情報セキュアド 平成14年度試験 問題(午後1 問1)
問1 アウトソーシングにおける情報セキュリティに関する次の記述を読んで,設問1〜4に答えよ。
A社は,全国に営業拠点をもつ従業員数約5,000名の企業で,自社ブランドの住宅設備製品を販売しており,顧客情報管理,販売情報管理,修理情報管理など40を超える業務システムを運用している。住宅設備製品は,安全管理上の理由から,販売した製品情報と顧客情報の関連付けが必要で,顧客情報管理システムがほとんどの業務システムと連携している。これらの業務システムの運用は,10年前からA社が100%出資する情報システム子会社のK社によって行われていた。
K社の社員約200名の半数以上が,A社からの出向者であった。このため,A社とK社の間では,よい意味でも悪い意味でも“身内感覚”で仕事を進めてきており,システムの運用に関して,サービス内容とその品質が規定されていなかった。情報セキュリティに関しては,A社の情報セキュリティポリシの中で顧客情報を適切に取り扱うよう明確に定められ,A社及びK社の全社員に対して周知徹底されていたので,A社とK社内には顧客情報保護の意識が浸透していた。
2年前,A社は,情報セキュリティを重視した企業であることを社会的にアピールするために,[ a ]を取得する方針を打ち出した。これは,“個人情報保護に関するコンプライアンス・プログラムの要求事項”(JIS Q15001)に適合し,電子計算機処理にかかわる個人情報を保護するための体制を整備している事業者に対して認定される制度である。K社との委託契約には,“個人情報に関する[ b ]義務契約”,“再委託に関する事項”,“事故時の責任分担”及び“契約[ c ]時の個人情報の返却及び消去”の四つの内容が盛り込まれていた。
〔資本参加型アウトソーシングの契約〕
昨年,A社は自社のコアコンピタンスを強化するため,情報サービス事業者のE社に対して,K社への資本参加を要請し,10年間のアウトソーシング契約を締結することで合意した。E社のK社への出資比率は51%であった。A社とK社の契約金額については,K社から提出された10年間の見積額を基に,前年度実績を踏まえて,毎年見直すという取決めであった(図1)。
K社はE社の子会社になったので,E社から多くの社員が出向してきた。K社の情報セキュリティポリシは,E社の情報セキュリティポリシに基づいて,新たに制定され,K社内に周知徹底された。A社でも組織の見直しが行われ,100名在籍していた情報システム部員の半数以上は,K社に転籍した。A社の情報システム関連業務は,システム企画,予算管理及びK社への委託業務管理だけで,ほかの業務に関してはK社にアウトソーシングし,業務システムの実務経験がない経営企画部システム管理課の10名が担当することになった。
A社のシステム管理課のX課長は,この体制で情報セキュリティを確保することは難しいのではないかと考えていた。ソフトウェアの情報セキュリティ上の不具合に関する情報は,インターネットから簡単に入手できるものの,その量は膨大であり,対策を講じなかった場合,A社にどのような影響があるのかについて,システム管理課では見極めることができなかった。また,K社との関係及びK社内の体制が変更されたことから,顧客情報を従来どおり守れるかどうかといった不安があった。
〔サービスレベルの定義〕
A社とK社は,アウトソーシング契約締結時にシステムの運用委託に関するサービスレベルの目標値と提供されるサービス内容について合意した。昨年度のウイルス対策に関するサービスレベルの目標値は図2のとおりであり,サービス内容は表のとおりである。
|
年間延ベウイルス感染率:サーバ台数とクライアント台数のそれぞれ5%以内 ウイルス被害からの復旧期間:3営業日以内 |
|
||
|
||
|
||
|
(契約条件)工数単価:40,000円/人日 規模:サーバ台数200台,クライアント台数6,000台 |
K社の事故対応サービスにおいて,サービス利用回数の実績が年間4回以下であっても,契約金額は同じである。また,ウイルス被害からの復旧期間の目標値は,営業日単位で設定され,その目標値を短くすると緊急に人員を手配する必要がある。そのため,事故対応サービスの契約金額は,復旧期間を3営業日以内とする場合と比較して,2営業日以内の場合で1.25倍,1営業日以内の場合で3倍になる。
〔事故の発生と対応〕
インターネット上のホームページを閲覧するだけで感染するウイルスがA社内に侵入し,顧客情報管理システムが停止するという事態に至った。最新の情報セキュリティ修正プログラムを適用していなかったサーバに感染し,そこから社内に蔓延した(感染サーバ3台,感染クライアント250台)。停止時間は,金曜日の営業開始直後から休日2日間を挟んで火曜日の営業終了直前までに及んだ。その間,手作業で対応せざるを得ない業務が発生し,対応費用として1営業日当たり200万円を要した。
A社内では,K社の今回の対応に不満を漏らす声が多く出た。X課長は,K社の担当者であるD氏に今回の事故の説明を求めた。D氏は,年1回のパッチ適用サービスを実施していたこと,及びウイルス感染による被害時の復旧目標値である3営業日以内で復旧したことから,K社側に落ち度がない旨を主張した。さらに,情報セキュリティ修正プログラムは昨今数多く発表されており,それらをすべて適用すると,業務システムの安定稼働を維持するために,ばく大な作業工数を要すると発言した。X課長は,D氏の説明に納得し,パッチ適用サービスの回数が極力少なくて済むための新サービスの提案を依頼した。
〔サービスレベルの見直し〕
X課長は,今年度のウイルス対策に関するサービスレベルの目標値を昨年度と同じにすべきであると考えた。K社は,提案中の新サービスを追加すれば,ウイルスの脅威が増大している状況下であっても,昨年度のサービス内容の工数を変更しないで済むと説明した。X課長は,K社の提案が妥当かどうか判断できなかったので,第三者の専門業者にコンサルティングを依頼した。依頼を受けた業者は,K社の提案を妥当であると評価した。また,復旧期間の目標値に関しては,費用を最小化するという観点から,復旧までの営業日を短縮すべきであると提案した。
設問1 本文中の[ a ]〜[ c ]に入れる適切な字句を答えよ。[ a ]については10字以内,[ b ]については4字以内,[ c ]については2字以内で答えよ。
設問1の正解例へ
設問2 X課長は,アウトソーシングによって,顧客情報の機密性を保持することに不安があると考えている。K社に実施させるべき具体的対策を,30字以内で述べよ。
設問2の正解例へ
設問3 顧客情報管理システムが停止した事故に関する次の問いに答えよ。
| (1) | D氏は,情報セキュリティ修正プログラムをすべて適用すると,ばく大な作業工数を要すると発言しているが,その作業項目とは何か。15字以内で述べよ。 |
| (2) | X課長が,情報セキュリティ修正プログラムの適用回数を少なくするため,K社に依頼した新サービスとは何か。40字以内で述べよ。 |
設問3の正解例へ
設問4 ウイルス対策のサービスレベルに関する次の問いに答えよ。
| (1) | 昨年度の更新サービスと事故対応サービスの契約金額を,それぞれ求めよ。 |
| (2) | 復旧期間の目標値の見直しに関して,コンサルティングを依頼した専門業者が提案した内容を具体的に10字以内で述べよ。また,その理由について45字以内で述べよ。 |
設問4の正解例へ
メニューへ戻る