情報セキュアド 平成13年度試験 問題(午後2 問2)
問2 情報セキュリティポリシの策定及び運用に関する次の記述を読んで,設問1〜5に答えよ。
A社は,従業員が700人規模のエネルギ関連企業で,エネルギの購入,備蓄,精製及び卸販売を行っている。
エネルギの購入及び卸販売の業務は,主に本社部門が行っている。これらの事務処理業務のシステム化は,情報システム部が担当している。情報システム部は,事務処理の効率化のため,10年ほど前にネットワーク(以下,事務処理系ネットワークという)を敷設し,本社部門のパソコンをネットワークに接続した。昨年,購入や卸販売業務でインターネットの利用が必要になったので,事務処理系ネットワークをインターネットに接続した。これによって,電子メールと社外のホームページ検索(以下,Web検索という)が可能になり,従来からの社員間の情報交換に加え,社外との情報交換も可能になった。
インターネットの接続時にファイアウォールを設置し,電子メールとWeb検索だけを可能にした。特にウイルス対策としては,社外及び社内用メールサーバでウイルス検査を行い,感染のおそれがある場合には,中継を保留する措置を講じた。
生産部門では,エネルギを備蓄するためのタンクとエネルギを精製するための装置(以下,これらを総称してプラントという)を管理している。安定稼働とコストダウンの観点から,プラントの操業の自動化が推進されてきており,20年前にコンピュータが導入された。プラントの制御及び監視の一元管理,並びに計測情報の分析及び解析のため,10年ほど前にプラント制御系ネットワークが敷設された。また,プラントのメンテナンス業務を効率化するため,リモートアクセスサーバ(以下,RASという)を設置している。これらについては,生産部門が構築し,維持管理を行っている。
A社ではこれまで,本社部門と生産部門の間で方針や施策に関して意見の食い違いが多く発生し,意思決定に時間を要していた。本社部門と生産部門の連携を強化するため,両部門間の人事ローテーションを活発に行うこと,及び1年後に本社部門を生産部門の隣に移転することを経営会議で決定した。また,本社部門の移転時に,ネットワーク全体の見直しを図ることも決定した。
〔情報セキュリティポリシの策定〕
情報システム部のB課長は,本社部門の移転計画を契機に,情報セキュリティポリシを作成し,セキュリティレベルの向上を図ることが必要であると考えた。そこで,B課長は,社長を委員長とする情報セキュリティ委員会の設置と情報セキュリティ基本方針の骨子(図1)を経営会議に提案した。経営会議では,“本社部門の移転までの10か月間で情報セキュリティポリシの導入を完了し,移転後に運用を開始すること”及び“ウイルス対策を強化すること”という指示が出た。
次は,経営会議での質疑応答である。
| C役員: | 短期間で完了するためには,同業他社で作成した情報セキュリティポリシを流用して一部修正するのが効率的ではないか。 |
| B課長: | 効率的に作業を進めるため,外部の専門会社の支援を仰ぐつもりですが,情報セキュリティ基本方針の骨子で述べたような情報セキュリティポリシを策定するには,自分たちが中心となって作成したいと考えています。 |
|
社員は,エネルギ事業を継続的かつ安定的に行う上で,情報資産の重要性を認識し,情報資産の重要度とリスクに応じたセキュリティ(機密性,完全性及び可用性)の確保に努めなければならない。特に,プラント関係のシステムについては,可用性の確保に努めなければならない。 当社は,情報セキュリティ委員会を設置し,すべての情報資産のセキュリティを確保するため,実効性のある施策を情報セキュリティポリシとして定めるとともに,必要な諸手続を整備する。情報セキュリティポリシに関する教育,有効性の評価及び遵守状況の監視を行うことによって,セキュリティを維持,向上させる。 情報資産のセキュリティを損ねる行為を行った社員は,就業規則に基づき懲罰される。 |
情報セキュリティポリシ策定の支援を依頼された外部コンサルティング会社からは,失敗しないためのポイントとして,次の三つが提示された。
| 〔1〕 | 各部門の代表者からなる横断的な組織を形成し,全社での協調体制を構築する。 |
| 〔2〕 | 既存の文書管理規則や電子メールの利用規定との整合性を確保する。 |
| 〔3〕 | 責任の所在が明確になるように,利用部門及び管理部門の権限範囲を規定する。 |
B課長は,会社全体の実情に詳しく,また,ほかの部門のメンバと調整した経験のある情報システム部のW主任を,情報セキュリティ対策の担当者に選任した。W主任は,情報セキュリティポリシを策定し,その後,本社部門の移転までに教育を完了するというスケジュールを立案した。それを見たB課長は,経営会議の指示に対して,作業が完了しない項目がでるおそれがあると考え,情報セキュリティポリシの策定スケジュールを早めるようにW主任へ指示した。
次は,情報セキュリティ委員会での会話である。
| F課長: | 今回の適用対象に紙の情報を含めるのか。ワープロで作成された電子化情報だけを対象にすれば十分ではないか。 |
| W主任: |
プリンタで出力すれば電子化情報も紙として存在しますので,含めたいと思います。紙の情報の機密レベルは,既に文書管理規則で規定されております。 今後,情報の機密レベルについては,情報セキュリティポリシに一本化する方向で文書管理規則の担当者と合意しております。 |
| F課長: | 生産部門のプラント制御系システムを,今回の情報セキュリティポリシの対象から外すべきだ。利用しているOSなどの技術基盤が異なるからだ。 |
| W主任: | 本社部門の移転後,事務処理系とプラント制御系のネットワークを接続する予定です。確かに,プラント制御系システムは,汎用性の低い専用のハードウェアとソフトウェアで構成されていますが,以前よりも汎用化が進んでいます。やはり対象とすべきではないでしょうか。 |
| F課長: | 我々の生産部門は,安定稼働を至上命題にシステムやネットワークを構築した。事務処理系システムよりも高い可用性レベルを維持している。そもそも,事務処理系のネットワークやシステムとはセキュリティ要件が異なる。無理やりすべての情報資産を同じレベルで管理しようとすると,かえって我々のシステムのレベルが下がってしまう。 |
| W主任: | 生産部門のシステムは,確かに高い可用性レベルを維持しています。しかし,基本方針の骨子にも,すべての情報資産を対象にするとあり,一部を外すわけにはいきませんので,対象に含めるべきではないでしょうか。 |
| F課長: | これでは平行線で,話がまとまらん。 |
| B課長: | 今回の移転は,本社部門と生産部門の連携強化がねらいだが,すぐに実現することは難しいので段階的に進めていくのはどうだろう。W君,何かいい方法はないかね。 |
| W主任: | それでしたら,プラント制御系ネットワークを二つに分けるのはどうでしょうか。汎用性の高い方は,情報セキュリティポリシの対象とし,もう一方は対象から外します。 |
| F課長: | それぞれが基本方針や対策基準を策定し,運用していくということだな。それがいい。運用状況を見て,1年後に統合するかどうかを検討するのはどうだろうか。 |
| B課長: | 了解した。当面,ネットワークの所管については,従来どおりでいこう。 |
| W主任: | 話は変わりますが,電子メールによる情報の漏えいを防ぐため,外部に送信する場合には,上司に控えを送信するというようにしたいのですが,いかがでしょう。 |
| F課長: | 私の部下は30人もいて,いちいち見ていられない。 |
| B課長: | 電子メールによる機密情報の漏えいを予防するため,協力をお願いしたい。 |
〔ネットワークの見直し計画〕
情報セキュリティ委員会の委員及び関係者で協議し,ネットワーク構成を見直した結果,図2のようになった。
| (1) | プラント制御系ネットワークを制御系と制御情報系の2系統に分離する。 |
| (2) | 制御系ネットワークは,プラントの制御及び監視を行う。ネットワークプロトコルやOSなどは,専用的な技術基盤を利用する。 |
| (3) | 制御情報系ネットワークは,プロセスコンピュータ(以下,プロコンという)を用いて,計測情報や各種構成情報など,重要で最も機密性の高い情報を管理する。ネットワークプロトコルやOSなどは,汎用的な技術基盤を利用する。 |
| (4) | 制御情報系ネットワークは,内部ファイアウォールを経由して事務処理系ネットワーク,ゲートウェイを介して制御系ネットワークと接続する。制御情報系ネットワーク上のパソコンから社内共用ネットワークへの接続,電子メールやWeb検索の利用が可能である。 |
表は,各ネットワークに対して要求されるセキュリティレベルをそれぞれの所管がまとめたものである。
| 区分 | 適用対象 | 所管 | セキュリティ要求レベル | ||
| 機密性 | 完全性 | 可用性 | |||
| 社外向けネットワーク | 対象 | 情報システム部 | 低 | 低 | 低 |
| 事務処理系ネットワーク | 対象 | 情報システム部 | 中 | 中 | 中 |
| 社内共用ネットワーク | 対象 | [ c ] | 高 | 高 | 中 |
| 制御系ネットワーク | [ a ] | 生産部門 | 中 | 高 | [ e ] |
| 制御情報系ネットワーク | [ b ] | [ d ] | 高 | 高 | 高 |
本社部門の移転の5か月前に,図3の情報セキュリティポリシが策定された。
|
I.目的 情報資産(情報及び情報システム)の機密保護,運用及び保全に関する取扱いを定め,その方針や基準を明確化することによって,セキュリティ(機密性,完全性及び可用性)を確保することを目的とする。 II.適用範囲
V.情報資産の重要度分類
VIII.運用管理項目
付則:本情報セキュリティポリシの適用範囲は,施行1年後に見直すものとする。 |
〔情報セキュリティポリシの遵守状況の確認〕
B課長は,情報セキュリティポリシが適切に運用されるように,次の二つの方策を検討し,本社部門の移転後に実施することにした。
インターネットからの不正侵入による脅威が増大し続けているので,年1回,外部の専門家によるペネトレーションテスト(疑似侵入攻撃)を実施し,ファイアウォールによる対策に不備がないかどうかを検証することにした。
また,電子メールの適正な利用を推進するため,社外に送信する電子メールであて先に上司が含まれていない(ブラインドカーボンコピーがない)場合,送信を保留して本人へ返送する仕組みを導入することにした。また,これを導入するに当たって,[ f ]の問題で会社と社員との間にあつれきが生じないように,事前に周知することにした。
〔事故の発生〕
本社部門の移転後,しばらくしてプロコンのデータが一部消失するという事故が発生した。調査の結果,次のことが分かった。
| (1) | 本社部門の移転時にプラントのメンテナンス用機器が盗まれ,その機器を利用してRAS経由で不正侵入された。RASへの接続には構内無線電話が利用されており,安全であるとの認識から,接続時にIDとパスワードの設定はなかった。しかし,工場の外壁の外側からテストしたところ,RASへの接続が可能であった。 |
| (2) | メンテナンス用機器の利用者は,盗難に気付いていたが報告していなかった。 |
| (3) | プロコンの管理者用のIDとパスワードが容易に推測できるものであった。また,プロコンのOSのセキュリティに関する設定が初期値のままであった。 |
| (4) | プロコンに保管されている各種構成情報からゲートウェイのアドレスが発覚し,攻撃を仕掛けられたが,侵入までには至らなかった。 |
〔対策の実施〕
事故発生後,次の対策を講じた。
| (1) | メンテナンス用機器の紛失時の連絡体制を整備し,周知徹底した。 |
| (2) | RAS及びプロコンのIDとパスワードの管理方法を見直した。 |
| (3) | プロコンのOSに対する設定を見直した。 |
今回の事故を通じて,B課長は,情報セキュリティを確保する上でのポイントは何であるかを痛感した。
設問1 本文中の[ a ]〜[ f ]に入れる適切な字句を答えよ。
設問1の正解例と解説へ
設問2 情報セキュリティ対策に関する次の問いに答えよ。
| (1) | B課長は,W主任の提示したスケジュールでは,“作業が完了しない項目がでるおそれがある”と考えた。そのような作業項目を15字以内で述べよ。 |
| (2) | W主任は,情報セキュリティポリシの策定に当たって,B課長の期待どおりに活躍しているが,それはどのような点か。二つ挙げ,それぞれ30字以内で述べよ。 |
| (3) | B課長は,経営会議の質疑応答で,“自分たちが中心となって作成したい”と答えている。B課長のねらいは何であるか。50字以内で述べよ。 |
設問2の正解例と解説へ
設問3 電子メールの情報セキュリティ対策に関する次の問いに答えよ。
| (1) | 情報セキュリティポリシの導入によって,従来からのウイルス対策の効果が一部低下するおそれがある。それは現在の運用方法から考えてどのような点か。30字以内で述べよ。 |
| (2) | 電子メールの適正な利用を推進するための対策について,運用上の課題を二つ挙げ,それぞれ30字以内で述べよ。 |
設問3の正解例と解説へ
設問4 不正侵入に関する次の問いに答えよ。
| (1) | W主任は,ほかのネットワークと比較して制御系ネットワークのリスクが小さいと分析した。その理由を二つ挙げ,それぞれ15字以内で述べよ。 |
| (2) | プロコンに対する対策は,不正侵入防止という点から不十分である。とるべき対策を20字以内で述べよ。 |
設問4の正解例と解説へ
設問5 B課長は,今回の事故を通じて,A社の情報セキュリティを向上するために改善すべき内容とその解決策は何であると考えているか。改善すべき内容を30字以内で述べよ。また,その解決策を70字以内で述べよ。
設問5の正解例と解説へ
メニューへ戻る