情報セキュアド 平成14年度試験 問題(午後2 問2)
問2 情報システムセキュリティの監査に関する次の記述を読んで,設問1〜4に答えよ。
X社は,中規模の部品製造会社である。X社のもつ部品製造技術には定評があり,全世界の装置ベンダから部品の製造注文がある。X社は,2001年に米国の大手装置ベンダであるY社と次世代の情報通信用装置の部品開発に関して提携を結んだ。総勢30名の特別プロジェクトチーム(以下,PTという)を組織編成し,開発を進めている。Y社側もPTを組織編成している(図1)。X社PTでは,設計システムを利用して部品のプロトタイプを製作している。両PTは,設計のために,電子媒体を含むお互いの文書類を参照している。X社PTのLANは,VPNでY社PTのLANと接続されている(図2)。PTのメンバと特別に許可された者だけが,特別プロジェクト棟に入棟できる。
この開発は,全世界の競争相手から注目されているので,両社とも開発に関する情報セキュリティの確保には細心の注意を払っている。
ところが,開発の内容の一部が,X社側から漏えいしたのではないかとの疑いが持ち上がった。そこで,両社は,PTの情報セキュリティを見直すことにした。早速,情報セキュリティを高めるために,X社PTの情報システムのセキュリティに関するシステム監査(以下,監査という)を実施することが,Y社から提案された。
X社の社長は,監査が将来的な情報セキュリティの向上に役立つと考え,提案を受諾した。監査チームが,Y社監査部のJ部長をリーダとし,X社監査部のT課長及びY社監査部のL専門担当者で構成された。監査チームは,X社PTに対する監査基本方針(図3)を作成し,X社側被監査部門の責任者である情報システム部のD課長に必要書類の提供を求めた。
|
〔監査に向けた準備〕
D課長は,監査チームに,X社のネットワーク構成図,組織図,“情報セキュリティ基本方針,対策基準”(図4)及びX社PTに関する実施規定(図5)を提出した。D課長は,“情報セキュリティ基本方針,対策基準”の制定経緯について,次のように説明した。
“情報セキュリティ基本方針,対策基準”は,X社の情報セキュリティ委員会で策定され,1998年に経営会議で承認されて,社員(出向者,外注者,派遣者を含む)に通知された。また,X社PTに関する実施規定は,X社の技術開発部長と情報システム部長によってY社のCSOの助言を受けて作成されPT発足時に関係者に通知された。
|
情報セキュリティ基本方針,対策基準
X社社長 X社は,最先端の研究成果を部品開発に生かす企業である。そのため,研究や開発に関する情報セキュリティの確保は,最も重要な経営課題である。社員は,必要の原則(need to know)に従って,情報セキュリティを常に意識して行動しなければならない。 II.組織と役割 社長を最高責任者とし,各部長をメンバとする情報セキュリティ委員会を組織する。情報システム部長を実施責任者にする。各部に,情報セキュリティ管理者とネットワーク管理者を置く。 各部の情報セキュリティ管理者は,部長の指示に従い,基本方針,対策基準の実施,情報資産の管理及び必要の原則に基づいたアクセス権の付与に責任をもつ。各部のネットワーク管理者は,各種サーバ及びネットワークの管理業務を実施する。この際,情報セキュリティ管理者が立ち会う。 III.対策基準
以上 |
|
X社技術開発部,情報システム部
以上 |
〔監査の実施〕
監査チームは,情報セキュリティ対策基準などの書類をチェックし,現行の運用状況についてヒアリングを行った。続いて,表1に示す監査チェックリストを作成し,現場立入調査を実施した。
| 管理区分 | コントロールの内容 | 確認する内容,文法の一例 | ||||||||
| 情報資産管理 |
|
|
||||||||
| 入退室管理 |
|
|
||||||||
| ネットワーク機器管理 |
|
|
||||||||
|
|
|||||||||
| パソコン管理 |
|
|
||||||||
|
|
|||||||||
|
|
|||||||||
| 記憶媒体管理 |
|
|
||||||||
| 文書管理サーバヘのアクセス管理 |
|
|
||||||||
| ネットワーク利用に関するアカウント,パスワード管理 |
|
X社PTのメンバからランダムに選択して,
|
||||||||
|
|
監査チームは,表1を基にした現場立入調査で,入退室管理以外の項目についてコントロールが適切であることを確認した。
入退室管理については,D課長に次のような説明を受けた。X社では,入退室管理にICカードを用いている。このICカードは,身分証及び社員食堂での支払手段を兼ねており,写真,氏名,生年月日,会社名及び所属が印刷されている。表2は,D課長が,入退室管理について監査チームに説明したときの資料である。
| 項目 | 内容 |
| 入退室管理規則 | 就業規則を適用 |
| 運用管理体制 | ICカードでの無人管理とログによるチェック |
| 入退室方法 | ICカードをリーダに読ませ,社員番号を基に入室権限をチェックし,ドアを開閉 |
| ICカードの記録項目 | 氏名,生年月日,社員番号,会社名,所属 |
| ICカードのデータ書込手順 | 所属部長が承認 ネットワーク管理者による情報セキュリティ管理者の立会いの下でのICカードヘのデータ書込み |
〔ヒアリングと意見交換〕
監査チームは,X社PTのネットワーク管理者と情報セキュリティ管理者に対して,日常の業務内容と報告のフローについてヒアリングを行った。
監査チームは,その結果を基に,ネットワーク管理業務に関する仕事の引継ぎの容易さからネットワーク管理者の間でアカウントが共通に用いられていること,ネットワーク監視業務などでは情報セキュリティ管理者が立ち会わないときがあることについて,説明を求めた。D課長は,後者について,操作結果がすべて該当サーバのログに記録され,定期的に情報セキュリティ管理者がチェックを行っているので問題はないと主張した。監査チームは,該当サーバのログをチェックするだけでも不正な行動を間接的に防止できることから,現状の管理体制でも十分であると結論づけた。
〔監査の結果報告〕
監査チームは,図6に示す監査報告書をまとめ,X社の情報セキュリティ委員会で社長に報告し,監査を終えた。
|
監査チーム 1.総合評価特別プロジェクト棟内に設置されているネットワーク,システム及びデータベースに関する情報セキュリティ対策基準,実施規定はおおむね適切であり,実際の運用もこれを遵守していると判断する。 (途中省略) 3.指摘事項
以上 |
〔監査のフォローアップ〕
X社の社長は,情報セキュリティポリシの重要性を再認識した。そこで,監査報告書の指摘事項に基づいてX社の情報セキュリティ対策を強化したいと考え,情報セキュリティ委員会に対して,“情報セキュリティ基本方針,対策基準”の見直しを指示した。
設問1 表1中の[ a ]〜[ e ]に入れる適切な字句を答えよ。
| (1) | [ a ]については,5字以内で述べよ。 |
| (2) | [ b ],[ c ]については,それぞれ9字以内で述べよ。 |
| (3) | [ d ],[ e ]については,それぞれ25字以内で述べよ。 |
設問1の正解例と解説へ
設問2 図5のX社PTに対する実施規定に関する次の問いに答えよ。
| (1) | 下線〔1〕の記録簿には,どのような項目を記録すればよいか。5項目以上挙げ,45字以内で述べよ。 |
| (2) | 図5中の[ ア ]に入れる適切な字句を,25字以内で述べよ。 |
| (3) | 下線〔2〕で,“特別プロジェクト棟におけるインターネットの利用を禁ずる”理由を,“情報セキュリティ基本方針,対策基準”との関係から,50字以内で述べよ。 |
設問2の正解例と解説へ
設問3 図6中の指摘事項に関する次の問いに答えよ。
| (1) | 監査チームが指摘事項の(1)で想定しているICカードに関するリスクを,65字以内で述べよ。また,指摘している追加手段を,25字以内で述べよ。 |
| (2) | 監査チームが指摘事項の(2)で指摘しているように,複数のネットワーク管理者が同じアカウントを用いてネットワーク管理業務を行う場合,どのような問題が発生するか。50字以内で述べよ。 |
設問3の正解例と解説へ
設問4 図6中の指摘事項の(3)で指摘されていることが,X社の情報の漏えいにつながったと考えられる。情報の漏えいに関連するリスクをもたらす規定上の不備は何か。30字以内で述べよ。また,図4中の対策基準に追加すべき防止策を,65字以内で述べよ。
設問4の正解例と解説へ
メニューへ戻る