情報セキュアド 平成14年度試験 問題(午後1 問4)
問4 リモートアクセスシステムに関する次の記述を読んで,設問1〜4に答えよ。
H社は,中堅の製造業者である。本社は,営業拠点も兼ねて東京にあり,近郊に研究所と工場がある。市場は主に国内であり,全国主要都市に営業所がある。数年前から社内業務の電子化を進めており,昨年までに1人1台のパソコンの設置が完了した。最近では,社長をはじめ全社員が電子メールを使って連絡,指示及び報告を行うようになった。昨年から,社外向けホームページを開設して,積極的な情報発信も行っている。また,Webサーバを利用した社内の情報共有化も進んでおり,24時間いつでも必要な情報にアクセスできる。これは,情報共有Webサーバヘの事例登録件数を社内電子化推進への貢献に対する指標として評価するという社長の方針が大きく影響しており,部門業績の評価項目にもなっている。さらに,営業部門に対しては,1人1台の携帯電話を貸与して販売活動の円滑化を図っている。
これまでH社は,先端技術を使用していることもあって,セキュリティ確保を最優先にし,社外から社内のサーバヘのアクセスを原則禁止にしてきた。ところが,先ごろの役員会で営業活動の更なる効率化が議題に挙がり,営業や技術サポート部隊が客先や出張先から社内のサーバに直接アクセスすることができれば,営業活動を効率的かつ効果的に行うことができるとの判断から,リモートアクセスを解禁することが決定された。
情報システム部のG部長は,この決定を受けて,現行システムの構築に最初から携わっている入社6年目のR主任に直ちに検討に入るように指示した。
1か月後,R主任は,次のような内容を骨子とする計画案を作成し,G部長に提出した。
| (1) | 情報セキュリティポリシを見直し,社内システムヘのアクセスに関する対策基準と実施手順を追加規定する。 |
| (2) | 社外からアクセス可能な社内サーバは,メールサーバ(SMTP及びPOP)と特定の情報共有Webサーバに限定する。 |
| (3) | 情報セキュリティ対策及びライセンス管理上,社外から社内システムにアクセスするためのPCカード付きノート型パソコンは,会社から貸与する。 |
| (4) | ノート型パソコンには,紛失を考慮してファイル暗号化ソフトを組み込む。また,本人以外が起動できないように起動パスワードを設定する。 |
| (5) | 社外から社内システムヘのアクセスは,当面,リモートアクセスサーバ(以下,RASという)経由だけにする。RASへのアクセス記録は,本人あてに電子メールで送付する。 |
次は,この計画案に対するG部長とR主任の会話である。
| G部長: | 我が社のシステムも本格的にリモートアクセスが可能になるわけだが,セキュリティの観点からのポイントを説明してもらいたい。 |
| R主任: | はい。不正侵入の[ a ],不正侵入の早期[ b ],侵入された場合の対応体制の整備やウイルスチェックなど,システム側としての対策は無論ですが,ノート型パソコンの紛失や無許可使用などのリスクに対しても十分な手を打つことを心掛けました。 |
| G部長: | 不正侵入の[ a ]対策として,具体的にどのような手が打たれているのか,図のH社のネットワーク構成を用いて簡単に説明してもらいたい。 |
| R主任: | はい。リモートアクセスユーザを確認するため,発信者番号通知に基づく発信元確認を行うとともに,図中の(ア)に[ c ]サーバを設置してRASへの接続時にパスワードのチェックを行います。また,RASと社内ネットワークとの間には,ファイアウォールを設置しています。 |
| G部長: | 早期[ b ]を行うための,本人あてのアクセス記録の送付頻度はどうなっているのかね。 |
| R主任: | とりあえず,翌日の朝に前日分をまとめて送付するというやり方でスタートしてみようかと思います。 |
| G部長: | ところで,〔1〕会社から貸与するノート型パソコンだが,ウイルスの感染防止及び機密情報の漏えい防止の観点からの禁止規定が抜けているな。アタックの踏み台にされて,我が社だけでなくほかの企業にも迷惑をかける可能性もあるからな。 |
| R主任: | 分かりました。〔2〕ウイルスの感染防止及び機密情報の漏えい防止の観点からは,個人所有のパソコンに言及した禁止規定も必要ですね。 |
| G部長: | そうだな。それはそうと,ファイルの暗号化は守られるだろうか。社内でも暗号メールは,なかなか浸透しないようなので少し心配だが。 |
| R主任: | 貸与するノート型パソコンに組み込むファイル暗号化ソフトは,あらかじめ対象ファイルを定義しておけば,自動的にファイルの暗号化を行いますので,利用者はいちいち意識する必要はありません。 |
| G部長: | なるほど。最近,他社では,携帯電話機から社内のWebサーバにアクセスしている所もあるようだが。 |
| R主任: | はい。今回は入っていませんが,その場合は,インターネット経由のアクセスになりますので,情報セキュリティ対策上ゲートウェイサーバを追加設置します。[ c ]サーバは,リモートアクセスと共有できます。 |
| G部長: | 〔3〕インターネットを経由するとなると,なりすましに対する対策が必要だな。 |
新システム稼働後のある日の午後1時過ぎ,営業部のN担当から電話が入った。
| N担当: | 営業部のNですが,PCカ−ド付きノート型パソコンを紛失したのですが。 |
| R主任: | (N担当に関する情報を検索しつつ)紛失した場所と時刻,最後にアクセスした時刻を教えてください。 |
| N担当: | 昼に立ち寄った店に置き忘れたのですが,気が付いて戻ったときにはもうありませんでした。最後にアクセスしたのは,午前11時ごろです。 |
R主任は,直ちにN担当のアカウント停止措置をとった後,[ d ]を見て不審なアクセスがなかったかどうかを調べた。幸い,その間に不審なアクセスはなかった。
その後,しばらくは平穏な日々が続いたが,ある日の朝一番に営業部のP部長から電話が入った。
| P部長: | 営業部長のPだが,携帯電話から社内ネットワークにつなぐときのパスワードを忘れた。何とかしてくれ。 |
| R主任: |
P部長とおっしゃいましたね。念のため内線電話番号と電子メールアドレスを教えて頂けますか。電子メールで新しいパスワードをお送りしますので,それを使ってください。 (R主任は,電話で応対しながらP部長のアドレス情報を検索し,内線番号と電子メールアドレスが一応正しいことを確認した。) |
| P部長: | 今,ホテルからなんだ。電子メールが読めないので,今ここでパスワードを教えてくれないか。 |
| R主任: | 申し訳ありません。それはできかねます。 |
| P部長: | 肝心なときに役に立たんな。今朝,重要顧客のL社の専務から電話があり,電子メールを送ったので至急見てほしいと連絡があったんだ。何とかならんか。 |
| R主任: | L社ですか。〔4〕分かりました。それでは,“hysk74pt”を使ってください。 |
| P部長: | 分かった。ありがとう。 |
設問1 本文中の[ a ]〜[ d ]に入れる適切な字句を答えよ。
設問1の正解例と解説へ
設問2 本文中の下線〔3〕についての対策事項を,15字以内で述べよ。
設問2の正解例と解説へ
設問3 本文中の下線〔4〕のR主任の行動には,情報セキュリティ対策上問題がある。それは何か。25字以内で述べよ。また,どのように行動すべきだったかを,40字以内で述べよ。
設問3の正解例と解説へ
設問4 本文中の下線〔1〕及び〔2〕で,G部長とR主任が必要であると思った追加規定を,それぞれ45字以内で述べよ。
設問4の正解例と解説へ
メニューへ戻る