情報セキュリティスペシャリスト試験情報 > 平成15年度試験メニュー >問題と解説
情報セキュアド 平成15年度試験 問題(午後1 問1)
問1 情報セキュリティポリシに基づくセキュリティ対策に関する次の記述を読んで,設問1〜4に答えよ。
D社は,自動車関連の部品や雑貨の販売,取付けや整備を行う中堅小売業者で,消費者向けに店頭販売と訪問販売を行っている。首都圏を中心に10支店があり,それぞれ管轄地域内の数か所の営業所と十数か所の店舗を統括している。営業所では配属された営業員が顧客リストに基づいて訪問販売を行い,店舗では従業員が店頭での接客,販売,整備などを行う。
D社では,情報システム部が情報セキュリティポリシ及び具体的な取決めを定めた実施手順書の策定を終えたばかりであった。図1,2に,D社の情報システム部が策定した情報セキュリティポリシの目次と実施手順書(利用者IDとパスワードの項目の抜粋)を示す。
図1 情報セキュリティポリシの目次
(1) 対象情報システム及び対象情報資産 (2) 情報システム装置への対策,ソフトウェアヘの対策及びバックアップ対策 (3) ウイルス対策,不正アクセス対策及びソフトウェアの不正コピー対策 (4) 情報システムのアクセス管理,ネットワーク管理及びリモートアクセス管理 (5) 物理的及び環境的セキュリティ (6) システム開発及び保守 (7) 障害トラブルヘの対応及び法令などの遵守
図2 実施手順書(利用者IDとパスワードの項目の抜粋)
(1) 利用者IDは各人に配付され,初期パスワードを最初のログインと同時に変更する。 (2) パスワードは意味のない文字列にし,必ず1文字以上の特殊記号を入れる。利用者IDは6けた,パスワードは8けた以上にする。 (3) パスワードは1か月ごとに変更するが,一度使用したパスワードは登録できない。
〔顧客情報システムの開発及び稼働〕
D社では,新たに営業システムに顧客情報システムを追加して,顧客との関係を強化することになった。図1,2に基づいて開発された顧客情報システムでは,実施手順書で指定された利用者IDとパスワードの基準に準拠した機能が実装されていたが,実際の運用においては,各自の利用者IDとパスワードを書いたメモをパソコンの周りに残しているユーザが少なくなかった。
〔F営業所での事件〕
ある朝,F営業所の管轄支店の営業推進担当者が,F営業所そばの駅のごみ箱からF営業所の顧客リストがはみ出しているところを発見し,回収した。顧客リストには,顧客の氏名,住所のほかに推定年収,高額商品の購入履歴,現在の商談状況などが記載されていた。回収された顧客リストには細断などの処理が何もされていなかったので,顧客リストの出力を行った利用者IDがすぐに特定された。しかし,この利用者IDを利用する営業員は,この1週間入院しており,顧客リストが出力された日にはパソコンを操作していなかったことが判明した。この営業員がよく利用するパソコンは,外部の者も頻繁に出入りしている休息ラウンジのそばに置かれ この営業員の利用者IDとパスワードのメモがパソコンにはり付けてあった。
数日後,F営業所での事件を知った情報システム部のG部長は,情報セキュリティ担当者のE氏とシステム運用担当者に,事件の調査と再発防止策の検討を指示した。検討の結果,〔1〕利用者IDとパスワードのメモ類への記録及びはり付けの禁止が打ち出され,実施手順書に追加された。その後,各営業所の朝礼で各支店の営業推進担当者から営業員に再発防止策が繰り返し伝達されたので,各営業所では改善が見られた。
〔全社的な情報セキュリティ対策の検討〕
事件の数週間後,E氏が,F営業所で情報セキュリティ対策の遵守状況の調査を行ったところ,新たに,〔2〕システムから出力された帳票類が管理されずに営業所内で放置されていたり,社外に持ち出されていたりしていることが分かった。また,細断処理を行うと資源が再利用しにくくなるので,〔3〕すべての不要な帳票類は細断されずにそのままリサイクルゴミ箱に廃棄されていることも分かった。
E氏は,問題が発生する前に,情報セキュリティを確保するための総合的な対策を実施することが必要であると感じ,G部長に相談した。
次は,情報セキュリティ対策に関するG部長とE氏の会話である。
G部長: 情報システム部だけの情報セキュリティ対策ではだめだということだが。 E 氏: はい。対策を効果的に推進するためには,情報セキュリティに対して,全社的に取り組む必要があると思います。まず,各部署の情報セキュリティ責任者を集めた[ a ]を設置し,各部署や従業員の情報セキュリティに関する責任と権限を明確にして,全社的な取組として推進することが必要です。 G部長: これまで,情報システム部としてとれる対策はとってきたのだからよいのではないか。効果が出なければ,人事部が[ b ]の罰則を強化して,営業所の朝礼でその徹底を図ればよい。 E 氏: いいえ。それだけでは十分とは思えません。[ b ]の罰則を強化しても,外部の者が自由に出入りしている現状の営業所内で,顧客リストなどが放置されていたのでは,対策としては不十分です。 G部長: [ b ]の改定は人事部が行うことだし,文書管理規則は総務部が制定しているし,帳票自体の管理は各部署が行うことなので,それぞれに任せればよいのでは。 E 氏: 情報セキュリティは,単に[ c ]化された情報や情報システム上のセキュリティを扱うだけでなく,全社で取り扱う情報資産すべてが対象です。 G部長: すべての情報資産に対する管理方針は,JIS X 5080(ISO/IEC 17799)を参考に,情報セキュリティポリシ(図1)の中で定めたはずだ。また,自分の担当もままならないのに,ほかの担当領域に口をだすのには抵抗がある。ところで,君からのメモに“物理的及び環境的セキュリティにも対策が必要”とあるが,何のことかね。 E 氏: 営業所の現状に対応した対策として,営業所での入退室管理の実行など,物理的及び環境的セキュリティの対策を実施しなければ,今後,別の事件が起きる可能性があると思いメモに書きました。 G部長: 建物などは総務部の担当であるから,検討する場合には,総務部を交える必要がある。しかし,それだけでは,君が指摘する十分な対策にはならないのではないか。〔4〕従業員の管理やモラルも問題だと思うのだが。前回のトラブルのときも私の耳に入るまでに,随分時間がかかったようだが。 E 氏: そのとおりです。“人的セキュリティ”として,従業員の管理やモラルを向上させるための対策が必要です。しかし,現在の情報セキュリティポリシや規則には,何も明記されておりません。 G部長: 確かに明記はされていない。しかし,明記されていなくても,これまでに情報システム部として関連した対策をとってきたはずだ。 E 氏: はい。まず,情報システムとシステム上の情報に関する取扱ルールを作り,情報システム部が,画一的にすべての従業員に集合[ d ]を行ってきました。しかし,情報システム部員の説明では専門用語が多く,業務との関連がない説明のために分かりづらいとの声が多かったので,今後は,各部署の責任者にお願いして,業務の状況に応じた[ d ]を継続的に行って,情報セキュリティ意識を高める必要があると考えております。 G部長: 情報の取扱いといえば,情報の中には契約や法律が関係していて,取扱いに配慮を必要とするものもあるのではないか。 E 氏: そうですね。[ e ]契約に基づいて取引先から得た新車情報や部品情報などは,一般に,製品が発表されるまで[ e ]契約を遵守する必要があります。また,顧客情報はプライバシ保護にも関係するので,むやみに情報を取得したり,その情報を公表したりすることには問題があります。法務部や人事部と協力して,このことを従業員に意識させ,守らせる工夫が必要です。 G部長: 確かにそう言われると,全社的に取り組まないとうまく対策が取れないようだ。今後は,各部署にどう働きかけるべきか,検討してみよう。
設問1 本文中の[ a ]〜[ e ]に入れる適切な字句を答えよ。[ a ]については,15字以内で答えよ。[ b ]〜[ e ]については,それぞれ6字以内で答えよ。
設問1の正解例へ
設問2 情報セキュリティポリシの目次(図1)の(1)〜(7)の中で,本文中の下線〔1〕の再発防止策が関係しないと思われるものを二つ選び,番号で答えよ。
設問2の正解例へ
設問3 本文中の下線〔4〕のG部長の指摘に対する人的セキュリティの強化策として,本文中の問題点に基づき,[ d ]及び[ e ]以外の項目で,どのような対策を行うべきか。JIS X 5080(ISO/IEC 17799)の人的セキュリティに関する管理策に基づいて,25字以内で述べよ。
設問3の正解例へ
設問4 本文中の下線〔2〕,〔3〕に関する次の問いに答えよ。
(1) F営業所の帳票類の取扱いに関して,下線〔2〕を防止するためには,出力された帳票類をどのように管理すべきか。20字以内で述べよ。 (2) すべての情報資産に対する管理方針を踏まえて,資源の再利用を考慮した本文中の下線〔3〕の処置の代わりに採用すべき帳票類の処置方法を,50字以内で述べよ。
設問4の正解例へ
メニューへ戻る