情報セキュリティスペシャリスト試験情報 > 平成13年度試験メニュー >問題と解説
情報セキュアド 平成13年度試験 問題(午後1 問3)
問3 電子商取引の情報セキュリティ対策に関する次の記述を読んで,設問1〜4に答えよ。
A社は,中堅規模の製造業者である。自社商品の生産に必要な主要原料を,限られた取引相手先から年間契約に基づき購入している。購買調達部門の要望によって,この業務は,“発注システム”としてシステム化されている。システムを通して,A社から取引相手先への見積依頼,取引相手先から見積りや納期納品条件の提示,A社から正式な発注書,取引先から発注請け書の送受信が行われている。その後,取引先から実際の商品及び請求書が送られてくる。この“発注システム”は,A社の情報システムの一部としてA社に設置してあり,取引先各社は,各社に設置した“発注システム”専用端末と公衆電話網で接続している。
なお,A社及び取引先各社は,この“発注システム”への接続のために発信者番号の確認機能が付いたモデムを設置し,特定の相手先以外からの着信を拒否している。この“発注システム”は,製造部門からの要求があり,受発注に伴う製品情報や製品設計図の送受信を行うことができるよう機能を追加した。しかし,A社の製品情報が漏れたり,取引先と共同で作成し修正した製品設計図が,取引先経由で他社に流用されたりする事態が発生した。A社は,取引に先立ち,製品情報や製品設計図に関する[ a ]条項及び設計図面の[ b ]権を,あらかじめ契約書として取り決めておく必要に迫られ,対応した。
その後,“発注システム”が軌道に乗ると,購買調達部門から事務機器や梱包材,用紙類などの間接材取引もシステム化したいという追加要望が挙がった。A社の情報システム部のB主任は,この要望を実現する“新調達システム”の基本検討を担当することになった。
検討が進むと,該当する間接材を電子的に調達できる仕組み(以下,マーケットプレイスという)による購買調達サービスが他社から開始されることが判明した。B主任は,A社が単独で,“発注システム”と同様のシステムを個別に取引先相手ごとに構築するより,このマーケットプレイスに参加した方が容易にシステム化が図れると考えた。さらに,有利な条件で調達できる可能性があるのではないかと考え,このサービスへの参加を前提に“新調達システム”の検討を進めることにした。
〔B主任と購買調達部門のG課長との会話〕
B主任: いま,“マーケットプレイス”という購買調達サービスの提供が始まろうとしていますが,ご存知ですか。ご要望の“新調達システム”にこのサービスを利用すると,システム化を取引先相手ごとに調整する手間が省けますし,より有利な条件で調達できる可能性があるので,この際是非検討したいのですが。 G課長: 話には聞いたことがある。インターネット上に構築された仮想市場のことだろう。でも,見ず知らずの会社を相手にコンピュータ上で取引して問題ないのだろうか。このごろインターネット上でのオークションや取引で,トラブルも多いと聞いているが。 B主任: 確かにインターネットのもつ匿名性を悪用されたり,IDを盗用されたりするために発生する[ c ]による詐取のリスクはあります。そのため,このマーケットプレイスでは参加する企業に対し,暗号技術を利用した[ d ]の仕組みを使って,相手企業の確認を行うそうです。 G課長: どの程度のチェックができるのかね。 B主任: 幾つかレベルがあるようです。発行団体の[ d ]が付いた[ e ]書を取得するには,その発行団体に会社登記簿謄本などの提出が義務付けられています。また,仮に参加企業の中に異変があった場合,参加企業全体に速やかに報告されるそうです。 G課長: [ d ]による確認が行われるなら,間接材の“新調達システム”としても悪くないね。
この後,A社で検討が行われ,“新調達システム”においては,このマーケットプレイスのサービスに参加することになった。
“新調達システム”が稼働してしばらく過ぎたころ,それまで順調に取引していた相手先からA社の発注した品物が納期を過ぎても入荷してこないというトラブルが発生した。調べてみると,発注した相手企業の[ e ]書が一部悪用され,[ c ]によって取引が混乱したので,その企業の[ e ]書の利用が既に停止されていたことが分かった。
今回のトラブルを受けて,A社では様々な検討を進めた。その一つとして,取引に先立ち相手企業に対する信用調査を強化して取引先を厳選する対策を実施した。
“新調達システム”稼働前に制定されていたA社の情報セキュリティ対策基準の抜粋を次に示す。
情報セキュリティ対策基準(抜粋)
(以下省略)
1. 目的 (省略) 2. 対象者
本情報セキュリティ対策基準(以下,本基準という)は,当社経営者及びすべての従業員に適用し,経営者及びすべての従業員は,これを遵守しなければならない。本基準を遵守しなかった場合,就業規則に基づき罰則を適用する。3. 適用範囲
本基準は,当社が業務で使用する当社管理下の情報及び情報システムを含む情報資産すべてを対象とする。4. 情報セキュリティ文書体系 (省略) 5. 情報セキュリティ組織
〔1〕 情報セキュリティ主管
経営会議において担当役員を任命し,情報セキュリティ室を設置する。
情報セキュリティ室は,情報セキュリティに関する諸規定の策定,改定,遵守状況の監視,チェック,トラブルの把握及び緊急事態への対処の指揮指導を行う。〔2〕 情報セキュリティ対策組織
情報セキュリティに関するトラブルが発生した場合,情報セキュリティ室は,必要に応じて業務担当部署から要員を選出し,対策プロジェクトを設置する。6. 情報セキュリティの範囲と責任
〔1〕 対象とする情報の範囲と分類
当社業務で利用するすべての情報を対象とする。情報を入れる媒体としては,紙,伝票類などの紙媒体及びWebページ,電子メールなどの電子媒体を問わない。
また,極秘,関係者外秘,部外秘,社外秘,公開の5種類に分類し,分類に応じた取扱方法をとる。〔2〕 対象情報システム範囲
当社の業務に供し当社管理下にあるすべての情報システムを対象とする。その構成要素としては,システム構成機器,ソフトウェア,ネットワーク及びネットワーク機器と稼働に必要な電源,空調,施設設備を含めた範囲とする。〔3〕 情報資産の管理責任
すべての情報資産に対して管理部署を決定し,管理部署は,社員の中から管理責任者を任命する。管理責任者は,情報資産へのアクセス,取扱方法を定め,効果的に守られていることを恒常的に監視監督する。ただし,この監視監督業務は,外部委託を認める。また,情報セキュリティ室はこれらのアクセス,取扱方法及び監視監督の有効性について,定期的又は必要に応じて検証を行う。検証に関しては,第三者機関への委託を認める。7. ネットワーク接続及び運用
〔1〕 ネットワーク接続
当社情報システムに対する情報機器の接続は,その管理のため,会社施設内での接続に限定する。会社施設外からのアクセスは,緊急対応時,定期的診断及び保守作業に必要な場合に限り一時的に認める。〔2〕 ネットワークの運用
当社情報ネットワークに関しては,情報システム部が管理責任を負う。ただし,運用に関しては外部委託を認める。8. アクセス制御
〔1〕 アクセス制御方針
情報及び情報システムに関するアクセスの許認可及び管理は,“6.情報セキュリティの範囲と責任”の“〔3〕情報資産の管理責任”に従う。管理者は,情報システム運用者に対し,アクセスに対する措置の申請・解除などの手続をとる。情報システムの運用に関しては,外部委託を認める。〔2〕 ユーザアクセス管理
ユーザのアクセスに関して“6.情報セキュリティの範囲と責任”の“〔3〕情報資産の管理責任”に従い,状況を監視監督する。
設問1 [ a ]〜[ e ]に入れる適切な字句を,それぞれ8字以内で答えよ。
設問1の正解例と解説へ
設問2 情報セキュリティ対策基準に関する次の問いに答えよ。
(1) 現在の基準では,“発注システム”の考慮がなされていなかった。“発注システム”の特徴から,基準で最も不適合を起こしている箇所の項目番号を挙げ,その理由を20字以内で述べよ。 (2) “新調達システム”を導入する上で,上記の(1)以外でA社の基準に変更が必要な箇所の項目番号を挙げ,変更に盛り込むべき内容を35字以内で述べよ。
設問2の正解例と解説へ
設問3 “新調達システム”で発生した本文中の下線のトラブルの対策として,ITU-T X.509に定められた,あるデータを確認する方法が考えられる。対策として,A社が確認すべきものは何か。6字以内で答えよ。また,このトラブルを防止するために,その運用上注意すべきことは何か。15字以内で述べよ。
設問3の正解例と解説へ
設問4 設問3の対策だけでは,納期を過ぎても入荷されないというトラブルを完全に防ぐことはできない。それはなぜか。40字以内で具体的に述べよ。ただし,情報システムでは正常に発注処理が行われたものとし,事故や犯罪によって引き起こされたトラブルは対象外とする。
設問4の正解例と解説へ
メニューへ戻る