受注前情報が破壊された場合の復旧処理
・RASから営業支援システムヘの侵入
〔費用〕
10万円/回
・想定発生件数 年1回
 なし なし なし
 
 損失額は本来獲得できるはずであったが獲得できなかった売上金額であり,費用は被害を受ける前の状態に戻すために発生する金額である。
 
〔リスク分析の結果報告〕
 L君は,リスク分析の結果を室長に報告した。室長は,このリスク分析のリストを見て,“定量化の前提が指示した内容と異なる”と指摘した。
 L君は,室長の指摘を受けて,リスク分析の定量化をやり直すことにした。
 
  
設問1 本文中の[ a ]〜[ c ]に入れる適切な字句を,それぞれ10字以内で答えよ。また,[ d ],[ e ]に入れる適切な数値を答えよ。
 
設問1の正解例と解説へ
 
設問2 ノートパソコンを使用している部門の調査方法について,チェックリストによる調査を選択したのはなぜか。その理由を二つ挙げ,それぞれ20字以内で述べよ。
 
設問2の正解例と解説へ
 
設問3 〔リスク分析の結果報告〕に関する次の問いに答えよ。
 
(1)  定量化の前提が室長の指示と異なる事項を30字以内で述べよ。
(2)  表中に列挙された受注前情報の損失額や費用には見落としがある。その見落としを二つ挙げ,それぞれ40字以内で述べよ。
  
設問3の正解例と解説へ
 
設問4 室長は,営業支援システムの導入計画を聞いたころから,業務システムに新たなリスクが発生するのではないかと考えていた。それは何か,35字以内で述べよ。
 
設問4の正解例と解説へ
 
メニューへ戻る